Eu assisti e visualizei muitas páginas sobre como proteger as APIs do asp.net web - incluindo:http://weblogs.asp.net/jgalloway/archive/2012/03/23/asp-net-web-api-screencast-series-part-6-authorization.aspx ehttp://weblogs.asp.net/jgalloway/archive/2012/05/04/asp-net-mvc-authentication-customizing-authentication-and-authorization-the-right-way.aspx - no entanto, eu ainda não vi um exemplo do tipo KISS.

Se eu tiver uma web api, que retorna uma lista de carros, por exemplo - e eu estou trabalhando com uma terceira parte (ou seja, não meu próprio site ou servidor / domínio) que deseja consultar (get) e inserir (post) listas de carros por um tipo, no meu banco de dados, como eu os autentico (via https)?

Eles simplesmente adicionam (no JSON GET / Post) algo como:

[
{"username":"someusername","password":"somepassword",
{
"carTypeID":12345,
"carTypeID":9876}
"carTypeID":2468}
}
}
]

Posso pegar o nome de usuário e a senha e verificar no banco de dados de associação em .net, e "IfUserAuthenticated" continuar processando o resto do JSON?

Ou existe uma maneira melhor de fazer isso? Já ouvi falar de detalhes nos cabeçalhos etc. - mas não tenho certeza se isso é por uma razão, ou se complica muito. Eu também ouvi falar de tokens que são enviados de volta para a terceira parte - se esse é o melhor método, quais instruções eu dou a eles construindo seu lado do aplicativo que usará minha API?

Obrigado por qualquer conselho / ponteiros

Marca