Ho un servizio web creato con WebAPI che accetta richieste JSON e risponde di conseguenza. L'architettura principale è costruita ma non c'è alcuna autenticazione / autorizzazione.
Dopo molte ricerche su google e sondaggi su progetti di esempio, non sono sicuro da dove cominciare. Ho trovato un sacco di materiale dal 2008 e dal 2009 ma non un sacco di guide / flussi di lavoro recenti per applicazioni WebAPI / singola pagina. Penso che il flusso di lavoro dovrebbe essere il seguente:
-
Verifica se l'utente è connesso: come può essere fatto con javascript? Devo inviare un cookie al mio webAPI? In tal caso, posso inviare quel cookie come parametro nel corpo della richiesta?
-
Consenti all'utente di accedere / registrarsi: come vengono crittografati / decodificati questi dati? Sicuramente non posso inviare password sul filo ... è qui che entra in gioco SSL?
-
Fornire loro l'accesso a ciò a cui hanno diritto di accesso: penso di averlo ottenuto - posso solo autorizzarlo nei controllori in base alle richieste.
Qualsiasi informazione sarebbe fantastica.