Я смотрел и просматривал множество страниц по защите веб-API asp.net, в том числе: http://weblogs.asp.net/jgalloway/archive/2012/03/23/asp-net-web-api-screencast-series-part-6-authorization.aspx и http://weblogs.asp.net/jgalloway/archive/2012/05/04/asp-net-mvc-authentication-customizing-authentication-and-authorization-the-right-way.aspx - однако я еще не видел примера типа KISS.
Если у меня есть веб-API, который, например, возвращает список автомобилей, и я работаю с третьей стороной (т. е. не с моим собственным веб-сайтом или сервером/доменом), которая хочет запросить (получить) и вставить (опубликовать) списки автомобили по типу, в мою базу данных, как мне их аутентифицировать (через https)?
Они просто добавляют (в свой JSON GET/Post) что-то вроде:
[
{"username":"someusername","password":"somepassword",
{
"carTypeID":12345,
"carTypeID":9876}
"carTypeID":2468}
}
}
]
Затем я могу получить имя пользователя и пароль и проверить свою базу данных членства в .net, а «IfUserAuthenticated» продолжить обработку остальной части JSON?
Или есть лучший способ сделать это? Я слышал о добавлении деталей в заголовки и т. д., но я не уверен, что это по какой-то причине или слишком усложняет. Я также слышал об установке токенов, которые отправляются обратно третьей стороне — если это лучший метод, какие инструкции я им даю, чтобы создать свою часть приложения, которое будет использовать мой API?
Спасибо за любые советы / указатели,
отметка