我有一个带有前端和web api部分的asp.net应用程序。我希望移动应用能够使用受保护的Web api端点。这意味着我需要登录并处理本机移动应用程序中的身份验证令牌。
现在,我可以登录我的asp.net应用程序的唯一方法是通过默认的asp.net / Account / Login页面。当我发布到登录端点时,返回的正文只包含我的应用程序的html。然后,令牌由asp.net存储在cookie中。
由于我尝试从我的原生移动应用程序登录,因此我不需要html响应,并且不希望通过cookie来获取我的令牌。
是否可以创建一个单独的登录端点,该端点仅返回令牌和/或用户详细信息,而不是我的应用程序的html内容?这是个坏主意吗?
作为参考,这是我所指的默认的asp.net登录处理程序。
public async Task<ActionResult> Login(LoginViewModel model, string returnUrl)
{
if (!ModelState.IsValid)
{
return View(model);
}
// This doesn't count login failures towards account lockout
// To enable password failures to trigger account lockout, change to shouldLockout: true
var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
switch (result)
{
case SignInStatus.Success:
return RedirectToLocal(returnUrl);
case SignInStatus.LockedOut:
return View("Lockout");
case SignInStatus.RequiresVerification:
return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
case SignInStatus.Failure:
default:
ModelState.AddModelError("", "Invalid login attempt.");
return View(model);
}
}
答案 0 :(得分:1)
我会考虑JWT / Owin的组合。基本上,您需要一种在成功登录后发出令牌(OAuth)的机制,然后您需要一个中间件,它将使用来自任何后续请求的http头的令牌承载并授予(或拒绝)访问权限(使用标准{ {1}}装饰者)。这是如何使用JWT(Json Web Tokens)非常好example。
如果您对OWIN / Katana本身不熟悉,那么官方website上会有非常好的文章。这将非常有用。您基本上只需要两个OWIN中间件,[Authorize]和UseOAuthAuthorizationServer来自几个NuGet包。请按照上面的示例。
答案 1 :(得分:0)
在我的手机应用程序上,我使用https调用服务器端API。我在这里提供了如何授权用户的示例代码...此代码已被修改,以便不显示我的实际过程。您必须对其进行修改以满足您的需求。但它确实显示了一种仅调用Web服务的方法。
在您的服务端创建以下属性:
using System.Text;
using System.Security.Cryptography;
using System.Web.Http.Filters;
using System.Web.Http.Controllers;
using System.Net.Http;
public class RequireHttpsAttribute : AuthorizationFilterAttribute
{
public override void OnAuthorization(HttpActionContext actionContext)
{
if (actionContext.Request.RequestUri.Scheme !=Uri.UriSchemeHttps)
{
actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.Forbidden)
{
ReasonPhrase = "HTTPS Required"
};
}
else
{
string UserName;
String Password;
if (actionContext.Request.Headers.Any(p => p.Key == "UserName") &&
actionContext.Request.Headers.Any(p => p.Key == "UserName"))
{
UserName = actionContext.Request.Headers.Where(p => p.Key == "UserName").FirstOrDefault().Value.FirstOrDefault();
Password = actionContext.Request.Headers.Where(p => p.Key == "UserName").FirstOrDefault().Value.FirstOrDefault();
//do authentication stuff here..
If(Authorized())
{
base.OnAuthorization(actionContext);
return;
}
Else
{
actionContext.Response = new HttpResponseMessage (System.Net.HttpStatusCode.Forbidden)
{
ReasonPhrase = "Invalid User or Password"
};
}
}
actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.Forbidden)
{
ReasonPhrase = "HTTPS Required"
};
}
}
return ReasonPhrase;
}
在您的客户端提出如下请求:
string ResponseText= String.Empty();
using (var client = new HttpClient())
{
client.BaseAddress = new Uri("https://YOURAPI/");
client.DefaultRequestHeaders.Accept.Clear();
//client.DefaultRequestHeaders.Accept.Add(new MediaTypeWithQualityHeaderValue ("text/json"));
client.DefaultRequestHeaders.Accept.Add(
new MediaTypeWithQualityHeaderValue("application/json"));
client.DefaultRequestHeaders.Add("UserName", UserName);
client.DefaultRequestHeaders.Add("Password", Password);
// New code:
HttpResponseMessage response = await client.GetAsync ("api/YOURAPIENDPOINT").ConfigureAwait(continueOnCapturedContext: false);
if (response.IsSuccessStatusCode)
{
ResponseText = await response.Content.ReadAsStringAsync();
}
}
API方法应如下所示:
[RequireHttps]
public YOURAPI Get(int id)
{
//if you got this far then the user is authorized.
}
您的里程可能会有所不同。我没有将此代码测试为已修改。但你应该知道如何完成你想要的东西。