А под безопасностью что вы на самом деле подразумеваете? Вы хотите сказать, что несанкционированный доступ должен быть предотвращен? В этом случае вам нужна система аутентификации. ASP.NET веб-API уже имеет эту функцию, она называется Identity.
ASP.NET идентичность 2.1 с ASP.NET Web API 2.2 (Управление учетными записями) - Часть 1-бит технологии[^]
ASP.NET все, что вам нужно сделать, это включить учетные записи, чтобы они также содержали токены или ключи аутентификации для использования с веб-API. Поскольку ваше мобильное приложение также работает на том же веб — приложении, вы можете попробовать зарегистрировать пользователей, используя одно и то же приложение-имя пользователя/пароль. Просто добавьте форму для пользователя, чтобы заполнить ее,а затем аутентифицировать его.
Если вы хотите, чтобы веб-API имел другую систему аутентификации, то загляните в OAuth. OAuth 2.0 — OAuth[^].
Работа веб API и аутентификации также была немного объяснена в одной из моих предыдущих статей, Биометрическая аутентификация лица на подключенных устройствах[^], перейдите к тем частям, где упоминается система аутентификации, а затем прочитайте метод там.
Для других типов безопасности, таких как SQL-инъекции, XSS-атаки и т.д., Пожалуйста, прочтите полный раздел go through Безопасности на ASP.NET документация[^Они предоставляют еще более широкую концепцию и способы защиты вашего приложения от наиболее заметных атак на ваш веб-сайт или данные.
У меня есть c # webapi, angular веб-приложение и приложения для android, ios, использующие тот же api. Теперь я хочу обезопасить его любыми средствами. Например, я не хочу раскрывать идентификатор клиента, для этого я собираюсь сгенерировать случайный токен для идентификатора пользователя, пароля при входе в систему и после получения токена клиентская сторона будет использовать этот токен для будущих запросов. . Я буду хранить этот токен в базе данных против customerid, чтобы, когда клиент запрашивает api с помощью токена, я получал клиентский идентификатор из базы данных с помощью токена и предоставлял данные для этого конкретного клиента. Любые улучшения в этой технике или любой другой лучший вариант. Как вы думаете, может быть какая-то лазейка в этой технике, которую мне не хватает?