在c# web api上进行用户认证的最佳实践是什么?

我正在构建一个web API，为一些应用程序提供数据。

该场景类似于托管在Server001上的web api，具有GET/POST/PUT/Delete方法。

在Server002中，

是另一种技术(例如PHP)的站点，它将使用提供API的数据来呈现给您的用户。网站/ios/android/wp8其他应用程序也可以从我的webapi(当然是权限webapi)获取数据。

所以我在考虑为每个注册的应用程序生成密钥。每个Get/Post的头都会发送这个键，这样我就知道一个应用程序是否被允许。

之后，我考虑用户如何登录?如果用户通过PHP请求日志，而在IOS应用程序，我想知道，并想显示给他。因为今天的Gmail就是这样。因此，我需要管理应用程序和每个用户记录的位置。我怎么能这么做?有现成的解决方案吗?

保存在内存缓存所有用户登录所有应用程序是正确的吗?我担心如果有成千上万的用户同时连接就会出现问题?

我在安全方面完全是新手，我不想现在做的事情三个月后再做。

谢谢