我正致力于创建一个Web服务,以便向外部供应商公开客户身份验证。在这种情况下,供应商是一个无线网络提供商。
我的问题是,如果他们(供应商)通过SSL发布服务的登录名和密码,那么首先验证供应商(访问API)是个好主意吗?我可以看到论点的两面。
修改
最终用户将在供应商方面输入他们的凭证(即在供应商的登录页面上)
答案 0 :(得分:0)
供应商永远不应该看到您的用户凭据。相反,用户输入凭据的登录表单应直接提交给您的服务器。如果用户名和密码正确,则应使用故障单ID重定向回供应商的站点。然后,供应商的服务器可以获取该票证并询问您的服务是否是有效的票证以及任何相关的用户信息。