9

我们有一个 Web API 应用程序,它提供了许多客户端可以调用和使用的 Web 方法。它将托管在 IIS 中并具有 SSL 设置。

用户凭据存储在 Active Directory 中,但客户端不仅在我们的域中,它们可以在世界任何地方,所以我的理解是我们不能使用 Windows 集成身份验证。

如上所述,在我们的场景中对用户进行身份验证的最佳方式是什么?

我是否应该要求用户在他们提出的每个请求中都在标头中传递用户名/密码?然后我以编程方式针对我们的 Active Directory 验证用户凭据(我们已经有一个这样做的组件),例如通过创建一个在每个操作执行之前运行的自定义 ActionFilter?

另一种方法可能是创建一个 HttpModule 在每个请求之前运行并进行身份验证,如果无效则中止请求。

我的自定义属性如下所示:

 public class ActiveDirectoryAuthAttribute : ActionFilterAttribute
    {
        // todo: load from config which can change depending on deployment environment
        private static readonly bool ShouldRequireHttps = false;

        public override void OnActionExecuting(HttpActionContext actionContext)
        {
            IPrincipal principal = this.Authentiate(actionContext);

            if (principal == null)
            {
               actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
            }
            else
            {
                this.SetPrincipal(principal);
            }
        }

        private IPrincipal Authentiate(HttpActionContext actionContext)
        {
            if (IsUriSchemaValid(actionContext.Request.RequestUri))
            {
                // is the client certificate known and still valid?
                // is IP valid?
                // find user credentials and validate against AD
                // create the Principle object and return it
            }

            return null;
        }

        private void SetPrincipal(IPrincipal principal)
        {
            Thread.CurrentPrincipal = principal;

            if (HttpContext.Current != null)
            {
                HttpContext.Current.User = principal;
            }
        }

        private static bool IsUriSchemaValid(Uri uri)
        {
            bool result = true;

            if (ShouldRequireHttps)
            {
                if (!string.Equals(uri.Scheme, "https", StringComparison.InvariantCultureIgnoreCase))
                {
                    result = false;
                }
            }

            return result;
        }
    }

然后在我的控制器操作中,我可以访问 Principle 对象: 

IPrincipal principle = this.User;

如上所述,在我们的场景中对用户进行身份验证/授权的最佳方式是什么?

在上面,如何从 IPrinciple 创建一个对象?是否有任何现有的 .NET 类或者我必须创建我的自定义类?

4

1 回答 1

3

我最近一直在使用 AD,老实说,我想不出另一种处理方式。

使用 OAuth 类型的方法可能更有意义。提供一个令牌类型路由,该路由最初将采用用户名和密码,并将一个自创作和加密的令牌返回给被调用者。进行第一次初始调用后,将令牌发送回被调用方,然后他们可以在 Authorization 标头中使用该令牌,以便对 API 进行每次后续调用。

令牌将在一次通话或很短的时间内有效。每次您认为要使用该令牌时,再发行一个。

您还可以考虑为此使用自定义 OAuth 实现,而不是使用数据库进行身份验证过程,而是使用您的 AD 身份存储并使用 OAuth Bearer 令牌。由于您使用的是 SSL,这实际上非常适合您的场景。

于 2013-05-13T07:32:11.247 回答