ASP.net Web API RESTful Web 服务 + 基本身份验证答案

【问题标题】：ASP.net Web API RESTful web service + Basic authenticationASP.net Web API RESTful Web 服务 + 基本身份验证
【发布时间】：2013-06-11 21:33:44
【问题描述】：

我正在使用 ASP.Net Web Api 实现一个 RESTful Web 服务。我已经得出结论使用基本身份验证 + SSL 来进行身份验证部分。实现它的最佳/正确方法是什么？

我的第一次尝试是手动进行，解析授权标头，根据我的数据库解码和验证用户。它有效，但我想知道我是否遗漏了什么。

我见过一些使用用户角色和主体的解决方案。虽然我不确定这些实际上是做什么的，但我几乎可以肯定我不需要这些，因为在我的数据库中我定义了我自己的用户和他们的角色。

我还没有完全理解的是，服务的消费者是否必须在每个请求中发送凭据，或者它们是否被缓存。我的服务应该做些什么来实现这一点，还是完全由消费者来处理？

最后一个关于客户端使用 javascript 发出请求的问题。如果他们尝试使用该服务，是否会出现任何“跨域请求”问题？

【问题讨论】：

标签： asp.net-web-api basic-authentication restful-authentication

【解决方案1】：

Jamie Kurtze 在这里ASP.NET Web API REST Security Basics 提供了使用基本身份验证的一个很好的解释

据我了解，如果您希望您的请求是无状态的，那么每个请求都需要设置 Authentication 字段

Jamie Kurtze 将必要的代码封装在派生自 DelegateHandler 的类中，而 Rick Strahl 使用过滤器检查调用是否有效。您可以在A WebAPI Basic Authentication Authorization Filter A WebAPI Basic Authentication Authorization Filter 上阅读他关于此主题的博客文章

【讨论】：

您好，当我写下这个问题时，我并不清楚如何使用 Principals 和 Roles（以及它们与我自己的用户有什么关系）。我现在所做的是使用 Authentication 标头来传递凭据和 Http 模块来统一检查它们。有时间我会看看你的链接。
我的实现现在工作得很好，但这些对于未来的读者来说是很好的链接。
您的第一个链接 ASP.NET Web Api REST 安全基础知识已失效

【解决方案2】：

通过将[BasicHttpAuthorize] 属性添加到适当的控制器/方法，对初始（登录）请求使用基本身份验证。如果需要，请使用属性指定 Users 和 Roles。将BasicHttpAuthorizeAttribute 定义为专门的AuthorizeAttribute，如下所示：

public class BasicHttpAuthorizeAttribute : AuthorizeAttribute
{
    protected override bool IsAuthorized(HttpActionContext actionContext)
    {
        if (Thread.CurrentPrincipal.Identity.Name.Length == 0) { // If an identity has not already been established by other means:
            AuthenticationHeaderValue auth = actionContext.Request.Headers.Authorization;
            if (string.Compare(auth.Scheme, "Basic", StringComparison.OrdinalIgnoreCase) == 0) {
                string credentials = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(auth.Parameter));
                int separatorIndex = credentials.IndexOf(':');
                if (separatorIndex >= 0) {
                    string userName = credentials.Substring(0, separatorIndex);
                    string password = credentials.Substring(separatorIndex + 1);
                    if (Membership.ValidateUser(userName, password))
                        Thread.CurrentPrincipal = actionContext.ControllerContext.RequestContext.Principal = new GenericPrincipal(new GenericIdentity(userName, "Basic"), System.Web.Security.Roles.Provider.GetRolesForUser(userName));
                }
            }
        }
        return base.IsAuthorized(actionContext);
    }
}

让初始响应包含用户的 API 密钥。使用 API 密钥进行后续调用。这样，即使用户更改了用户名或密码，客户端的身份验证仍然有效。但是，在更改密码时，请为用户提供“断开客户端连接”的选项，您可以通过删除服务器上的 API 密钥来实现。

【讨论】：

我已经解决了这个问题，但感谢您的回答。我发现在所有 API 调用中，在 Authorization 标头中传递用户名和密码更容易，而不是使用您建议的令牌方法。
@Edward 非常感谢您的帖子，我觉得它最有帮助。您在此示例中使用什么用户和角色机制？因为我看到你创建了一个新的 GenericPrinsiple。您能否详细说明我如何将您的解决方案集成到一个新的空 web api 项目中。
@Zapnologica 此代码使用 Microsoft 在 VS2013 之前使用的旧会员身份模型。带有 VS2013 的模板使用新的基于 OWIN 的身份系统，该系统执行自定义用户名/密码身份验证，然后使用不记名令牌，从而无需 BasicHttpAuthorize。
@EdwardBrey，好吧。哈哈这让我有点失望，所以你能指出我正确的方向吗？我需要上面的示例，但需要使用 owin 变体。
@Zapnologica 对不起，但我不知道手，因为我不需要 OWIN 的这种方法。快速搜索显示an article，其中提到Request.GetOwinContext 以获取可以调用Authentication.User 的上下文。或许答案就在那个方向。

【解决方案3】：

在这里查看一个好的基本身份验证实现

http://leastprivilege.com/2013/04/22/web-api-security-basic-authentication-with-thinktecture-identitymodel-authenticationhandler/

有更多关于它的阅读： https://github.com/thinktecture/Thinktecture.IdentityModel.45/wiki

【讨论】：

这些链接并不能真正回答我的问题。可能只有第一个问题，但它们指的是配置第三方安全库。由于时间不够，我想避免使用更多的库。