使用成员资格提供程序的ASP.NET MVC 4 Web API身份验证
我有一个使用Web API的ASP.NET MVC 4项目。在控制器上,我已使用[Authorize]属性将类设置为需要授权。对于身份验证我使用ASP.NET成员资格提供程序并将我的Web.Config设置为使用“表单”身份验证。这是我被困的地方:
一切都很好,直到我完成测试API并且我想使用[Authorize]属性来保护控制器,这样我就可以开始对我的Membership Provider中的用户进行身份验证。所以我启动Fiddler并进行相同的调用,添加Authorization:Basic属性以及来自我的会员提供商的用户名:密码,如下所示:
我得到的回复是401未授权,在“Auth”下我得到“没有WWW-Authenticate Header存在。”然后我意识到API正在寻找SHA1编码密钥。所以我从搜索中启动一个SHA1生成器并获取我的用户名密码:密码并更新我的请求标头,如下所示:
这也不起作用,我得到相同的结果。此外,我显然需要某种“共享密钥”与服务器一起使用来解码我的用户名/密码。
所以我的问题:
- 如何从服务器获取此密钥(或者在这种情况下,虚拟IIS运行VS 2012)。
- 如何使用它来使用ASP.NET成员资格提供程序中的用户名/密码在Fiddler中进行Authenticated调用。
- 如何在我的客户端应用程序中使用它来进行相同的调用(C#WPF应用程序)。
- 在我的HTTP调用中与SSL结合使用时,这是最好的吗?如果不是什么?
提前致谢!
1 个答案:
答案 0 :(得分:68)
您可以将basic authentication与SSL一起使用。在服务器端,我们可以编写一个自定义委托处理程序,它将通过查询我们注册的成员提供程序来验证凭据,如果有效,则检索角色并设置当前主体:
public class BasicAuthenticationMessageHandler : DelegatingHandler
{
protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
{
var authHeader = request.Headers.Authorization;
if (authHeader == null)
{
return base.SendAsync(request, cancellationToken);
}
if (authHeader.Scheme != "Basic")
{
return base.SendAsync(request, cancellationToken);
}
var encodedUserPass = authHeader.Parameter.Trim();
var userPass = Encoding.ASCII.GetString(Convert.FromBase64String(encodedUserPass));
var parts = userPass.Split(":".ToCharArray());
var username = parts[0];
var password = parts[1];
if (!Membership.ValidateUser(username, password))
{
return base.SendAsync(request, cancellationToken);
}
var identity = new GenericIdentity(username, "Basic");
string[] roles = Roles.Provider.GetRolesForUser(username);
var principal = new GenericPrincipal(identity, roles);
Thread.CurrentPrincipal = principal;
if (HttpContext.Current != null)
{
HttpContext.Current.User = principal;
}
return base.SendAsync(request, cancellationToken);
}
}
然后我们在Application_Start注册此处理程序:
GlobalConfiguration.Configuration.MessageHandlers.Add(
new BasicAuthenticationMessageHandler()
);
现在我们可以使用[Authorize]属性修饰Api控制器,以确保只有经过身份验证的用户才能访问其操作:
[Authorize]
public class ValuesController : ApiController
{
public string Get()
{
return string.Format("Hello {0}", User.Identity.Name);
}
}
好的,现在让我们来看一个示例客户端:
using System;
using System.Net;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Text;
class Program
{
static void Main()
{
// since for testing purposes I am using IIS Express
// with an invalid SSL certificate I need to desactivate
// the check for this certificate.
ServicePointManager.ServerCertificateValidationCallback +=
(sender, certificate, chain, sslPolicyErrors) => true;
using (var client = new HttpClient())
{
var buffer = Encoding.ASCII.GetBytes("john:secret");
var authHeader = new AuthenticationHeaderValue("Basic", Convert.ToBase64String(buffer));
client.DefaultRequestHeaders.Authorization = authHeader;
var task = client.GetAsync("https://localhost:44300/api/values");
if (task.Result.StatusCode == HttpStatusCode.Unauthorized)
{
Console.WriteLine("wrong credentials");
}
else
{
task.Result.EnsureSuccessStatusCode();
Console.WriteLine(task.Result.Content.ReadAsAsync<string>().Result);
}
}
}
}
相关问题
- ASP.NET MVC和ASP.NET成员资格提供程序 - 全局处理身份验证
- WCF WebHttpBinding与成员资格提供程序身份验证
- 禁用SQL成员资格提供程序(ASP.Net Forms身份验证)
- ASP.Net MVC表单身份验证和成员资格提供程序
- 使用成员资格提供程序的ASP.NET MVC 4 Web API身份验证
- asp.net mvc中表单身份验证提供程序和成员资格提供程序之间的关系
- 使用外部OAuth提供程序进行MVC4身份验证,无需成员资格或数据库
- 使用Active Directory成员资格提供程序进行站点身份验证
- Azure上的MVC5 AngularJS WebAPI成员资格提供程序身份验证
- NUnit - 使用成员资格提供程序进行身份验证时出现NullReferenceException
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?