系统将生成一个URL并发送到客户手机/电子邮件。
当用户单击 URL 链接时,它应调用 Web api 服务以获取一些数据并显示。但是我的 Web api 服务不允许标头中没有凭据的任何请求。
同时,我无法在生成的URL中传递凭据。如何处理这个问题?我也不能单独忽略此 api 的身份验证。
编辑:(编辑了问题,因为它报告得太宽泛了)
有什么方法可以生成身份验证密钥并且可以在服务器端进行验证?我不能有任何静态 API 密钥来验证,因为我可能需要在前端配置它,哪一端有安全问题?
您可以创建某种会话机制,每次为用户生成 guid 并将其放在缓存中(复制到数据库以避免在缓存失败时丢失它)大约 1 天或您需要的任何时间,然后在服务器端通过此 id 授权用户。您的网址将如下所示
https://example.com/[generated session guid]