我的ASP.NET API目前接受来自经过身份验证和注册的用户的请求。我想添加一些新的API方法,这些方法只应对来自某些应用程序的请求 - 比如我创建的网站。
如何在ASP.NET API应用程序中处理此“应用程序身份验证”方案?
答案 0 :(得分:0)
简单的方法是在服务器将验证的请求标头中传递一些密钥[KEY]。为了使其更安全,并确保没有中间人可以嗅探您的密钥,更好的方法是在sha函数中传递sha(KEY:timestamp)和timestamp使用的令牌。
在API服务器上收到此类请求后,您应验证收到的时间戳是否过旧/过期,并构建serverToken = sha(KEY:timestamp)。如果来自标头的令牌与serverToken相同,则请求被验证。