我被要求为应用程序编写Web API(pc可执行文件,而不是web-app),允许发送电子邮件.
用户点击某些内容,该应用与API通信,生成电子邮件并将其发送出去.
我必须确保没有人可以访问API,所以我需要进行某种身份验证,我不知道如何正确地进行身份验证.
将有更多应用程序访问API.
首先想到的是 - 发送用户名和密码,但这并不能解决问题.因为如果有人反编译应用程序,他们将拥有请求URL和变量,包括用户/密码,或者只是它可以被嗅探.
所以...我有什么选择?
我相当肯定安全连接(SSL)目前不可用,但是,这对我反对反编译问题无效,是吗?
编辑
我最初没有说过,但不会要求用户输入用户名/密码.这是必须进行身份验证的应用程序,而不是应用程序的用户.
我有一个英语词典 web 应用程序,比如 xyz.com,它是使用 AngularJS(或任何其他 UI)和 REST api 开发的。由于 webapp 对所有人开放并且没有用户注册,因此没有身份验证。如何防止 REST api 被外部应用程序使用?换句话说,REST api 应该只在通过 xyz.com 访问时工作。我不希望其他开发人员使用我的 REST api 来支持他的应用程序。
OAuth 不是解决方案,因为没有身份验证。这个问题类似于保护 Web API 不受未经授权的应用程序的影响,但没有任何具体的答案可以解决这个问题。