mvc5 と webapi の 2 つのプロジェクトがあります。mvcを使用しているにもかかわらず、純粋なクライアント側の邸宅からAPIを呼び出したいと思っています(アプリケーションのようなスパに古いコードを移行しようとするのが遅くなり、現在のコードベースを維持できます)。
API の URL は subdomain.mydomain.com/api などのメイン ドメインの下にあるため、jsonp やクロスドメインについて心配する必要はありません。
API を保護するにはどうすればよいですか。ユーザーが mvc5 アプリケーションにログインするときに、アクセスできる何らかのキーまたはトークンがあると考えるのは正しいでしょうか。サイトのどこかに保存して、リクエストヘッダーに追加しますか?
このアプローチに従う場合、API 側でトークンを検証するにはどうすればよいですか。ヘッダーを読み取るアクションフィルター? または、よりクリーンな方法があります。
API の使用に関して私が実際に見つけることができる唯一の情報は、基本認証を使用することです。