我在这里阅读了很多关于使用 api 密钥、令牌、hmac 等保护 web api 的问题,但还没有找到我正在寻找的答案。
我正在开发一个包含 Internet 和 Intranet 站点、Web api 和 Android/iOS 应用程序的 MVC4 Web 应用程序项目。
Web API 将由我的应用程序使用,其他任何人都不会使用它,因为它将访问敏感数据。
保护这个 api 的最佳方法是什么,只有我的应用程序可以使用它?看起来如此简单的请求是非常难以开始的。
我已经使用 HMAC 和其他一些人查看了关于 SO 的帖子,但它们听起来都不适合这里,很可能我只是错过了一些东西。
HMAC 是要走的路还是客户端证书更适合这种情况?
我应该使用 SSL 和某种 API 密钥吗?
我知道这个问题有点含糊,我已经盯着它看了一个多小时,试图弄清楚我在想什么,所以我想我会发布它并在需要时更新...... :(
我很乐意应要求提供更多详细信息。