我正在使用 ASP.NET Web API 构建 RESTful Web 服务,并且正在考虑使用 OAuth 1.0 作为身份验证机制来保护服务。我们的 API 也将维护凭证存储,因此将成为 OAuth 提供者。使用我们 API 的客户端应用程序将由必须使用用户名和密码进行身份验证的最终用户使用,因此我假设客户端应用程序被认为是 OAuth 消费者。客户端应用程序将进行 API 调用以检索未经授权的请求令牌,然后将用户的凭据与令牌一起发送以获取访问令牌。
最终,我可以看到其他第 3 方应用程序希望通过我的 API 访问我们的应用程序,他们将使用 OAuth 进行重定向,而我们的应用程序是凭据提供程序。
这是使用 OAuth 的可行方式吗?DotNetOpenAuth 之类的东西会支持这种情况吗?