在设计和学习ASP.NET Web API时,我遇到了一些挑战,希望能够得到一些帮助和讨论。ASP.NET Web API - 从查询字符串值和API安全性授权
受此excellent post的启发,关于在没有OAuth的情况下设计安全REST API我想知道如何最好地验证各种令牌和我打算请求的信息。
小结是我将要求(在查询字符串)以下信息..
- 用户ID
- API密钥
- 时间戳
- 一个签名中的散列基于秘密密钥用户已经发出并与请求值一起散列
我的问题/想知道的是这样的:
如果这是一个很好的方法,那么使用ASP.NET Web API实现这一点的最佳方法是什么?
我目前正在考虑使用自定义属性,我可以标记我的方法,类型的Authorize属性,从查询字符串或一些POCO类型的对象包含所有的值,我可以使用将所有授权类型代码保存在一个地方。
有没有人有任何经验或想法呢?
谢谢:)
您可以在全局Begin_Request处理程序或全局Authenticate_Request处理程序中调用您的授权码。 – 2012-02-28 21:42:36