我被要求为客户创建一个API.在开始之前,我有一些问题.我决定使用ASP.NET Web API技术.我已经创建了我的第一个方法,它工作正常,我能够以
XML / Json格式返回一组产品结果.问题是,访问我网站上的API的任何人都可以看到我的所有产品.我已经有了一个客户数据库,如何使用它,以便在访问我的API之前,他们必须设置一些凭据.
Web和桌面客户端都应该可以访问API
我想到的一种方法是,他们将用户名/密码作为参数传递,但这似乎不太安全/对吗?例如:api / products / GetById / 750?username = bob& pass = 123
解决方法
您可以使用AuthorizeAttribute来装饰您的控制器/操作.
[Authorize]
public IEnumerable<Product> Get() {...}
这可能会限制您的资源仅供经过身份验证的用户使用.
实际的身份验证方法是另一个故事.默认情况下,Web API使用基于cookie的ASP.NET表单身份验证,如果直接从html js Web客户端使用api,这很好.
另一方面,如果您的API将由桌面/移动应用程序或插件基本Web客户端使用,则使用HTTP基本身份验证可能会更好,因为您不必管理cookie(请记住在此方案中使用SSL).
您可能希望查看我在http://www.piotrwalat.net/basic-http-authentication-in-asp-net-web-api-using-membership-provider/的博客文章,其中显示了如何提供使用ASP.NET成员资格和角色提供程序的http基本身份验证.
