因此,在弄清楚Web API中的基本身份验证如何与ssl配合使用之后,我想执行以下操作:
在对客户端进行身份验证之后,向客户端发送一个令牌(现在我认为这应该只是GUID)并且有一些到期日期,之后令牌将变得无用,客户端将不得不再次进行身份验证。
我的问题是知道客户端如何在后续请求中发送此令牌?是否应该发送:
a) json payload or
b) part of header
如果a)那么GET请求如何没有正文,因此没有json有效负载? 如果b)那么它应该在标题中调用什么......或者我可以称之为什么?就像,authToken:Asdhad-asdlad-82hjf-adkga
此外,由于我使用的是ssl,我不知道使用令牌或仅使用用户凭据是否更好?
告诉我这里的标准是什么,还是我朝错误的方向走? 谢谢。
答案 0 :(得分:0)
将令牌放入授权标头并命名为:“bearer ej304305340Mytoken”。 SSL用于使用令牌验证用户+密码和后续请求。