Я новичок в мире C # и .Net и никогда раньше не задумывался над подобными требованиями.
Короче говоря, это приложение сначала будет иметь два класса пользователей, клиентов и администраторов, и будет использовать метод «Индивидуальной» аутентификации ядра .Net. Помимо реализации авторизации на основе ролей для пользователей, я хотел бы изучить ограничение доступа к API только для клиентов, для которых администраторы сгенерировали некоторый ключ API. Поэтому сценарий или клиент для отдыха с действительными учетными данными пользователя не сможет получить доступ к API, если у него также не будет ключа API.
Клиенты имеют в виду веб-интерфейс и возможные мобильные приложения.
Тем не менее, я понимаю, что лучше не зависеть от доверия клиенту, поскольку любой ключ может быть потенциально раскрыт, если клиент каким-либо образом скомпрометирован. С учетом сказанного я все же хотел бы узнать, как реализовать это, если это не пустая трата времени.