或者更好的问题是,我如何设计桌面应用程序进行身份验证?我是否需要传递API密钥或某种某种令牌?或者桌面应用程序是否像浏览器一样使用内部cookie?我不太确定RESTful API如何在具有身份验证的Web浏览器之外工作.
解决方法
例如,您可以使用基本身份验证来传输用户名和密码,或者使用某些加密访问令牌(不是非常RESTful)添加自定义身份验证标头.您还可以实现OAuth,其中请求者将为每个请求提供访问令牌.
我编写了一个自定义AuthorizeAttribute来在您的代码中执行身份验证,这为您提供了很多控制.或者,您可以使用控制器基类并覆盖OnAuthorization方法.
API不应提供密码质询:在Web应用程序中,未经授权的请求通常会将用户重定向到登录页面.在API中,请求将仅返回错误代码.现在,客户端应用程序的工作是通过对话框挑战用户(如果适用).在移动应用中,您可能希望显示一个对话框.在具有OAuth的Web应用程序中,您可能希望重定向到身份验证服务器.
如果你想测试你的REST API,我建议你使用REST Console for Google Chrome和cURL.前者对初学者来说更容易,并且有一个很好的GUI,而cURL可以提供更高的保真度和更多的协议.
编辑
一个有点迂腐的说明:一些API,甚至是相当大的提供商的API,例如Twitter,不时返回401状态代码,通常省略(强制性)WWW-Authenticate标头,因为他们不打算挑战客户端.
原文地址:https://www.jb51.cc/aspnet/247619.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
