ASP.NET Web API 2 和 ASP.NET Internet 应用程序集成

Question

我是 ASP.NET 新手，但我需要创建一个小项目 - 由管理面板（一个网站）和一个 android 应用程序（用 java 编写）组成。计划是发布 ASP.NET Web API 并由 android 应用程序和网站（可能是 ASP.NET MVC）使用它。上述客户端具有不同的功能。我还需要识别以前注册的 android 客户端。我有几个问题：

• 这是一个好的设计吗？
• 如何保证识别和授权？每次调用服务时，我可以在 http 请求中附加注册的 deviceID 吗？有没有更好的解决方案？
• 我应该使用 WCF Web 服务而不是 Web API 吗？

如果有任何提示和建议，我将不胜感激。

Answer 1

计划听起来不错，应该没有大的陷阱。

关于身份验证/授权，请考虑基于令牌的 Oauth2-like 身份验证。有不同的流程旨在通过相同的身份验证协议处理被动客户端（Web 浏览器）和移动本地应用程序。通过这种方式，您可以一次性公开您的 webapi，并在非常不同类型的客户端上使用它，并且始终具有适当的安全性。

使用 deviceID 听起来像是一种开发自定义安全协议的方法，这迟早都会受到伤害。

有关基于令牌的身份验证的更多详细信息：

http://www.amazon.com/Pro-ASP-NET-Web-API-Security/dp/1430257822