rafaelg-security/secure-dotnet-api-foundation
GitHub: rafaelg-security/secure-dotnet-api-foundation
基于 .NET 10 的安全 API 基础模板项目,演示受监管系统中身份认证、授权、审计日志等企业级安全控制与安全 SDLC 实践。
Stars: 0 | Forks: 0
# secure-dotnet-api-foundation
一个 .NET 10 安全 API 基础项目,演示了企业级安全工程、应用安全、安全 SDLC 以及受监管系统的安全意识。
## 目的
本项目是网络安全转型作品集的一部分,主要关注:
- 应用安全
- 安全工程
- 安全 SDLC
- 技术 GRC 基础
- 医疗网络安全基础
- 云就绪的企业级 API 架构
## 本项目演示内容
- ASP.NET Core API 架构
- JWT 身份验证
- 基于角色的授权
- 基于策略的授权
- 安全中间件
- 安全响应头
- 速率限制
- 审计日志
- 基于 DTO 的 API 响应
- 安全错误处理
- 关联 ID
- 医疗风格的受监管数据访问
- 集成 CodeQL 的 CI 流水线
## 演示凭据
```
doctor@example.com / Doctor123!
nurse@example.com / Nurse123!
auditor@example.com / Auditor123!
admin@example.com / Admin123!
```
## 本地运行
```
dotnet restore
dotnet build
dotnet test
dotnet run --project src/SecureDotnetApiFoundation.Api
```
Swagger:
```
https://localhost:5001/swagger
```
## 文档
- `docs/SECURITY_CONTROLS.md`
- `docs/THREAT_MODEL.md`
- `docs/OWASP_MAPPING.md`
标签:API安全, ASP.NET Core, CISA项目, CI管道, CodeQL, GRC, HTTP安全头, JSON输出, JWT认证, .NET 10, RBAC, RESTful API, Swagger, 人工智能安全, 企业级API架构, 关联ID, 医疗网络安全, 合规性, 基于策略的授权, 基于角色的访问控制, 威胁建模, 安全SDLC, 安全中间件, 安全工程, 安全评估工具, 安全软件开发生命周期, 安全错误处理, 审计日志, 技术组合, 提示词优化, 数据传输对象, 网络安全, 隐私保护