Lors de la conception d'une API ou d'un service REST, existe-t-il des meilleures pratiques établies pour gérer la sécurité (authentification, autorisation, gestion des identités)?
Lorsque vous créez une API SOAP, vous avez WS-Security comme guide et de nombreuses publications existent sur le sujet. J'ai trouvé moins d'informations sur la sécurisation des points de terminaison REST.
Bien que je comprenne que REST n'a intentionnellement pas de spécifications analogues à WS- *, j'espère que les meilleures pratiques ou les modèles recommandés ont émergé.
Toute discussion ou tout lien vers des documents pertinents serait très apprécié. Si cela est important, nous utiliserions WCF avec des messages sérialisés POX / JSON pour nos API / services REST construits à l'aide de la v3.5 du .NET Framework.