Web APi之认证(Authentication)两种实现方式【二】(十三)
前言
上一节咱们详细讲解了认证及其基本信息,这一节咱们经过两种不一样方式来实现认证,而且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就再也不叙述废话。html
序言
对于所谓的认证说到底就是安全问题,在Web API中有多种方式来实现安全,【accepted】方式来处理基于IIS的安全(经过上节提到的WindowsIdentity依赖于HttpContext和IIS认证)或者在Web API里经过使用Web API中的消息处理机制,可是若是咱们想应用程序运行在IIS以外此时Windows Idenitity这一方式彷佛就不太可能了,同时在Web API中自己就未提供如何处理认证的直接方式,咱们不得不自定义来实现认证功能,同时这也是咱们所推荐的方式,本身动手,丰衣足食。浏览器
舒适提示:下面实现方法皆基于基础认证,若不熟悉Http协议中的Basic基础认证,请先参看此篇文章【园友海鸟-介绍Basic基础认证和Digest摘要认证】。
不管何种方式,对于咱们的应用程序咱们都须要在业务层使用基于凭证的用户认证,由于是客户端一方的需求,因此客户端须要明确基础验证,基础认证(Basic)很是简单而且支持任何Web客户端,可是基础验证的缺点是不安全,经过使用SSL则能够进行加密就能够在必定程度上保证了安全,若是是对于通常的应用程序经过基础认证只是进行编码而未加密也能够说是安全的。咱们仍是看看上一节所给图片
经过上述图片的粗略信息咱们能够看出在请求到Action方法之间要通过Web API消息处理管道,在请求到目标元素以前要通过HttpMessageHandler和认证过滤器,因此咱们能够经过这二者来自定义实现认证。下面咱们一一来看。安全
基于Web API的认证过滤器(AuthorizationFilterAttribute)实现认证
第一步
咱们自定义一个认证身份(用户名和密码)的类,那么此类必须也就要继承于 GenericIdentity ,既然是基于基础验证,那么类型固然也就是Basic了。并发
public class BasicAuthenticationIdentity : GenericIdentity
{
public string Password { get; set; }
public BasicAuthenticationIdentity(string name, string password)
: base(name, "Basic")
{
this.Password = password;
}
}
第二步
咱们要自定义一个认证过滤器特性,并继承 AuthorizationFilterAttribute ,此时会变成以下:ide
public class BasicAuthenticationFilter : AuthorizationFilterAttribute
{
public override void OnAuthorization(HttpActionContext actionContext)
{}
}
那么在这个重写的方法咱们应该写什么呢?咱们慢慢来分析!请往下看。函数
-
解析请求报文头
首先对于客户端发送过来的请求咱们确定是须要得到请求报头,而后解析请求报头中的Authorization,若此时其参数为空,咱们将返回到客户端,并发起质询。
string authParameter = null; var authValue = actionContext.Request.Headers.Authorization; //actionContext:Action方法请求上下文 if (authValue != null && authValue.Scheme == "Basic") authParameter = authValue.Parameter; //authparameter:获取请求中通过Base64编码的(用户:密码) if (string.IsNullOrEmpty(authParameter)) return null;
次之,若此时认证中的参数不为空并开始对其进行解码,并返回一个BasicAuthenticationIdentity对象,若此时对象为空,则一样返回到客户端,并发起质询
authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); //对编码的参数进行解码 var authToken = authParameter.Split(':'); //解码后的参数格式为(用户名:密码)将其进行分割 if (authToken.Length < 2) return null; return new BasicAuthenticationIdentity(authToken[0], authToken[1]); //将分割的用户名和密码传递给此类构造函数进行初始化
最后,咱们将上述二者封装为一个ParseHeader方法以便进行调用
public virtual BasicAuthenticationIdentity ParseHeader(HttpActionContext actionContext) { string authParameter = null; var authValue = actionContext.Request.Headers.Authorization; if (authValue != null && authValue.Scheme == "Basic") authParameter = authValue.Parameter; if (string.IsNullOrEmpty(authParameter)) return null; authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); var authToken = authParameter.Split(':'); if (authToken.Length < 2) return null; return new BasicAuthenticationIdentity(authToken[0], authToken[1]); }
-
接下来咱们将认证未经过而须要发起认证质询,咱们将其封装为一个方法Challenge
void Challenge(HttpActionContext actionContext) { var host = actionContext.Request.RequestUri.DnsSafeHost; actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized); actionContext.Response.Headers.Add("WWW-Authenticate", string.Format("Basic realm=\"{0}\"", host)); }
-
定义一个方法便于对用户名和密码进行校验,并将其修饰为虚方法,以避免后续要添加其余有关用户数据
public virtual bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) { if (string.IsNullOrEmpty(userName) || string.IsNullOrEmpty(userPassword)) return false; else return true; }
-
在认证成功后将认证身份设置给当前线程中Principal属性
var principal = new GenericPrincipal(identity, null); Thread.CurrentPrincipal = principal; //下面是针对ASP.NET而设置 //if (HttpContext.Current != null) // HttpContext.Current.User = principal;
