我创建了一个简单的WCF REST服务,并实现了基于令牌的安全性。只有属于某个角色的用户才能访问我的WCF REST服务。令牌通过Request-Header发送,并在我的REST项目的BaseService.cs方法中解析。为了访问REST API,每个用户都必须创建自己的令牌(如果他们的角色具有访问我的REST API的权限)。
由于我在此REST WCF项目中包含了大量业务逻辑,因此我也希望在ASP.NET Web项目中利用此REST API。但我的ASP.NET项目没有“令牌”,那么它如何使用REST服务呢?如果我创建一个“特殊令牌”来识别其我的Web应用程序使用REST服务并绕过用户令牌认证系统,那么应用程序用户可能会破解并复制该令牌并使用REST API。
基本上我想知道我的Web应用程序是否可以使用我的REST API而不需要进行令牌身份验证,比如使用一些内部Visual Studio引用或其他内容?
我知道我可以在这里完全不同的轨道,因为我是WCF的新手。如果你能在这里分享你的想法,那将有助于我朝着正确的方向前进。