这个话题让我非常困惑。我是 HTTP 应用程序的新手,但需要开发一个从某个地方使用 JSON 数据的 iPhone 客户端。我选择 MS 的 Web API 是因为它看起来很简单,但是在验证用户时,事情变得非常令人沮丧。
我很惊讶在几个小时的谷歌搜索之后,我无法找到一个清晰的例子来说明如何从登录屏幕到Authorize在我的方法上使用属性来验证用户。ApiController
这不是一个问题,而是要求提供一个如何准确执行此操作的示例。我查看了以下页面:
尽管这些解释了如何处理未经授权的请求,但它们并没有清楚地展示类似 aLoginController或类似的东西来请求用户凭据并验证它们。
有人愿意写一个简单的例子或指出正确的方向吗?
谢谢。
我很惊讶在几个小时的谷歌搜索之后,我无法找到一个清晰的例子来说明如何从登录屏幕到在我的 ApiController 方法上使用 Authorize 属性对用户进行身份验证。
那是因为您对这两个概念感到困惑:
身份验证是系统可以安全地识别其用户的机制。身份验证系统提供了以下问题的答案:
授权是系统确定特定经过身份验证的用户对系统控制的安全资源应具有的访问级别的机制。例如,数据库管理系统可能被设计为向某些特定个人提供从数据库中检索信息的能力,但不能更改存储在数据库中的数据的能力,同时赋予其他人更改数据的能力。授权系统提供了以下问题的答案:
MVC 中的Authorize属性用于应用访问规则,例如:
[System.Web.Http.Authorize(Roles = "Admin, Super User")]
public ActionResult AdministratorsOnly()
{
return View();
}
上述规则将只允许管理员和超级用户角色的用户访问该方法
也可以使用location元素在 web.config 文件中设置这些规则。例子:
<location path="Home/AdministratorsOnly">
<system.web>
<authorization>
<allow roles="Administrators"/>
<deny users="*"/>
</authorization>
</system.web>
</location>
但是,在执行这些授权规则之前,您必须通过当前网站的身份验证。
尽管这些解释了如何处理未经授权的请求,但它们并没有清楚地展示像 LoginController 或类似的东西来询问用户凭据并验证它们。
从这里,我们可以将问题一分为二:
在同一 Web 应用程序中使用 Web API 服务时对用户进行身份验证
这将是最简单的方法,因为您将依赖ASP.Net 中的身份验证
这是一个简单的例子:
<authentication mode="Forms">
<forms
protection="All"
slidingExpiration="true"
loginUrl="account/login"
cookieless="UseCookies"
enableCrossAppRedirects="false"
name="cookieName"
/>
</authentication>
用户将被重定向到帐户/登录路径,在那里您将呈现自定义控件以询问用户凭据,然后您将使用以下方式设置身份验证 cookie:
if (ModelState.IsValid)
{
if (Membership.ValidateUser(model.UserName, model.Password))
{
FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
return RedirectToAction("Index", "Home");
}
else
{
ModelState.AddModelError("", "The user name or password provided is incorrect.");
}
}
// If we got this far, something failed, redisplay form
return View(model);
跨平台认证
这种情况是当您只在 Web 应用程序中公开 Web API 服务时,您将有另一个客户端使用这些服务,该客户端可以是另一个 Web 应用程序或任何 .Net 应用程序(Win Forms、WPF、控制台、Windows 服务、 ETC)
例如,假设您将从同一网络域(内部网)上的另一个 Web 应用程序使用 Web API 服务,在这种情况下,您可以依赖 ASP.Net 提供的 Windows 身份验证。
<authentication mode="Windows" />
如果您的服务在 Internet 上公开,那么您需要将经过身份验证的令牌传递给每个 Web API 服务。
有关更多信息,请查看以下文章:
如果您想根据用户名和密码进行身份验证并且没有授权 cookie,则 MVC4 Authorize属性将无法开箱即用。但是,您可以将以下辅助方法添加到控制器以接受基本身份验证标头。从控制器方法的开头调用它。
void EnsureAuthenticated(string role)
{
string[] parts = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(Request.Headers.Authorization.Parameter)).Split(':');
if (parts.Length != 2 || !Membership.ValidateUser(parts[0], parts[1]))
throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "No account with that username and password"));
if (role != null && !Roles.IsUserInRole(parts[0], role))
throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "An administrator account is required"));
}
从客户端,这个助手创建一个HttpClient带有身份验证头的:
static HttpClient CreateBasicAuthenticationHttpClient(string userName, string password)
{
var client = new HttpClient();
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", Convert.ToBase64String(UTF8Encoding.UTF8.GetBytes(userName + ':' + password)));
return client;
}
我正在开发一个 MVC5/Web API 项目,需要能够获得 Web Api 方法的授权。当我的索引视图首次加载时,我会调用我认为是自动创建的“令牌”Web API 方法。
获取令牌的客户端代码(CoffeeScript)是:
getAuthenticationToken = (username, password) ->
dataToSend = "username=" + username + "&password=" + password
dataToSend += "&grant_type=password"
$.post("/token", dataToSend).success saveAccessToken
如果成功,将调用以下命令,将身份验证令牌保存在本地:
saveAccessToken = (response) ->
window.authenticationToken = response.access_token
然后,如果我需要对具有 [Authorize] 标记的 Web API 方法进行 Ajax 调用,我只需将以下标头添加到我的 Ajax 调用中:
{ "Authorization": "Bearer " + window.authenticationToken }