بهترین روش استفاده از Token است. شما با ارسال نام کاربری و رمز عبور به آدرس
www.mysite.com/token یک نشان امنیتی دریافت می کنید.
(البته این درصورتی که Middleware مروبطه را با OWIN فعال کنید . به پروژه ی خام ویژوال استودیو مراجعه کنید)
بعد با هر درخواستی که به سرور ارسال می کنید باید این نشان را درون header درخواست ارسال کنید.
عمل Authorize در Web Api نشان را از هدرهای دریافتی استخراج میکند و هویت کاربر را تشخیص میدهد.
اگر از پروژه خام ویژوال استودیو استفاده کنید نیاز به تنظیم خاصی ندارید و این سیستم روی پروژه قبلا سوار شده است.
دقت کنید که برای ارسال نام کاربری و رمز عبور باید از فرمت فرمهای HTML استفاده کنید و از JSON پشتیبانی نمیکند.
همچنین استفاده از این سیستم بدون HTTPS و SSL ضریب امنیت سیستم را به شدت پایین می آورد.
اگر از Api در کنار سایت اصلی استفاده می کنید نیاز به ارسال و دریافت token ندارید. وقتی کاربر با صفحه ی ورود به سایت لوگین می کند در Web Api هم وارد شده است و می تواند از متدهای آن استفاده کند. روش بالا برای برنامه های ویندوز یا اپلیکشن های جاوا اسکریپت ، نرم افزارهای گوشی و ... مناسب است.