Я пытаюсь создать службу REST, используя asp.net web api, и все работает нормально, но теперь я столкнулся с тем, что делать с аутентификацией.
Я немного не понимаю, с чего начать, вот о чем я подумал.
У меня есть REST api, состоящий из нескольких ресурсов, для каждого ресурса потребуется регистрация пользователя, так что лучше всего сделать для этого? Должен ли я просто отправлять имя пользователя и пароль в заголовке при каждом вызове службы, чтобы я мог аутентифицироваться на сервере, используя
AuthorizationFilterAttribute
Я должен хотя бы зашифровать его? Мне было бы интересно узнать, что делают другие, я знаю, что существует концепция создания токена (который, как я полагаю, будет недолговечным), поэтому пользователь будет аутентифицироваться, а затем получит токен, этот токен будет отправлен о дальнейших обращениях в сервис. Итак, как мне решить проблему, когда срок действия токена истечет?
У меня также есть ресурс, который используется для регистрации нового пользователя, на самом деле единственное, что будет вызывать его, - это мои клиенты (Android, iPhone). ТАК, я должен оставить его БЕСПЛАТНЫМ от каких-либо методов аутентификации или поставить жестко закодированный пароль или что-то подобное, чтобы, по крайней мере, никто другой не мог регистрировать новых пользователей? Принимая во внимание, что услуга будет общедоступной в Интернете.
Я просто не могу найти правильный способ сделать это, я определенно хочу попытаться сделать это правильно с первого раза, чтобы мне не пришлось полностью реорганизовывать службу.