我是网络开发世界的新手。我正在快递中构建一个休息API,我希望你们能指出以下的最佳实践。我正在开发一个既适合网络又适合移动的商店。用户永远不会登录,因此我无法使用标准身份验证。我没有看到离开获取产品请求未受保护的问题,但我不确定如何保护将使用销售信息更新数据库的post方法。是否最好将秘密硬编码到app / client网站?
答案 0 :(得分:0)
如果您正在使用标准的网络API(非核心),并且您已经通过Visual Studio使用Web API模板创建了项目,那么您可能拥有一个AccountController。您可以使用它来创建用户。然后,您可以使用[Authorize]
装饰整个控制器,或者只使用您想要的方法来装饰"保护"。
请记住获取令牌(通过调用/Token
)传递您创建的凭据,以便使用[Authorize]
访问方法/控制器。