7

我不得不使用 .NET(最初用 Ruby 编写)重写现有的 REST API。从客户端的角度来看,它必须以与旧 API 完全相同的方式工作 - 即客户端代码不需要更改。当前的 API 需要基本身份验证。因此,要调用旧 API,以下内容可以完美运行:-

        var wc = new System.Net.WebClient();
        var myCache = new CredentialCache();
        myCache.Add(new Uri(url), "Basic", new NetworkCredential("XXX", "XXX"));
        wc.Credentials = myCache;
        var returnBytes = wc.DownloadData("http://xxxx");

(出于安全原因,我不得不省略真实的 URL/用户名/密码等)。

现在我正在使用带有 MVC4 的 ASP.Net Web API 编写新的 API。我有一个奇怪的问题,找不到其他人有完全相同的问题。为了支持基本身份验证,我遵循了这里的指南:

http://sixgun.wordpress.com/2012/02/29/asp-net-web-api-basic-authentication/

有一件事,我将代码放在 Application_Start() 事件的 Global.asax.cs 文件中的“处理程序中”(没有解释,所以我猜想)。

无论如何,如果我使用上面的代码调用我的 API(我已经在 IIS 中部署),Authorization 标头始终为空,并且上面的失败并显示 401 Unauthorized。但是,如果我使用此代码手动设置标头,它工作正常 - 即授权标头现在存在并且我能够验证用户。

    private void SetBasicAuthHeader(WebClient request, String userName, String userPassword)
    {
        string authInfo = userName + ":" + userPassword;
        authInfo = Convert.ToBase64String(Encoding.Default.GetBytes(authInfo));
        request.Headers["Authorization"] = "Basic " + authInfo;
    }
   .......
    var wc = new System.Net.WebClient();
    SetBasicAuthHeader(request, "XXXX", "XXXX");
    var returnBytes = wc.DownloadData("http://xxxx");

虽然这可行,但对我没有好处,因为现有 API 的现有用户不会手动设置标头。

阅读基本身份验证的工作原理,初始请求是匿名的,然后客户端返回 401,然后客户端再次尝试。但是,如果我在代码中设置断点,它将永远不会在 Antony 的示例中再次命中代码。我期待我的断点被击中两次。

有什么想法可以让它发挥作用吗?

4

1 回答 1

9

你期待正确的行为。System.Net.WebClient 不会在初始请求时自动包含授权标头。它仅在受到响应正确挑战时才发送它们,据我所知,响应是 401 状态代码正确的 WWW-Authenticate 标头。请参阅此处此处了解更多信息。

我假设您的基本身份验证处理程序没有返回 WWW-Authenticate 标头,因此 WebClient 甚至从未尝试在第二个请求中发送凭据。您应该可以在 Fiddler 或类似工具中观看此内容。

如果你的处理程序做了这样的事情,你应该见证 WebClient 方法的工作:

//if is not authenticated or Authorization header is null
return base.SendAsync(request, cancellationToken).ContinueWith(task =>
    {
        var response = task.Result;
        response.StatusCode = HttpStatusCode.Unauthorized;
        response.Headers.Add("WWW-Authenticate", "Basic realm=\"www.whatever.com\"");
        return response;
    });

//else (is authenticated)
return base.SendAsync(request, cancellationToken);

正如您所注意到的,如果您在每个请求中都包含 Authorization 标头(就像您在替代方法中所做的那样),那么您的处理程序已经按原样工作。所以它可能就足够了——它只是不适用于以相同方式运行的 WebClient 和其他客户端。

于 2012-04-19T00:22:15.863 回答