【发布时间】:2014-05-15 15:22:34
【问题描述】:
我目前正在开发 RESTful 后端并实现身份验证,我希望我的前端(Web 界面)和 api(第三方应用程序)都使用相同的后端。因为我对前端和 api 都有相同的功能集。
这是我目前正在考虑的方法:
1) REST API 应在安全标头部分查找两种不同类型的信息:
- A:API 密钥 + API 签名 - 当第三方应用程序连接时
- B:访问令牌 - 当前端应用程序连接时
其中任何一个都应该在场,而永远不要同时出现。
2) 在我们的 REST API 中也会有登录方法。它将用户名和密码作为输入并返回一个“访问令牌”作为响应。访问令牌的有效期应与用户为其自动注销功能指定的一样长。令牌应该只有一次并且根本无法猜测。
所以我的问题是正确的吗?还是有其他解决方案?请分享您的想法。
【问题讨论】:
标签: asp.net-mvc security asp.net-web-api digital-signature restful-authentication