Ho chiesto una domanda successiva ( guarda questo link ).
Sulla base delle mie conoscenze, devo rilasciare un ClientId e una chiave segreta univoci agli abbonati dell'API subito dopo la fase di registrazione (il client vive con quelle chiavi per sempre).
Sto pensando di emettere solo un ClientId (valore intero di incremento automatico) al sottoscrittore dell'API con le istruzioni che indicano che deve inviare l'ID del cliente insieme alla chiave segreta del cliente ad ogni richiesta. Quindi, posso usare ClientId per interrogare la tabella del database ed eseguire una convalida su Client Secret Key.
Domande:
- Devo crittografare ClientId (valore intero di incremento automatico) e decrittografarlo ogni volta che lo ricevo ed eseguire convalide?
- Attualmente, la chiave segreta del client viene generata utilizzando SymmetricAlgorithm .
Grazie!