我正在开发RESTfull Web服务。此Web服务将作为外部Web的Web API从我们的系统获取一些数据。因此,它将由其他外部客户端使用:移动应用程序,JavaScript客户端等。为了安全起见,它将需要基本HTTP身份验证:通过HTTPS以明文形式发送的用户名和密码。 所以,我想整理一个概念验证JavaScript应用程序来演示如何使用这个API。但我不想在JavaScript代码中硬编码用户名/密码,因为它可以在页面HTML源代码中查看。事实上,我根本不希望JavaScript参与身份验证。所以,我在想另一个用于服务器到服务器身份验证的网页。因此,客户端的服务器将凭证发送到WEB Appi服务器,然后Web API服务器仅在一个会话中发出有效的令牌,之后客户端服务器在JavaScript中使用此令牌。 这是正确的方法吗?如果没有,那么这种情况的“最佳”解决方案是什么?我确信这是在以前完成的。任何文章或代码示例将非常感谢。谢谢