Мне было поручено включить аутентификацию и авторизацию для API нашего проекта.Основная цель - защитить методы от неправильного использования, однако мы также должны позволить разработчику из другой компании вызывать методы в их коде.
Будучи новичком в аутентификации и авторизации, я поражен множеством различных опций, доступных для .NET и т. Д. Некоторые методы выглядят многообещающе, пока вы не прочитаете, что они передают учетные данные в виде простого текста (базовая аутентификация?) Или возникли другие проблемыи т.д. ... Я просто ищу надежный и безопасный подход.
Я использую IIS для размещения веб-API, и я видел, что одним из таких вариантов является аутентификация на «уровне хоста».,Мой руководитель упомянул, что это предпочтительный подход.
Я просмотрел множество тем и видео, касающихся проверки подлинности в IIS.Из того, что я могу решить, такое решение предупреждает пользователя о том, что определенное действие требует аутентификации и ввода их учетных данных.
Мои проблемы заключаются в следующем:
- Учитывая другого разработчикане является членом нашего домена, как они могут аутентифицироваться, используя свои (windows?) учетные данные.Есть ли альтернатива аутентификации Windows?
- Как требование авторизации для определенных действий API повлияет на работу сайта в нормальном режиме?Т.е. мне придется передавать действительные учетные данные в API в моем коде для каждого запроса?
В целом, я просто немного неуверен в том, как все это работает, и я ценю любые советы.