Oglądałem i oglądałem wiele stron na temat zabezpieczania api w sieci web asp.net - w tym:http://weblogs.asp.net/jgalloway/archive/2012/03/23/asp-net-web-api-screencast-series-part-6-authorization.aspx ihttp://weblogs.asp.net/jgalloway/archive/2012/05/04/asp-net-mvc-authentication-customizing-authentication-and-authorization-the-right-way.aspx - jednak nie widziałem jeszcze przykładu typu KISS.

Jeśli mam api WWW, które na przykład zwraca listę samochodów - i pracuję z podmiotem trzecim (tj. Nie moją własną stroną internetową lub serwerem / domeną), który chce wysyłać zapytania (pobierać) i wstawiać (publikować) listy samochody według typu, do mojej bazy danych, jak mogę je uwierzytelnić (przez https)?

Czy po prostu dodają (do swojego JSON GET / Post) coś w rodzaju:

[
{"username":"someusername","password":"somepassword",
{
"carTypeID":12345,
"carTypeID":9876}
"carTypeID":2468}
}
}
]

Mogę wtedy pobrać nazwę użytkownika i hasło, i sprawdzić w mojej bazie członkostwa w .net, a „IfUserAuthenticated” przejdzie do przetwarzania pozostałej części JSON?

Czy jest lepszy sposób na to? Słyszałem o dodawaniu szczegółów do nagłówków itp. - ale nie jestem pewien, czy to z jakiegoś powodu, czy z powodu komplikacji. Słyszałem również o ustawianiu żetonów, które są odsyłane do strony trzeciej - jeśli to najlepsza metoda, jakie instrukcje mam im dać, aby zbudowali swoją stronę aplikacji, która będzie korzystać z mojego API?

Dziękujemy za wszelkie porady / wskazówki,

znak