Аутентифікація користувача у веб-API ASP.NET

Ця тема була для мене неймовірно заплутаною. Я новичок у програмах HTTP, але мені потрібно розробити клієнт iPhone, який споживає дані JSON звідкись. Я вибрав веб-API від MS, тому що це здалося досить простим, але коли мова заходить про автентифікацію користувачів, все стає досить засмучуючим.

Я вражений тим, як мені не вдалося знайти чіткого прикладу того, як автентифікувати користувача прямо з екрана входу до використання Authorizeатрибута над моїми ApiControllerметодами через кілька годин Google.

Це не питання, а запит про приклад того, як це точно зробити. Я переглянув наступні сторінки:

• Зробити безпеку веб-API ASP.NET
• Основна автентифікація за допомогою ASP.NET Web API

Незважаючи на те, що вони пояснюють, як обробляти несанкціоновані запити, вони не демонструють чітко щось подібне LoginControllerабо щось подібне, щоб запитувати облікові дані користувачів та перевіряти їх.

Кожен, хто бажає написати приємний простий приклад або вказати мені в правильному напрямку, будь ласка?

Дякую.

Я вражений тим, як мені не вдалося знайти чіткого прикладу того, як автентифікувати користувача прямо з екрана входу до використання атрибута "Авторизувати" через мої методи ApiController через кілька годин роботи в Google.

Це тому, що ви плутаєтеся в цих двох поняттях:

• Автентифікація - це механізм, за допомогою якого системи можуть безпечно ідентифікувати своїх користувачів. Системи аутентифікації дають відповіді на запитання:

  • Хто користувач?
  • Чи дійсно користувач тим, ким він / вона представляє себе?

• Авторизація - це механізм, за допомогою якого система визначає, який рівень доступу конкретного аутентифікованого користувача повинен мати захищені ресурси, контрольовані системою. Наприклад, система управління базами даних може бути спроектована таким чином, щоб надати певним визначеним особам можливість отримувати інформацію з бази даних, але не можливість змінювати дані, що зберігаються в даті бази даних, надаючи іншим особам можливість змінювати дані. Системи авторизації надають відповіді на запитання:

  • Чи має право користувач X отримати доступ до ресурсу R?
  • Чи має право користувач X виконувати операцію P?
  • Чи користувач X має право виконувати операцію P на ресурсі R?

AuthorizeАтрибут в MVC використовується для застосування правил доступу, наприклад:

 [System.Web.Http.Authorize(Roles = "Admin, Super User")]
 public ActionResult AdministratorsOnly()
 {
     return View();
 }

Вищезазначене правило дозволить отримати доступ до методу лише користувачам у ролях адміністраторів та супер користувачів

Ці правила також можна встановити у файлі web.config, використовуючи locationелемент. Приклад:

  <location path="Home/AdministratorsOnly">
    <system.web>
      <authorization>
        <allow roles="Administrators"/>
        <deny users="*"/>
      </authorization>
    </system.web>
  </location>

Однак перед тим, як виконувати ці правила авторизації, вам потрібно пройти автентифікацію на поточному веб-сайті .

Хоча ці пояснюють, як обробляти несанкціоновані запити, вони не демонструють чітко щось на кшталт LoginController або щось подібне, щоб запитувати облікові дані користувачів та перевіряти їх.

Звідси ми могли розділити проблему на два:

• Ідентифікуйте користувачів, коли користуються послугами Web API в межах однієї веб-програми

  Це був би найпростіший підхід, оскільки ви покладаєтесь на автентифікацію в ASP.Net

  Це простий приклад:

  Web.config

  <authentication mode="Forms">
    <forms
      protection="All"
      slidingExpiration="true"
      loginUrl="account/login"
      cookieless="UseCookies"
      enableCrossAppRedirects="false"
      name="cookieName"
    />
  </authentication>

  Користувачів буде переспрямовано до маршруту облікового запису / входу , там ви зробите власні елементи керування, щоб запитати облікові дані користувачів, а потім встановите cookie автентифікації, використовуючи:

      if (ModelState.IsValid)
      {
          if (Membership.ValidateUser(model.UserName, model.Password))
          {
              FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
              return RedirectToAction("Index", "Home");
          }
          else
          {
              ModelState.AddModelError("", "The user name or password provided is incorrect.");
          }
      }
  
      // If we got this far, something failed, redisplay form
      return View(model);

• Перехресна аутентифікація

  Цей випадок буде, коли ви відкриваєте лише послуги Web API у веб-додатку, тому у вас буде інший клієнт, який споживає послуги, клієнт може бути іншим веб-додатком або будь-яким додатком .Net (Win Forms, WPF, консоль, служба Windows, тощо)

  Наприклад, припустимо, що ви будете користуватися послугою Web API з іншої веб-програми в тому ж мережевому домені (в межах інтрамережі), в цьому випадку ви можете покластися на автентифікацію Windows, надану ASP.Net.

  <authentication mode="Windows" />

  Якщо ваші послуги доступні в Інтернеті, вам потрібно буде передати аутентифіковані жетони до кожної служби Web API.

  Для отримання додаткової інформації вийдіть на наступні статті:

  • http://stevescodingblog.co.uk/basic-authentication-with-asp-net-webapi/

  • http://codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/

Якщо ви хочете пройти автентифікацію на ім’я користувача та пароль та без файлу cookie авторизації, атрибут MVC4 Authorize не вийде з поля. Однак ви можете додати наступний допоміжний метод до свого контролера, щоб прийняти основні заголовки аутентифікації. Викликайте його з початку методів вашого контролера.

void EnsureAuthenticated(string role)
{
    string[] parts = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(Request.Headers.Authorization.Parameter)).Split(':');
    if (parts.Length != 2 || !Membership.ValidateUser(parts[0], parts[1]))
        throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "No account with that username and password"));
    if (role != null && !Roles.IsUserInRole(parts[0], role))
        throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "An administrator account is required"));
}

З боку клієнта цей помічник створює HttpClientзаголовок аутентифікації на місці:

static HttpClient CreateBasicAuthenticationHttpClient(string userName, string password)
{
    var client = new HttpClient();
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", Convert.ToBase64String(UTF8Encoding.UTF8.GetBytes(userName + ':' + password)));
    return client;
}

Я працюю над проектом MVC5 / Web API і мені потрібно було отримати дозвіл на методи Web Api. Коли мій перегляд індексу завантажується вперше, я дзвоню до методу «API» Web API, який я вважаю, створюється автоматично.

Код клієнтської сторони (CoffeeScript) для отримання маркера:

getAuthenticationToken = (username, password) ->
    dataToSend = "username=" + username + "&password=" + password
    dataToSend += "&grant_type=password"
    $.post("/token", dataToSend).success saveAccessToken

У разі успіху викликається наступне, що зберігає маркер аутентифікації локально:

saveAccessToken = (response) ->
    window.authenticationToken = response.access_token

Тоді, якщо мені потрібно здійснити виклик Ajax до методу Web API, який має тег [Авторизувати], я просто додаю наступний заголовок до мого виклику Ajax:

{ "Authorization": "Bearer " + window.authenticationToken }