我一直在尝试确定在调用Web API服务的单个WPF应用程序之间进行身份验证的良好策略。
客户端WPF应用程序应该是唯一一个调用Web API的应用程序。 我想我确实有一些必须遵守的独特要求。例如,老板不想以任何方式使用ssl;他很可能不得不处理证书。
就像我说的,客户端应用程序是唯一使用Web API的客户端。 API只是在单独的服务器上调用存储过程列表。
目前,我们的用户成员资格数据库与任何成员资格数据库标准不一致,但我们目前拥有超过200,000名成员。其中一个存储过程当前使用成员资格db对用户进行身份验证。客户端应用程序要求有效用户在启动时登录应用程序,但是,我们希望保护从客户端发送的所有Web API请求,以防止向服务器发出无效请求,从而防止这种情况发生。
由于增加了成本,我们担心使用个人帐户或本地身份验证基本上对每个Web API请求进行身份验证。
我一直在想我们真正需要做的就是验证我们的软件客户端(WPF应用程序)发出请求并且这种身份验证可以打开客户端发出的所有控制器和操作比用户。用户及其身份验证在某种程度上是分开的,并且用于防止未经授权的用户在特定计算机上安装应用程序。 因此,您必须拥有有效的用户帐户才能使用该应用程序。
任何建议都会很棒。我只是想要指出正确的方向。我真的很擅长安全,所以所有建议都对我有价值。 感谢。