我一直在尝试解决这个问题,阅读了很多博客、MSDN 文档、示例代码和其他 stackoverflow 问题,但还没有解决这个问题。
这是我的场景:
我正在使用 Windows Azure 来托管两个 Web 角色。一个是我的 MVC4 Web API,另一个是我的 MVC4 Web 应用程序,它使用了 Web API。我还有许多使用 .NET 的客户端应用程序,它们将访问 Web API。
所以我的主要组成部分是:
- 网络 API
- 网络应用
- .NET 客户端
我想使用 Web 应用程序中“托管”的表单身份验证。我正在使用内置的 simplemembership 身份验证机制,效果很好。我可以在 Web App 中创建和登录帐户。
现在,我还想使用这些相同的帐户来验证 Web API,无论是来自 Web 应用程序还是任何 .NET 客户端应用程序。
我已经阅读了很多方法来做到这一点,最简单的似乎是在 Web API 上使用基本身份验证。目前我正在使用此代码,因为它似乎可以解决我的确切问题:混合表单身份验证、基本身份验证和 SimpleMembership
我不能让它工作。我成功登录到我的 Web 应用程序 (127.0.0.1:81),当我尝试调用需要身份验证的 Web API(例如 127.0.0.1:8081/api/values)时,调用失败并返回401(未授权)响应. 在单步执行代码时,WebSecurity.IsAuthenticated 返回 false。WebSecurity.Initialized 返回真。
我已经实现了此代码,并尝试使用以下代码从我的 Web 应用程序(登录后)调用我的 Web API:
using ( var handler = new HttpClientHandler() )
{
var cookie = FormsAuthentication.GetAuthCookie( User.Identity.Name, false );
handler.CookieContainer.Add( new Cookie( cookie.Name, cookie.Value, cookie.Path, cookie.Domain ) );
using ( var client = new HttpClient() )
{
//client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue(
// "Basic",
// Convert.ToBase64String( System.Text.ASCIIEncoding.ASCII.GetBytes(
// string.Format( "{0}:{1}", User.Identity.Name, "123456" ) ) ) );
client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue(
"Cookie",
Convert.ToBase64String( System.Text.ASCIIEncoding.ASCII.GetBytes( User.Identity.Name ) ) );
string response = await client.GetStringAsync( "http://127.0.0.1:8080/api/values" );
ViewBag.Values = response;
}
}
如您所见,我已尝试使用 cookie 以及用户名/密码。显然我想使用 cookie,但在这一点上,如果有任何效果,这将是一个很好的步骤!
我的 Web API 中的 ValuesController 已正确装饰:
// GET api/values
[BasicAuthorize]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
在我的 Web API 的 Global.asax.cs 中,我正在初始化 SimpleMembership:
// initialize our SimpleMembership connection
try
{
WebSecurity.InitializeDatabaseConnection( "AzureConnection", "User", "Id", "Email", autoCreateTables: false );
}
catch ( Exception ex )
{
throw new InvalidOperationException( "The ASP.NET Simple Membership database could not be initialized. For more information, please see http://go.microsoft.com/fwlink/?LinkId=256588", ex );
}
这成功了,WebSecurity 后来说它已初始化,所以我猜这部分工作正常。
根据MSDN的要求,我的配置文件具有匹配的身份验证设置。
这是 API 配置:
<authentication mode="Forms">
<forms protection="All" path="/" domain="127.0.0.1" enableCrossAppRedirects="true" timeout="2880" />
</authentication>
<machineKey decryption="AES" decryptionKey="***" validation="SHA1" validationKey="***" />
这是网络应用程序配置:
<authentication mode="Forms">
<forms loginUrl="~/Account/Login" protection="All" path="/" domain="127.0.0.1" enableCrossAppRedirects="true" timeout="2880" />
</authentication>
<machineKey decryption="AES" decryptionKey="***" validation="SHA1" validationKey="***" />
请注意,我正在本地尝试此操作(因此是 127.0.0.1 域),但引用了托管在 Azure 上的数据库。
我不必从 .NET 客户端应用程序中尝试任何这些,因为我什至无法让它在 Web 角色之间工作。对于客户端应用程序,理想情况下我会进行 Web 调用,传入用户名/密码,检索 cookie,然后使用 cookie 进行进一步的 Web API 请求。
我想得到我的工作,因为它看起来很简单并且符合我的要求。
我还没有尝试过其他解决方案,例如Thinktecture,因为它的功能比我需要的要多,而且似乎没有必要。
我错过了什么?