Как организовать безопасную регистрацию и авторизацию на простом HTTP сервере (C#)?

Question

[Игорь Силаков]

Серверная часть на C#.
Имеется простейший HTTP сервер, который принимает запросы и отдает ответы.
Работает в локальной сети.
Каким образом добавить возможность регистрации и аутентификации?
То есть так, чтобы было безопасно (HTTPS)?
И как лучше продолжать работу с авторизованными пользователями? Передавая токен авторизации?
Если HTTPS, то где посмотреть работу с сертификатами?

Comments

[d'Ivan]

Не нужно путать авторизацию и аутентикацию

[Игорь Силаков]

Роман: Верно, моя ошибка.

Answer 1

[d'Ivan]

Чтобы безопасно, то только через HTTPS соединение.
В двух словах не объяснить - почитай руководства и слайды на тему аутентификации, сессий.
После того как человек идентифицирован, программа должна определять какие права он имеет в системе: что можно, а что нельзя.
Работа с сертификатами - это, по-большей части, работа сисадминская.
На рабочей машине достаточно работать с самоподписанным сертификатом. Главное, чтобы веб-сервер поддерживал HTTPS.

Answer 2

[Fredcapit]

Если сетка локальная дома, то о шифровании можно не заботиться, всё равно через Ваш роутер и будут идти пакеты. Если у Вас корпоративная локальная сеть, то скорее всего у вас есть Active Directory, DNS сервер.
В принципе в локальной сети, если она ограничена вашими устройствами (свичи хабы и проч), то о HTTPS можно не заморачиваться. Также если у вас локальная сеть организации распределена между городами (соединенная посредством VPN), то тоже не стоит заморачиваться по поводу HTTPS, пусть о безопасности локальной сети думают админы (например, они могут использовать замудрённое шифрование VPN).
С Active Directory у вас получится очень простая модель аутентификации (NTLM или Kerberos), если конечно настроен Kerberos. В вашем проекте просто указываете, что вы хотите использовать Windows-аутентификацию ну а дальше дело техники.
Никакой регистрации не нужно, ваши пользователи и так её имеют на KDS.

Comments

[Игорь Силаков]

Да, имеется в виду домашняя локальная сеть.
Проект подразумевает мобильных клиентов.
На защите проекта встанет вопрос безопасности.
И, получается, тогда этот вопрос можно "перенаправить" админу локальной сети (владельцу роутера по сути) ?

[Fredcapit]

мобильные клиенты - это ваши телефоны? если да, то не стоит беспокоиться. Можно рассчитывать только на надёжность вашего роутера и выбранного метода шифрования.

[Fredcapit]

Шифрование актуально, когда ваши пакеты идут через чужие сети.

[Игорь Силаков]

Fredcapit: Да, грубо говоря, это телефоны/планшеты в квартире. VPN из другого места (вне квартиры) не имеет смысла ввиду специфики проекта.
Под методом шифрования имеется ввиду шифрование учетных данных (паролей) в приложении?

[Fredcapit]

На крайний случай сделай табличку на сервере с mac адресами "дозовленных" устройств. Сделай фильтр аутентификации, где проверялся бы mac-адрес и предоставлял или не предоставлял доступ к сайту.