我有一个从其他服务调用的WebAPI服务。我需要保护它。
1)如何保护我的服务?
2)我在IIS中托管它,所以我需要查看OAuth 2.0还是仅使用SSL进行基本身份验证?(但不确定第三方服务如何通过我的服务进行身份验证)。
3)何时应将OAuth 2.0与WebAPI一起使用
4)我需要什么身份验证方法才能从iOS / Android / WindowsPhone应用程序访问服务。
由于
答案 0 :(得分:1)
这取决于您的要求。
如果这些其他服务是您希望允许调用服务的第三方Web服务,则可以为其提供API key(原则上与密码相同)。
如果这些服务需要使用调用其服务的用户的安全上下文(委派授权)来调用您的服务,您应该查看处理该方案的OAuth 2.0。
您可以使用像Thinktecture这样的开源授权服务器,或使用Katana中间件在您的服务中公开token issuing endpoint。