Проверка подлинности API-ключа и аутентификация пользователя. Лучшая оценка.

Question

Может ли кто-нибудь помочь мне в передовой практике для этой ситуации;

У меня есть служба REST, с которой разработчики могут получить доступ с помощью API KEY. (У меня это работает в WCF WEB API), поэтому эта часть выполнена.

Я бы хотел, чтобы разработчики могли проверить USER. т. е. использовать REST для проверки имени пользователя и пароля, введенных пользователем.

Для каждого из методов конечных точек требуется аутентификация API KEY, а не базовая аутентификация при вызове метода (если вы понимаете, что я имею в виду).

Как лучше всего реализовать это?

Phil.

Answer 1

Чтобы безопасно отправлять данные пароля службе RESTful, вам необходимо защитить связь через http. Есть много способов сделать это, см. Этот пост здесь: How to secure RESTful web services?