none
Crear tokens para dispositivos sin usuario/contraseña para usar con Web API RRS feed

  • Pregunta

  • Estoy desarrollando una plataforma web con ASP .NET 5 MVC, al cual tendrán acceso los usuarios a la web (usando Identity) y unos dispositivos asociados a estos usuarios a la API (Web API). En principio los dispositivos no tendrán almacenado el usuario y contraseña al que están asociados, pero sí su número de serie que estará asociado a este usuario.

    ¿Tendría sentido hacer la autenticación del dispositivo usando este número de serie? ¿O simplemente enviando el número de serie en el cuerpo de la petición con HTTPS sería suficientemente seguro? En caso de que no fuera seguro, ¿cómo se podría implementar esta autenticación con el número de serie?

    Muchas gracias.

    lunes, 16 de diciembre de 2019 9:07

Respuestas

  • hola jon

    puedes hacer una especie de usuario contraseña en el web.config, pero no lo recomendaría pero es lo que se me ocurre para que  puedas acceder y enviar el token

      <appSettings>
        <add key="USuario" value="sdfasfsdfsaf" />
        <!--usuario -->
        <add key="passw" value="1321321asfsdf />
        <!--password-->
    
      </appSettings>

    llamas las claves en tu código y provees el Token. 

    var user = ConfigurationManager.AppSettings["USuario"]

    var pass = ConfigurationManager.AppSettings["passw"]

    lunes, 16 de diciembre de 2019 14:03
  • hola

    >>¿Tendría sentido hacer la autenticación del dispositivo usando este número de serie?

    solo el nro de serie, eso no tendria ningun finalidad de seguridad

    salvo que pienses en configurar los nro de serie que tienen acceso, entonces si llega un request de autenticacion con este nro le envias un token

    >>¿cómo se podría implementar esta autenticación con el número de serie?

    podrias aplica el concepto de api key

    ASP.NET Core - Protect your API with API Keys

    de esta forma se podria asociar el nro de serie como si fuera una api key con algun otro dato del dispositivo y una fecha de vigencia

    saldos


    Leandro Tuttini

    Blog
    MVP Profile
    Buenos Aires
    Argentina

    lunes, 16 de diciembre de 2019 20:10

Todas las respuestas

  • hola jon

    puedes hacer una especie de usuario contraseña en el web.config, pero no lo recomendaría pero es lo que se me ocurre para que  puedas acceder y enviar el token

      <appSettings>
        <add key="USuario" value="sdfasfsdfsaf" />
        <!--usuario -->
        <add key="passw" value="1321321asfsdf />
        <!--password-->
    
      </appSettings>

    llamas las claves en tu código y provees el Token. 

    var user = ConfigurationManager.AppSettings["USuario"]

    var pass = ConfigurationManager.AppSettings["passw"]

    lunes, 16 de diciembre de 2019 14:03
  • Hola Greg, gracias por responder.

    Esto no valdría, ya que el usuario puede cambiar su contraseña, el dispositivo no se daría cuenta y fallaría la autenticación.

    • Editado Jon 123 lunes, 16 de diciembre de 2019 14:52
    lunes, 16 de diciembre de 2019 14:51
  • hola

    >>¿Tendría sentido hacer la autenticación del dispositivo usando este número de serie?

    solo el nro de serie, eso no tendria ningun finalidad de seguridad

    salvo que pienses en configurar los nro de serie que tienen acceso, entonces si llega un request de autenticacion con este nro le envias un token

    >>¿cómo se podría implementar esta autenticación con el número de serie?

    podrias aplica el concepto de api key

    ASP.NET Core - Protect your API with API Keys

    de esta forma se podria asociar el nro de serie como si fuera una api key con algun otro dato del dispositivo y una fecha de vigencia

    saldos


    Leandro Tuttini

    Blog
    MVP Profile
    Buenos Aires
    Argentina

    lunes, 16 de diciembre de 2019 20:10
  • Gracias Leandro, le voy a echar un ojo a la API Key.
    martes, 17 de diciembre de 2019 14:34