9

我正在开发一个使用新的 ASP.NET Identity 进行身份验证的简单应用程序。由于我计划将来有一个移动应用程序,因此我将身份验证放在了 Web API 中,我从 Razor 网页(没有 MVC 或表单)从 jQuery 发布到该 API。到目前为止,post 工作正常并创建用户并将他们登录 - 在 API 端。

但是,我无法确定如何从那里开始。我需要设置 IsAuthenticated 以便我可以提供正确的页面,但它总是返回 false。由于 Identity 非常新,因此几乎没有可用的文档,而且我无法找到任何像从 Web API 运行它这样复杂的东西。

问:登录后从 Web API 中的身份验证返回以正确User.Identity.IsAuthenticated设置的正确方法是什么?

登录.cshtml

@if (User.Identity.IsAuthenticated)
{
    @RenderPage("/userpage.cshtml");
}

else
{
    <form id="loginForm">
        <b>Login</b>
        <input type="email" placeholder="Email" name="email" id="loginEmail" />
        <input type="password" placeholder="Password" name="password" id="loginPassword" />
        <input type="submit" value="Log In"/>
    </form>
 }

<script>
    $("#loginForm").submit(function(event)
    {
        event.preventDefault();
        $.post("/api/login/",
        {
            Username: $('#loginEmail').val(),
            Password: $('#loginPassword').val()
        }, function () 
           { 
               //???
           }, "json");

        return false;
    });
</script>

登录 Web API

public class LoginController : ApiController
{
    public async void Post(UserInfo info)
    {
        var manager = new AuthenticationIdentityManager(new IdentityStore());
        var result = await manager.Authentication.CheckPasswordAndSignInAsync(HttpContext.Current.GetOwinContext().Authentication, info.Username, info.Password, true);

        if (result.Success)
        {
            //???
        }
    }
}
4

2 回答 2

14

这取决于您使用的身份验证方法。大多数 Web 应用程序使用表单 (Cookie) 身份验证模块作为主要的身份验证方法。它应该适用于您的网页,但如果您想在本机客户端(如移动应用程序)上使用您的 API,它不是最佳选择。使用 web api 启用 cookie 身份验证时,您应该小心 CSRF 攻击。

假设您使用 cookie 身份验证,您仍然有两个选择。一个是 FormsAuthentication IIS 模块,它比较老,你应该使用FormsAuthentication.SetAuthCookie来登录用户。

另一种方式是OWIN cookie 中间件,它在默认的 MVC 5 模板中用于支持身份验证。请查看关于如何通过 OWIN API 登录用户的答案

如果您想通过移动应用程序为 Web API 提供更好的身份验证故事,我建议您使用OWIN OAuth 中间件启用不记名令牌作为 Web API 的主要身份验证方法。在 MVC 5 SPA 模板中,它演示了将它们与 MVC 和 cookie auth 一起使用的良好模式。我的博客了解 VS2013 RC 的 SPA 模板中的安全功能应该可以大致了解它们如何协同工作。

身份框架有一个OWIN 包,它实现了大部分 OWIN 身份验证代码。所以你不需要实现你自己的。为什么不使用它?

于 2013-10-12T00:23:55.837 回答
1

根据孙宏业的回答,正确的方法是使用 OWIN cookie 中间件来传输和存储 cookie。完成此操作的正确方法是将 Startup.cs 添加到项目根目录并具有以下内容(这在 VS 中提供的启动模板中可用)。Web API 响应将自动通过 cookie 发送。

using Microsoft.AspNet.Identity.Owin;
[assembly: OwinStartup(typeof(MyApp.Startup))]
namespace MyApp
{
    public class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            app.UseSignInCookies();
        }
    }
}

有关更多详细信息(包括外部身份验证)的完整说明,请参阅 Hongye Sun对此问题的回答。

于 2013-10-12T01:29:22.337 回答