.Net MVC WebAPI: некоторые методы «только администратор»?

Question

.Net 4.6.1

Я все еще очень новичок в .Net и MVC. Попытка моя рука при создании API, а затем то, что действительно будет javascript-приложением, которое будет потреблять API. У меня есть тысяча вопросов, но я сосредоточусь на одной области для этого. В коде API я вижу методы, поддерживающие операции CRUD. Я хочу, чтобы методы API только для чтения были открыты для всего мира, но методы редактирования нуждаются в авторизации.

Есть ли здесь лучшая практика? Должен ли я создавать два API? Один для «публичных» действий чтения и другой для операций администратора? Могу ли я сохранить один API и заставить действия редактирования требовать авторизацию? Я видел обсуждение использования ключей API - возможно, у вас есть ключи API для методов администратора?

Answer 1

я рекомендую прочитать эти статьи в качестве отправной точки (и некоторые другие статьи в этом же разделе!):
Authentication Filters in ASP.NET Web API 2
Authentication and Authorization in ASP.NET Web API

Вы можете включить или отключить проверку подлинности для веб-API на практически любой уровень.
Глобально, за контроллер или за действие.
Вы также можете переопределить что-то, поэтому, если вы включите его глобально, вы можете отключить его для определенного контроллера или метода.

Чтобы ответить на часть вашего вопроса, я не вижу, что существует необходимость создания двух API, но связанные статьи помогут.