Supponiamo che io stia progettando un'applicazione Web e anche costruendo un'API Web con autenticazione tramite Kerberos / NTLM. L'API Web è la prima per la mia app, ma immagino di voler renderla generale. Il mio istinto è quello di creare l'API Web come propria soluzione separata, e quindi consumarla con le richieste XHR nella mia app web. Quindi forse ho l'API ospitata su fooapi.mysite.com , e l'app utilizzabile dal browser è ospitata su foo.mysite.com .
Dovrei quindi permettere a CORS di tenerlo in considerazione? Non dovrei specificare le origini CORS per ogni consumatore? O devo invece riprodurre le chiamate API sulla mia app, diciamo sotto foo.mysite.com/api ? Se quest'ultimo, esiste un modo intelligente per farlo in ASP.NET senza scrivere completamente una seconda API Web?
O ho un approccio sbagliato e dovrei attenermi a un'API Web specifica per l'applicazione?
Qual è la pratica comune per lo scenario di voler fare un'API principalmente per un sito ma consumabile anche da altri? Devo impegnarmi a CORS o ho bisogno di API specifiche per app?