问针对客户端桌面上运行的应用程序的REST API身份验证

EN

到第一个答案

我很困惑如何处理这个问题-如果REST API调用应该从前端或后端服务进行，如果它是前端的，我如何开始对存储进行身份验证。

既然你说

我需要将数据从用VB.net、Java、C#、C++、Node.js和其他现代语言制作的应用程序推送到我们的服务器上。

在我看来，您似乎想要服务器(您的客户) ->服务器(您的REST API)通信。

在进入安全性选项之前，您需要考虑安全性和时间/资源。

从安全开始，如果您正在处理HIPAA、PII或其他敏感数据，那么一定要做更多的研究。

接下来是时间/资源。像AuthRocket或Okta这样的SaaS服务将使生活变得更容易，然而，这是每月的费用。你可以把一个开源库放入你的API中，你只需要花时间来开发、测试和维护(以及处理用户注册、丢失pws等问题)。

因此，现在是身份验证。像Amazon这样的ID/Token身份验证是最常见的方式。客户发出的每个REST请求都将包括他们的ID和令牌(例如ID=customer-123, Token=laksdjflaksjdf)。要处理拥有多台机器的客户，您可以发出n个令牌，每台机器一个令牌。客户将负责将凭据放在每台机器上。再说一次，这是最常见的方法。

您也可以使用OAuth，但这对您的用例没有多大意义，因为它是公司的，而不是个人的(通常OAuth是面向开发人员的API)。

还有其他各种基于令牌的身份验证方法，但这些方法通常更适合客户端->API请求(网站->API)。