REST Web Api用户名/密码安全性

Question

我正在使用新的microsoft asp.net mvc 4 WebApi设计一系列Web服务。

对于任何这些服务的调用，每次都必须传递用户名和密码，并且必须在sql server中检查这些详细信息以授权用户。

问题：

1）每次使用基本身份验证标头或自定义http标头时传递用户名和密码是否正确？问题是我不想在每次通话中干扰查询字符串或请求正文，而是更喜欢标题。

2）一旦传入头文件，我如何使用authorize属性来调用我的方法来验证用户在sql中是否有效？我是否需要滚动自定义授权属性？

Answer 1

1. 是的，只要它通过HTTPS - 看看这里编写自己的消息处理程序，http://sixgun.wordpress.com/2012/02/29/asp-net-web-api-basic-authentication/

Answer 2

已经有一些实现，最好是Dominick的Baier：

http://leastprivilege.com/2012/05/26/thinktecture-identitymodel-and-asp-net-web-api/

这个使用属性：

http://www.piotrwalat.net/basic-http-authentication-in-asp-net-web-api-using-membership-provider/