我正在使用Http Basic Authentication从移动应用程序访问我的API。不幸的是我需要在内部保持状态。由于状态是每个会话我不能使用用户名/密码作为状态密钥。好像我必须添加像cookie,会话标识符或API密钥之类的东西。我不希望添加is作为我的URL的一部分,而是将其添加到标题中(用户名/密码/ id而不是用户名/密码)。
你会建议什么?这甚至有意义吗?
答案 0 :(得分:0)
您可能希望首次使用基本身份验证与Web api协商会话密钥,并对其余呼叫使用具有该会话密钥的HMAC身份验证。您可以将内部状态分配给该会话密钥。对于HMAC身份验证,您可以使用Hawk。我有一个名为Hawk.NET的Hawk in .NET实现。