Я реализую веб-службу RESTful с помощью ASP.Net Web Api. Я пришел к выводу, что для проверки подлинности используется обычная проверка подлинности + SSL. Каков наилучший/правильный способ его реализации?
Моя первая попытка состояла в том, чтобы сделать это вручную, проанализировав заголовок авторизации, расшифровав и проверив пользователя по моей базе данных. Это работает, но мне интересно, не хватает ли чего-то.
Я видел некоторые решения, используя роли и принципы пользователей. Хотя я не уверен, что они на самом деле делают, я почти уверен, что мне это не понадобится, поскольку в моей базе данных я определяю своих пользователей и их роли.
Кроме того, я еще не совсем понял, есть ли пользователи службы должны отправлять учетные данные с каждым запросом или они каким-то образом кэшируются. Должна ли моя служба делать что-то для того, чтобы это произошло, или полностью для потребителя, чтобы справиться с этим?
И последний вопрос о клиентах, делающих запросы с javascript. Будут ли какие-либо проблемы с "кросс-доменом", если они попытаются использовать эту услугу?