如何使REST API被注册的应用程序使用
本文关键字:应用程序 注册 何使 REST API | 更新日期: 2023-09-27 18:25:06
我有REST API,为了使其更安全,我希望仅限制对已注册应用程序或网站的访问。
现在,这些客户端应用程序可以是安卓/Windows/黑莓/苹果等下的网络应用程序或移动应用程序。
此外,我不能要求客户端应用程序修改代码以存储我的其余API提供的任何值来注册。(因为这些应用程序可能使用数据库或其他持久媒体,也可能不使用)。
WCF REST API不应指示调用方是否已向其注册。
如何做到这一点的任何建议。
使用HTTP基本身份验证(只要REST服务在HTTPS下运行)是一种非常标准的方法。然后,您为要访问API的每个注册应用程序生成登录名/密码。
[编辑:点击此处查看更多详细信息:http://en.wikipedia.org/wiki/Basic_access_authentication
基本上,当客户端连接时,他们需要对用户名/密码进行Base64编码,并将其附加到标准的HTTP授权标头中。您的服务器应用程序读取标头,解码并提取用户名/密码,并将其与您的授权应用程序列表进行检查。
注意-标题只有base64编码,因此用户名/密码实际上是纯文本。如果你想使用这种身份验证方法,你真的应该运行HTTPS,否则头部会被拦截]