Я пытаюсь создать службу отдыха, используя asp.net web api, и все работает нормально, но теперь я столкнулся с тем, что делать с аутентификацией.
Я немного запутался, с чего начать, вот что я думал.
У меня есть rest api, который я разрабатываю, состоящий из нескольких ресурсов, каждый ресурс должен будет регистрироваться пользователем, чтобы быть лучшим действием для этого? Должен ли я просто отправлять имя пользователя и пароль в заголовке при каждом вызове службы, чтобы я мог аутентифицироваться на сервере, используя
AuthorizationFilterAttribute
Я должен хотя бы зашифровать его? Мне бы очень хотелось узнать, что делают другие, я знаю, что существует концепция создания токена (который, как я полагаю, будет недолгим), поэтому пользователь будет аутентифицироваться, а затем получит токен, этот токен будет отправлен на дальнейшие звонки в службу. Я должен предположить, что токен должен быть коротким. Итак, как бы я справился с проблемой, когда истекает токен?
У меня также есть ресурс, который используется для регистрации нового пользователя, на самом деле единственными вещами, которые будут называть это, являются мои клиенты (android, iphone). Я должен оставить его БЕСПЛАТНО любых методов проверки подлинности или установить жесткий пароль или что-то подобное, чтобы, по крайней мере, никто другой не мог регистрировать новых пользователей? Принимая во внимание, что услуга будет публичной в Интернете.
Я бы очень признателен за любые отзывы, которые есть у вас на этом сайте.
Я просто не могу найти правильный способ сделать это, я, конечно, хочу попробовать и исправить это в первый раз, поэтому мне не нужно полностью реорганизовывать сервис.
Заранее спасибо