我正在尝试使用 asp.net web api 创建一个 REST 服务,一切正常,但我现在遇到了如何处理身份验证。
我有点困惑从哪里开始,这是我一直在想的。
我有一个包含许多资源的 REST api,每个资源都需要注册用户,那么这样做的最佳操作是什么?我是否应该在每次调用服务时在标头中发送用户名和密码,以便我可以使用在服务器上进行身份验证
AuthorizationFilterAttribute
我至少应该加密它?我很想知道其他人在做什么,我知道有一个创建令牌的概念(我认为这将是短暂的),因此用户将进行身份验证然后接收令牌,然后发送该令牌进一步调用该服务。那么当令牌过期时我将如何处理这个问题呢?
我还有一个用于注册新用户的资源,实际上唯一会调用它的是我的客户(Android、iPhone)。那么我应该让它免于任何身份验证方法或输入硬编码密码或类似的东西,以便至少没有其他人可以注册新用户吗?请记住,该服务将在互联网上公开。
我只是似乎无法找到正确的方法来做到这一点,我当然想第一次尝试就正确,所以我不必完全重构服务。