验证
Web API 假定身份验证发生在主机中。IIS 使用 HTTP 模块进行身份验证。asp.net 现在允许您通过 web.config 配置任何内置于 IIS 或 ASP.NET 的身份验证模块,或者编写您自己的 HTTP 模块来执行自定义身份验证。
您可以同时使用多个身份验证,这不是问题。在您的情况下,您需要Windows authentication 和 Anonymous authentication。Windows 身份验证将保护您的网站,匿名身份验证将打开您的 Web Api。
在 IIS 中配置身份验证
在 IIS Express 上托管
打开“属性”窗格(通过 F4 而不是项目的属性),并应用所需的身份验证 将“匿名身份验证”设置为“禁用”。将“Windows 身份验证”设置为“启用”。
在 IIS 7 或更高版本上托管
在 IIS 管理器中,在功能视图中打开身份验证功能。启用/禁用所需的身份验证。如果身份验证系统不是一个选项(例如 Windows),您需要通过服务器管理器(添加角色服务)安装它。
授权
asp.net授权
在 ASP.NET 中,有两种方法可以授权对给定资源的访问:文件授权和 Url 授权。我不会在这里解释它,但你可以阅读这篇文章。
重要的是您可以在 web.config 中允许/拒绝用户和/或组。
Windows 身份验证中的默认配置是只允许身份验证用户 *****,如下所示:
<authorization>
<deny users="?" ></deny>
</authorization>
如果要允许匿名用户?在 url 位置“api”下,添加:
<location path="api">
<system.web>
<authorization>
<allow users="*"/>
</authorization>
</system.web>
</location>
Web API 授权
asp.net Web Api 授权发生在管道的后面,更靠近控制器。当您授予对资源的访问权限时,这使您可以做出更精细的选择。
Web API 提供了一个内置的授权过滤器AuthorizeAttribute。还有一个AllowAnonymousAttribute。您可以在全局、控制器或操作上使用它。默认情况下,所有操作都是授权的。
测试 API
通过浏览器
集成的 Windows 身份验证适用于任何支持协商身份验证方案的浏览器。这是 Internet Explorer 和现在的 Chrome 的 cas:当浏览具有 Windows 身份验证的网站时,它们将自动提供 Windows 凭据。火狐不支持这种方案,所以我经常用这个浏览器测试认证。
通过 HttpClient
调用 Web Api(如浏览器)时,您的 HttpClient 需要提供凭据。这是通过使用适当的凭据配置 HttpClientHandler 来完成的。
//use default credentials aka Windows Credentials
HttpClientHandler handler = new HttpClientHandler()
{
UseDefaultCredentials = true
};
//use username/password credentials
HttpClient client = new HttpClient(handler);
var handler = new HttpClientHandler {
Credentials = new NetworkCredential(username, password)
};
var httpClient = new HttpClient(handler);
希望这会帮助你。
在您的情况下,最后一件重要的事情是您的 Web Api根本不允许匿名用户!因为您在 HttpClientHandler 中使用默认凭据,这意味着您的服务需要 Windows 身份验证。您不必在开放和公共服务中配置任何凭据。