Cal*_*ass 5 model-view-controller wcf asp.net-mvc-3 asp.net-web-api
我被要求为客户创建一个API.在开始之前,我有一些问题.我决定使用ASP.NET Web API技术.我已经创建了我的第一个方法,它工作正常,我能够以XML/Json格式返回一组产品结果.问题是,访问我网站上的API的任何人都可以看到我的所有产品.我已经有了一个客户数据库,如何使用它,以便在访问我的API之前,他们必须设置一些凭据.
Web和桌面客户端都应该可以访问API
我想到的一种方法是,他们将用户名/密码作为参数传递,但这似乎不太安全/对吗?例如:api/products/GetById/750?username=bob&pass=123
您可以使用AuthorizeAttribute来装饰您的控制器/操作.
[Authorize]
public IEnumerable<Product> Get() {...}
这可能会限制您的资源仅供经过身份验证的用户使用.
实际的身份验证方法是另一个故事.默认情况下,Web API使用基于cookie的ASP.NET表单身份验证,如果直接从html + js Web客户端使用api,这很好.
另一方面,如果您的API将由桌面/移动应用程序或插件基本Web客户端使用,则使用HTTP基本身份验证可能会更好,因为您不必管理cookie(请记住在此方案中使用SSL).
你可能想看看我的博客文章在http://www.piotrwalat.net/basic-http-authentication-in-asp-net-web-api-using-membership-provider/它展示了如何提供HTTP基本验证它使用ASP.NET成员资格和角色提供程序.
| 归档时间: |
|
| 查看次数: |
1743 次 |
| 最近记录: |