ASP.NET Web API を使用して RESTful Web サービスを構築中です。サービスを保護するための認証メカニズムとして OAuth 1.0 を使用することを検討しています。私たちの API は資格情報ストアも維持するため、OAuth プロバイダーになります。私たちの API を使用するクライアント アプリケーションは、ユーザー名とパスワードを使用して認証する必要があるエンド ユーザーによって使用されるため、クライアント アプリは OAuth コンシューマーと見なされると想定します。クライアント アプリケーションは API 呼び出しを行って未承認のリクエスト トークンを取得し、トークンと共にユーザーの資格情報を送信してアクセス トークンを取得します。
最終的に、他のサードパーティ アプリケーションが API を介して私たちのアプリケーションにアクセスしようとしているのを確認できました。彼らは、私たちのアプリケーションがクレデンシャル プロバイダーであるリダイレクトで OAuth を使用していました。
これは OAuth を使用する実行可能な方法ですか? DotNetOpenAuth のようなものはこのシナリオをサポートしますか?