致力于为我们的某些服务创建Web API,并尝试找到保护它的最佳方法。我们希望向希望使用API的任何应用程序/开发人员发出API密钥。此外,一些API调用应该要求身份验证。
作为一个例子,服务电话#1做一个基本的get。对于此呼叫,所需要的只是与呼叫者相对应的令牌。服务呼叫#2执行敏感信息。对于此调用,令牌是必需的,此外,应该对与put请求关联的用户进行身份验证。
是否有任何示例概述此类实施?我花了很多时间浏览网页,我发现的似乎提供了基于令牌或用户身份验证。我没见过这两件事。
这被标记为可能重复,这就是我看到的原因......
我问如何合并一个令牌来验证作为消费者的Web应用程序,以及如何验证使用我们服务的Web应用程序的用户。提供给可能重复的链接仅说明了如何实现单级身份验证(表单或Windows身份验证)。它没有提供有关执行应用程序令牌和用户身份验证的信息。