我们正在开发一个链接到Web API的MVC应用程序。目前,为了对API进行任何调用,Javascript对API进行AJAX调用,发送用户名和密码进行身份验证。 API验证用户名和密码并发回安全令牌。然后进行第二次AJAX调用以执行实际的业务逻辑,并使用它发送安全令牌。
我们希望摆脱这种方法,因为在Javascript中暴露用户名和密码是一个安全漏洞。
我们正在关注的是让API识别来电来源的方法。例如,如果电话来自我们的网站,那么它是合法的。否则,拒绝呼叫访问。
有办法做到这一点吗?如果是这样,是否有关于如何设置API的在线演练?感谢。