我计划创建一些简单的 REST Web 服务,供其他一些应用程序使用(一切都是内部的,不面向 Internet)。由于某些原因,应用程序应与 SSO(Windows、NTLM 或其他)一起使用。我遇到的问题是如何在 Web 服务中进行身份验证。
调用 Web 服务的应用程序不知道用户密码,所以我有点迷失了如何在没有用户登录的情况下对 REST 进行身份验证?例如。避免基本身份验证
由于用户的简单性并且不必在我的应用程序中处理密码,我想避免登录。我有哪些选择?我错过了一些明显的东西吗?
这是否是一个解决方案:创建令牌,将其传递给服务并将其存储在数据库中。Web 服务检查数据库中是否存在令牌。(过期处理?)