没有用户名密码的Web API认证
问题描述:
我已经为本地认证配置了一个简单的web api。这工作正常。没有用户名密码的Web API认证
我有一个控制台应用程序与httpclient实现消耗Web API。
当控制台应用程序运行时,它在标头中发送凭证并接收令牌,并正常操作。
因为我希望这个应用程序在后台运行,并希望保持最小的用户干预,那么无论如何,我可以在不影响安全方面的情况下取消用户名/密码。
答
通过标头传递用户名和密码不是安全威胁,你可以做的安全措施是在发送之前对它们进行加密,然后在API端进行解密,并通过HTTPS使您的Web API更安全。
+0
关心的是便利性。我同意你关于安全的观点。我正在研究在每次重新启动时提供凭据的可能性。 –
我不清楚,你的意思是*保持用户干预最小*?你想做什么? –
@自从它有一个控制台应用程序以来,我不希望管理员在每次重新启动服务器时都提供凭据。 –