APIキー認証とユーザー認証のベストプラクティス

Question

この状況のベストプラクティスを教えてもらえますか。

開発者がAPIキーを使用してアクセスできるRESTサービスがあります。 （私はこれをWCF WEB APIで動作させています）、この部分は完了です。

私は開発者にUSERを検証させたいと思います。すなわち、ユーザによって入力されたユーザ名およびパスワードをチェックするためにRESTを使用する。

各エンドポイントメソッドは、メソッド呼び出しの基本認証ではなく、APIキー認証のみを必要とします。

これを最もうまく実装するにはどうすればよいですか？

フィル。

Answer 1

安全な方法でパスワードデータをRESTfulサービスに送信するには、httpでの通信を保護する必要があります。これを行うにはさまざまな方法があります。こちらの記事をご覧ください： How to secure RESTful web services?