8

我们聘请了一个为我们编写 iPhone 应用程序的承包商,我开始使用 ServiceStack 为它编写后端服务。

我一般都在为授权而苦苦挣扎:使用什么样的授权以及如何实施授权。
我对 ServiceStack、HTTP 和授权(还)不太了解。我读过这个,但我可能仍然做错了什么。

我将使用现有遗留数据库中的用户名和密码进行身份验证(但仅此而已 - 没有注册新用户,没有不同的权限。只是进行身份验证)。
所以我需要编写自己的提供程序。

在本教程CredentialsAuthProvider的帮助下,我设法实现了一个工作。 当我在浏览器中测试它时它可以工作:

  • 致电我的服务并获得 401
  • 邮寄到auth/credentials
  • 再次致电我的服务并获得正确的结果

但是,当我在 Fiddler 中尝试时,我注意到相同的工作流程不起作用。

POSTauth/credentials工作。我发布这个:

POST http://localhost:52690/auth/credentials?format=json HTTP/1.1
User-Agent: Fiddler
Host: localhost:52690
Content-Length: 74
Content-Type: application/json; charset=utf-8

{
  "UserName": "chspe",
  "Password": "xyz",
  "RememberMe": true
}

...并得到这个:

HTTP/1.1 200 OK
Server: ASP.NET Development Server/10.0.0.0
Date: Fri, 14 Jun 2013 13:07:35 GMT
X-AspNet-Version: 4.0.30319
X-Powered-By: ServiceStack/3,949 Win32NT/.NET
Set-Cookie: ss-id=3YUUgfwIeJd7PedFK5Th; path=/; HttpOnly
Set-Cookie: ss-pid=zQJ5Z4Vq7AY+BpVwbttj; expires=Tue, 14-Jun-2033 13:07:35 GMT; path=/; HttpOnly
Set-Cookie: ss-opt=perm; expires=Tue, 14-Jun-2033 13:07:35 GMT; path=/; HttpOnly
Set-Cookie: X-UAId=; expires=Tue, 14-Jun-2033 13:07:35 GMT; path=/; HttpOnly
Cache-Control: private
Content-Type: application/json; charset=utf-8
Content-Length: 75
Connection: Close

{"sessionId":"zQJ5Z4Vq7AY+BpVwbttj","userName":"chspe","responseStatus":{}}

在我看来很好。
但是对我的实际服务的调用仍然返回 401:

GET http://localhost:52690/hello/world?format=json HTTP/1.1
User-Agent: Fiddler
Host: localhost:52690
Content-Length: 0
Content-Type: application/json; charset=utf-8

回复:

HTTP/1.1 401 Unauthorized
Server: ASP.NET Development Server/10.0.0.0
Date: Fri, 14 Jun 2013 13:07:44 GMT
X-AspNet-Version: 4.0.30319
WWW-Authenticate: credentials realm="/auth/credentials"
X-Powered-By: ServiceStack/3,949 Win32NT/.NET
Cache-Control: private
Content-Length: 0
Connection: Close

(这是HelloService来自ServiceStack.Host.AspNet 包,我刚刚添加了[Authorize]属性)

实际请求是正确的,因为当我删除该[Authorize]属性时,同样的调用会起作用。

我注意到这CredentialsAuthProvider似乎适用于 cookie(Set-Cookie: ...第一个响应中有几行)。

第一个问题:对于非浏览器的客户端来说,CredentialsAuthProvider 是否是正确的选择?

显然 Fiddler 无法识别 cookie,我怎么知道 iPhone (或任何其他移动设备)是否可以识别?

接下来,我尝试改用基本身份验证。
这是我的BasicAuthProvider

public class MyBasicAuthProvider : BasicAuthProvider
{
    public override object Authenticate(IServiceBase authService, IAuthSession session, Auth request)
    {
        if (request.UserName == "MyUser")
        {
            return true;
        }
    }
}

但我很难过 - 我什至无法从浏览器中使用它。

当我在浏览器中加载我的服务的 URL 时,会弹出一个窗口并询问用户名和密码。
我输入正确的用户名并回车,然后立即再次弹出相同的窗口。一次又一次……等等,无论我输入(正确)数据的频率如何。

但是,我可以看到 ServiceStack 实际上使用了 my MyBasicAuthProvider,因为当我在 Visual Studio 中设置断点时,我看到它识别用户名并返回True.

第二个问题:我做错了什么?

我需要做更多的事情来使用我自己的数据库进行基本身份验证吗?覆盖Authenticate还不够吗?

4

1 回答 1

5

我将尝试回答您问题的 ServiceStack 结尾,但我认为您需要研究通过 HTTP 处理身份验证以及 iPhone 应用程序如何处理 HTTP 请求/响应。此外,我认为这提供了一些关于 ServiceStack 如何处理身份验证的见解。

对于非浏览器的客户端来说,CredentialsAuthProvider 是否是正确的选择?
我认为您可以使用凭据或基本。您需要某种类型的自定义身份验证,因为您自己的数据库中有用户名/密码(您可以继承 CredentialsAuthProvider 或 BasicAuthProvider 并覆盖 TryAuthenticate)。两者之间的区别在于您希望客户端(在本例中为 iPhone 应用程序)将用户名/密码放在对您的服务的 HTTP 请求中。对于凭证,它是身体的一部分。对于 Basic,它是授权标头的一部分。在“服务器端”ServiceStack 将您需要做的事情抽象到您选择的 *Provider 类/代码中。

但是,当我在 Fiddler 中尝试时,我注意到相同的工作流程不起作用。
正确的。Fiddler 不会保留 Session cookie 并在后续请求中发送它们(即像浏览器一样)。使用 Fiddler 时,您需要“手动”提供它们。

第二个问题:我做错了什么?
我认为 ServiceStack 没有任何东西可以启动请求身份验证的“弹出窗口”。这听起来像是“集成 Windows 身份验证”问题。不过,不太确定。

于 2013-06-17T17:38:38.620 回答