由于很多网站都会通过Web API调用服务。在这种情况下,每个人都会暴露这些方法。如何确保只有我的网站可以调用我的Web API服务?
答案 0 :(得分:0)
作为开发人员保护它的最简单方法之一是让IT人员通过限制从站点到站点的IP地址访问来实现这一目标。您也可以通过验证传入的IP地址来在应用程序中执行此操作。有时IP地址有时会发生变化。每当我这样做时,都使用了证书,因为数据鸿沟的双方都有信任。看看John Petersens的文章Making web api's secure它有一个关于在你的应用程序中实现IP安全性的部分以及x509证书;完成代码示例,我不会在这里重现。您可以尝试使用SSL保护它并创建自己的密钥/信任,但使用x509更容易维护(imo)。反过来说,在Web服务世界中,微软有一个API在WSE扩展中更简单地实现这一点要容易得多。