我正在使用 MVC4 中的新 oAuthWebSecurity 功能为网站用户进行 Facebook 身份验证,效果很好。
但是,我想做的是仅针对特定控制器启用基本 HTTP 身份验证。
我已经尝试实现一个自定义操作过滤器(authenticationFilter)来拦截调用并使用自定义代码进行基本身份验证,但代码永远不会遇到AuthorizationFilter.
有没有比创建自定义更简单的方法来实现这一点SimpleMembershipProvider?
问问题
2613 次
2 回答
0
您可以使用[Authorize]过滤器如下。
public class BooksController : ApiController
{
[Authorize]
public IEnumerable<Book> Get()
{
var result = new List<Book>()
{
new Book()
{
Author = "John Fowles",
Title = "The Magus",
Description = "A major work of mounting tensions " +
"in which the human mind is the guinea-pig."
},
new Book()
{
Author = "Stanislaw Ulam",
Title = "Adventures of a Mathematician",
Description = "The autobiography of mathematician Stanislaw Ulam, " +
"one of the great scientific minds of the twentieth century."
}
};
return result;
}
}
有关更多信息,请查看基本 HTTP 身份验证
我希望这对你有帮助。
于 2013-01-22T19:44:05.363 回答
0
您可以创建自定义AuthorizeAttribute以使用基本身份验证来处理身份验证和授权。此属性用作过滤器,并将在请求到达您的控制器操作或 Web API 方法之前对其进行处理。在重写的OnAuthorize方法中,您可以获取标头信息以执行身份验证。
如果您使用 ajax 向控制器或 Web API 方法发出请求,请使用基本身份验证来传递凭据以进行授权。这会将凭据放在标题中。使用 JQuery ajax函数的beforeSend事件处理程序非常简单。使用 jquery.base64.js 对发送过来的信息进行编码。这是一个如何执行此操作的示例。
getAuthorizationHeader = function (username, password) {
var authType;
var up = $.base64.encode(username + ":" + password);
authType = "Basic " + up;
};
return authType;
};
$.ajax({
url: _url,
data: _data,
type: _type,
beforeSend: function (xhr) {
xhr.setRequestHeader("Authorization", getAuthorizationHeader(username, password));
},
success: ajaxSuccessHandler,
error: ajaxErrHandler
});
这对在标头中发送的用户名/密码进行编码。请注意,仅依靠编码是不够的安全性,因为它很容易解码。您仍然希望使用 HTTPS/SSL 来确保通过网络发送的信息是安全的。
在服务器端,您可以创建一个自定义AuthorizeAttribute,它从标头中获取凭据,对其进行解码,并执行您的身份验证/授权过程。请注意,Web API 使用了一个单独的AuthorizeAttribute ,而不是控制器。创建自定义AuthorizeAttribute时,请务必使用System.Web.Http.AuthorizeAttribute作为基类如果您使用的是 Web API。他们有不同的行为。用于控制器的那个将要重定向到登录页面,而用于 Web API 的那个会返回一个指示成功或失败的 HTTP 代码。如果授权无法区分由于授权而不是身份验证导致的失败,我将返回一个 HTTP 代码 Forbidden,以便客户端可以做出相应的反应。
下面是从可以在自定义AuthorizeAttribute中使用的标头获取凭据的示例方法。
private bool GetUserNameAndPassword(HttpActionContext actionContext, out string username, out string password)
{
bool gotIt = false;
username = string.Empty;
password = string.Empty;
IEnumerable<string> headerVals;
if (actionContext.Request.Headers.TryGetValues("Authorization", out headerVals))
{
try
{
string authHeader = headerVals.FirstOrDefault();
char[] delims = { ' ' };
string[] authHeaderTokens = authHeader.Split(new char[] { ' ' });
if (authHeaderTokens[0].Contains("Basic"))
{
string decodedStr = SecurityHelper.DecodeFrom64(authHeaderTokens[1]);
string[] unpw = decodedStr.Split(new char[] { ':' });
username = unpw[0];
password = unpw[1];
}
gotIt = true;
}
catch { gotIt = false; }
}
return gotIt;
}
这是用于解码此方法中使用的标头数据的代码。
public static string DecodeFrom64(string encodedData)
{
byte[] encodedDataAsBytes
= System.Convert.FromBase64String(encodedData);
string returnValue =
System.Text.Encoding.ASCII.GetString(encodedDataAsBytes);
return returnValue;
}
获得用户名和密码后,您可以使用 SimpleMembership 提供程序执行身份验证和授权。
于 2013-01-22T21:03:10.297 回答