您要求似乎有点没有道理给我。你永远不能在同一时间的一切，你必须愿意放弃的东西了。一对夫妇的言论：

Your requirements seem a little bit unjustified to me. You can't ever have everything at the same time, you have to be willing to give something up. A couple of remarks:

• 的OAuth似乎是你想要的这里，至少有一些修改。您可以使用Azure的访问控制服务，这样你就不必实现自己的令牌供应商。这样一来，你已经外包安全令牌提供者的实现。上次我检查的Azure ACS还是免费的。有很多混乱的，当你寻找ACS文档，因为人们大多用它来插入像Facebook或谷歌其他提供商，但你可以调整它只是为自己的服务令牌提供者。


• 您似乎非常担心重放攻击。重放攻击几乎总是一种可能性。我只听过导线上的数据并将其发送到服务器，即使是通过SSL。重放攻击，你需要处理的事情无关。通常我做的是跟踪来请求的高速缓存和散列签名添加到我的缓存。如果我看到在5分钟内用相同的哈希另一个请求，我忽略它。对于这项工作，我想补充请求的时间戳（毫秒粒度）和我的哈希参数的URL的某些衍生物。这允许每毫秒到来自同一客户端没有请求的同一地址一个操作被标示为重放攻击。


• 您提到的jQuery，如果你使用的是哈希方法，它让我为难了一下。这将意味着你确实有你的哈希算法，并在客户端上签名的逻辑。这是一个严重的缺陷，因为只是检查的JavaScript，我现在可以确切地知道如何签署请求，并将其发送到服务器。