Web api 2安全- api密钥

Question

我正在构建一个API，我的公共移动应用程序(xamarin forms)将调用它来获取信息。然而，出于安全原因，为了将API的用户限制为仅限我的应用程序，我希望公共移动应用程序(xamarin forms)传递一个密钥，以便能够调用API。那么，基本身份验证是最佳选择吗？还是有别的方法呢？

Answer 1

您可以在您的web api项目中使用任何基于身份验证的机制。最好的版本是使用Owin的最新Identity 2.0。

OAuth是一种开放的身份验证标准，使资源所有者能够通知资源提供商应将权限授予第三方，以便在不共享资源所有者身份的情况下访问其信息。

在您的Xamarin客户端项目(移动应用程序)中，使用Xamarin.Auth开发工具包对用户进行身份验证。它提供了许多功能，还可以帮助您扩展和使用社交身份验证。

Xamarin.Auth是一个跨平台的应用程序接口，用于对用户进行身份验证并存储他们的帐户。它包括支持使用身份提供商的OAuth身份验证器，如谷歌、微软、脸书和推特。

使用OAuth身份提供程序时的身份验证流如下：

1. 应用程序将浏览器重定向到身份提供者URL。URL查询参数指示所请求的访问类型。身份提供者处理用户身份验证，并向application.
2. The应用程序返回授权码。identity provider.
3. The应用程序使用访问令牌访问
4. 来交换授权码、客户端ID和客户端密码。

该应用程序使用Xamarin.Auth提供的OAuth2Authenticator和OAuth2Request类来实现身份验证流的应用程序端。

有关Authenticating Users with an Identity Provider Using the Xamarin.Auth component for authentication implementing的详细说明，请访问here。