Jestem zainteresowany tworzeniem kluczy API dla web.api i pozwalaniem klientom na komunikowanie się z API przy użyciu kluczy API zamiast autoryzacji web.api zapewnia.Web API tworzenie kluczy API
Chcę, aby wielu klientów mogło komunikować się z web.api. zamiast tworzyć nazwę użytkownika i hasło, mogę użyć klucza API i umożliwić klientom komunikację z klientem.
Czy istnieje taka wbudowana funkcjonalność?
jeśli ktoś chce go wdrożyć, jak by się do tego obejść?
Możesz to osiągnąć, używając HMAC Authentication. Zasadniczo może istnieć tabela bazy danych o nazwie ApiKey (apiKey, secretKey). Każdy klient ma każdy Apikey i tajny klucz:
ApiKey jest jak klucz publiczny i zostaną wysłane za pośrednictwem protokołu HTTP (podobnie z nazwą użytkownika).
Klucz tajny nie jest wysyłany za pośrednictwem protokołu HTTP, użyj tego tajnego klucza, aby wykonać hmac niektóre informacje i wysłać skasowane dane wyjściowe do serwera. Od strony serwera, w oparciu o klucz publiczny, można uzyskać odpowiedni klucz tajny i informacje mieszania, aby porównać z wynikiem mieszania.
Pisałem szczegółową odpowiedź w: How to secure an ASP.NET Web API
Można zmienić nazwę użytkownika ApiKey i zakodowane hasła przez tajnego klucza na moją odpowiedź do map ze swojego pomysłu.
Istnieje interesujący artykuł o tym, jak używać procedur obsługi wiadomości HTTP, które pomogą Ci osiągnąć to, co chcesz.
Istnieje nawet przykład implementowania kluczy API w połowie strony!
Więc będziesz potrzebował klienta do budowania skrótu na każdym żądaniu API? Jakie są związane z tym obciążenie? – EkoostikMartin
Wydaje mi się, że tak właśnie działa HMAC. Czy mógłbyś rozwinąć swoje pytania? –
Jeśli nazwiesz 'ComputeHash (string hashedPassword, string message)' w każdej metodzie wywoływanej przez klienta, ile czasu to doda do każdego połączenia? Jak długo średnio zajmuje "ComputeHash"? – EkoostikMartin