Я использовал подход, очень похожий на тот, который используется для реализации подхода Api Key для определения того, какие клиенты используют веб-сервис: http://blogs.msdn.com/b/rjacobs/archive/2010/06/14/how-to-do-api-key-verification-for-rest-services-in-net-4.aspx
У меня есть вопрос о безопасности ... служба былапройти тестирование безопасности сторонней компанией.Один из их комментариев «низкого риска» (т. Е. Тот, который не требует немедленного внимания), заключается в том, что параметры передаются как httpget.Сервис предназначен исключительно для поиска информации.Однако apikey находится в строке запроса ... например, URL может быть
https://url.com/companies?company_name=searchforthiscompany&address=paris&apikey=a-long-guid
"Подразумевается: когда параметры передаются как часть запросов HTTP Get, они более вероятныдля хранения в промежуточных или других файлах журнала сервера. Любопытный пользователь может потенциально увидеть конфиденциальную информацию, такую как APIKey.
Рекомендация: Если возможно, параметры следует передавать как часть тела HTTP POST. "
Должен ли я беспокоиться об этом ?!Приятно иметь возможность просто вставить URL в браузер и получить результат.Измените ли вы все свои методы для использования POST в этом случае?
Любое понимание приветствуется