我使用Http基本身份验证从移动应用程序访问我的API。不幸的是,我需要在内部保存状态。由于状态是每个会话,我不能使用用户名/密码作为状态密钥。似乎我必须添加一些东西,如cookie,会话标识符或API密钥。我宁愿不添加是作为我的URL的一部分,而是将其添加到标题(用户名/密码/id而不是用户名/密码)。
你有什么建议吗?这有意义吗?
您可能希望第一次使用基本身份验证与web api协商会话密钥,并在其余调用中使用该会话密钥的HMAC身份验证。您可以将您的内部状态分配给该会话密钥。对于HMAC身份验证,您可以使用Hawk。我在。net中有一个Hawk的实现,叫做Hawk.NET。
https://github.com/pcibraro/hawknetjavascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium