我正在尝试构建一个安全的asp.net web api。您可以找到很多方法来保护您的API,但是我想知道为我的案例实现这一点的最佳方式或“行业标准”是什么。
这些是我的要求
– 该API将被少数第三方开发人员用于网站/移动应用程序等。
– 要使用此API的开发人员必须获得访问API(授权)的关键
– 用户(访客/消费者)必须登录到第三方应用程序才能看到他们的个性化信息。
– API将使用ASP成员资格数据库来管理/认证用户。
我知道可以使用http基本身份验证来验证用户,但是如何实现API的授权部分?
OAuth 2.0是一个解决方案吗?
解决方法
描述使用令牌/密钥的身份验证/授权的非常好的文章:
> Making your ASP.NET Web API’s secure
它还描述了有关ASP.NET Web API安全性的一些其他良好做法。