第三步
一切已经就绪,此时在重写方法中进行相应的调用便可,以下:this
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)] public class BasicAuthenticationFilter : AuthorizationFilterAttribute { public override void OnAuthorization(HttpActionContext actionContext) { var userIdentity = ParseHeader(actionContext); if (userIdentity == null) { Challenge(actionContext); return; } if (!OnAuthorize(userIdentity.Name, userIdentity.Password, actionContext)) { Challenge(actionContext); return; } var principal = new GenericPrincipal(userIdentity, null); Thread.CurrentPrincipal = principal; base.OnAuthorization(actionContext); }
第四步
自定义 CustomBasicAuthenticationFilter 并继承于 BasicAuthenticationFilter ,重写其虚方法。编码
public class CustomBasicAuthenticationFilter : BasicAuthenticationFilter { public override bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) { if (userName == "xpy0928" && userPassword == "cnblogs") return true; else return false; } }
最后一步
注册自定义认证特性并进行调用加密
config.Filters.Add(new CustomBasicAuthenticationFilter()); [CustomBasicAuthenticationFilter] public class ProductController : ApiController {....}
至此对于其认证方式就已经彻底实现,接下来咱们经过【搜狗浏览器】来验收咱们的成果。spa
看到以下认证其用户名和密码的图片,咱们知道咱们成功了一半
咱们点击取消,观察是否返回401并添加质询头即WWW-Authenticate,如咱们所料
咱们输入正确的用户名和密码再试试看,结果认证成功,以下:
基于Web API的消息处理管道(HttpMessageHandler)实现认证
咱们知道HttpMessageHandler是Web API中请求-响应中的消息处理管道的重要角色,可是真正实现管道串联的是DelegatingHandler,若你不懂Web API消息管道,请参考前面系列文章,因此咱们能够自定义管道来进行拦截经过继承DelegatingHandler。下面咱们一步步来实现基于此管道的认证。
第一步
和第一种方法一致再也不叙述。
第二步
这一步固然是自定义管道进行处理并继承DelegatingHandler,重载在此类中的SendAsync方法,经过得到其请求并处理从而进行响应,若不懂此类中的具体实现,请参看前面系列文章。
-
一样是咱们须要根据请求来解析请求报头,咱们依然须要解析报头方法,可是须要稍做修改
public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) { string authParameter = null; var authValue = requestMessage.Headers.Authorization; if (authValue != null && authValue.Scheme == "Basic") authParameter = authValue.Parameter; if (string.IsNullOrEmpty(authParameter)) return null; authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); var authToken = authParameter.Split(':'); if (authToken.Length < 2) return null; return new BasicAuthenticationIdentity(authToken[0], authToken[1]); }
-
此时质询也得做相应的修改,由于此时再也不是依赖于Action请求上下文,而是请求(HttpRequestMessage)和响应(HttpResponseMessage)
void Challenge(HttpRequestMessage request,HttpResponseMessage response) { var host = request.RequestUri.DnsSafeHost; response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); }
-
最终继承自DelegatingHandler的代码以下
public class BasicAuthenticationHandler : DelegatingHandler { private const string authenticationHeader = "WWW-Authenticate"; protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) { var crendentials = ParseHeader(request); if (crendentials != null) { var identity = new BasicAuthenticationIdentity(crendentials.Name, crendentials.Password); var principal = new GenericPrincipal(identity, null); Thread.CurrentPrincipal = principal; //针对于ASP.NET设置 //if (HttpContext.Current != null) // HttpContext.Current.User = principal; } return base.SendAsync(request, cancellationToken).ContinueWith(task => { var response = task.Result; if (crendentials == null && response.StatusCode == HttpStatusCode.Unauthorized) { Challenge(request, response); } return response; }); } void Challenge(HttpRequestMessage request,HttpResponseMessage response) { var host = request.RequestUri.DnsSafeHost; response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); } public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) { string authParameter = null; var authValue = requestMessage.Headers.Authorization; if (authValue != null && authValue.Scheme == "Basic") authParameter = authValue.Parameter; if (string.IsNullOrEmpty(authParameter)) return null; authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); var authToken = authParameter.Split(':'); if (authToken.Length < 2) return null; return new BasicAuthenticationIdentity(authToken[0], authToken[1]); } }
第三步
上述咱们自定义的BasicAuthenticationFilter此时就得继承 AuthorizeAttribute 该特性也是继承于上述的 AuthorizationFilterAttribute ,咱们须要利用AuthorizeAttribute中的 IsAuthorized 方法来验证当前线程中的Principal是否已经被受权。
public class BasicAuthenticationFilter : AuthorizeAttribute { protected override bool IsAuthorized(HttpActionContext actionContext) { var identity = Thread.CurrentPrincipal.Identity; if (identity != null && HttpContext.Current != null) identity = HttpContext.Current.User.Identity; if (identity != null && identity.IsAuthenticated) { var basicAuthIdentity = identity as BasicAuthenticationIdentity;
//能够添加其余须要的业务逻辑验证代码 if (basicAuthIdentity.Name == "xpy0928" && basicAuthIdentity.Password == "cnblogs") { return true; } } return false; } }
经过 IsAuthorized 方法返回值来看,若为false,则返回401状态码,此时会触发 BasicAuthenticationHandler 中的质询,而且此方法里面主要是咱们须要添加认证用户的业务逻辑代码。同时咱们也说过咱们第一种方法自定义实现的过滤器特性是 AuthorizationFilterAttribute (若是咱们有更多逻辑使用这个特性是个不错的选择),而在这里是 AuthorizeAttribute (对于验证用户而且返回bool值使用此过滤器特性是个不错的选择)。
第四步
注册自定义管道以及认证过滤器特性
config.MessageHandlers.Add(new BasicAuthenticationHandler()); config.Filters.Add(new BasicAuthenticationFilter());
最后一步
[BasicAuthenticationFilter] public class ProductController : ApiController {.....}
下面咱们经过【360极速浏览器】来验收成果。点击按钮直接请求控制器
接下来取消,是否返回401
至此完美结束。
总结
用认证特性(AuthorizationFilterAttribute)仍是HttpMessageHandler实现认证,这是一个问题?
经过比较这两者的实现操做在实现方式上明显有极大的不一样,我的以为用AuthorizationFilterAttribute来实现认证是更加简单而且紧凑,由于实现的每一处都在每个地方,在大多数实现自定义登录的场景下,对于用过滤器如此紧凑的业务逻辑用这个更加高效, 用HttpMessageHandler的优势是全局应用且是Web API消息处理管道的一部分,若是对于不一样的部分要用不一样的认证那么用HttpMessageHandler效果更好,可是此时你须要自定义一个过滤器,尤为是当MessageHandler对于一个认证须要一个过滤器的时候。因此综上所述,根据不一样的应用场景咱们应该选择对应的方式来实现认证。
源代码连接
相关文章
- 1. [转]Web APi之认证(Authentication)两种实现方式【二】(十三)
- 2. 转 Web APi之认证(Authentication)两种实现方式【二】(十三)
- 3. Web APi之认证(Authentication)两种实现方式后续【三】
- 4. Web APi之认证(Authentication)两种实现方式后续【三】(十五)
- 5. Web APi之认证(Authentication)及授权(Authorization)【一】(十二)
- 6. [转]Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 7. Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 8. HTTP Basic Authentication认证(Web API)
- 9. ASP.NET Web API 经过Authentication特性来实现身份认证
- 10. HttpClient 三种 Http Basic Authentication 认证方式,你了解了吗?
- 更多相关文章...
- • Spring实例化Bean的三种方法 - Spring教程
- • Mybatis实现映射器的2种方式 - MyBatis教程
- • Spring Cloud 微服务实战(三) - 服务注册与发现
- • ☆基于Java Instrument的Agent实现
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. [转]Web APi之认证(Authentication)两种实现方式【二】(十三)
- 2. 转 Web APi之认证(Authentication)两种实现方式【二】(十三)
- 3. Web APi之认证(Authentication)两种实现方式后续【三】
- 4. Web APi之认证(Authentication)两种实现方式后续【三】(十五)
- 5. Web APi之认证(Authentication)及授权(Authorization)【一】(十二)
- 6. [转]Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 7. Web APi之认证(Authentication)及受权(Authorization)【一】(十二)
- 8. HTTP Basic Authentication认证(Web API)
- 9. ASP.NET Web API 经过Authentication特性来实现身份认证
- 10. HttpClient 三种 Http Basic Authentication 认证方式,你了解了吗?