0

我正在创建一个 Web 服务以向外部供应商公开客户身份验证。在这种情况下,供应商是 wifi 提供商。

我的问题是,如果他们(供应商)通过 SSL 向服务发布登录名和密码,那么首先对供应商进行身份验证(以访问 API)是个好主意吗?我可以看到争论的双方。

编辑

最终用户将在供应商一侧输入他们的凭据(即在供应商的登录页面上)

4

1 回答 1

0

供应商永远不应该看到您的用户的凭据。相反,用户输入其凭据的登录表单应直接提交到您的服务器。如果用户名和密码正确,则应使用票证 ID 重定向回供应商站点。然后供应商的服务器可以获取该票并询问您的服务它是否是有效票以及任何相关的用户信息。

于 2013-05-15T19:41:08.167 回答