Я создал API ядра .net, который использует Dapper и подключается к потенциально нескольким базам данных SQL Server, используя SQL Server Security. Я хотел бы ознакомиться с рекомендациями по передаче имени пользователя и пароля из клиентского приложения в API.
Текущая идея заключается в передаче кредитов в заголовке запроса. Имя пользователя и пароль должны передаваться при каждом запросе, поскольку каждый вызов может передаваться в другую базу данных.
Регистрация клиента с клиента не происходит. Все пользователи настраиваются в базе данных их соответствующими администраторами. Если их нет в БД, у них нет доступа. (Некоторые установки используют проверку подлинности Windows, что является еще одним источником червей, которые я еще не изучил.)
Передача кредитов в заголовках запросов работает нормально, однако я не знаком с лучшим способом шифрования пароля, чтобы он не был открытым текстом в заголовке.