API Web ASP.net Dịch vụ web RESTful + Xác thực cơ bản

Question

Tôi đang triển khai dịch vụ web RESTful bằng ASP.Net Web Api. Tôi đã kết luận sử dụng Basic authentication + SSL để thực hiện phần xác thực. Cách tốt nhất/chính xác để thực hiện điều đó là gì?

Nỗ lực đầu tiên của tôi là thực hiện thủ công, phân tích cú pháp tiêu đề Cấp phép, giải mã và xác minh người dùng dựa vào cơ sở dữ liệu của tôi. Nó hoạt động, nhưng tôi tự hỏi nếu tôi đang thiếu một cái gì đó.

Tôi đã xem một số giải pháp sử dụng vai trò người dùng và hiệu trưởng. Trong khi tôi không chắc chắn những gì thực sự làm, tôi gần như chắc chắn tôi sẽ không cần những, kể từ trong cơ sở dữ liệu của tôi, tôi xác định người dùng của riêng tôi và vai trò của họ.

Ngoài ra những gì tôi chưa hiểu hoàn toàn, là nếu người tiêu dùng dịch vụ phải gửi thông tin đăng nhập với mỗi yêu cầu hoặc chúng được lưu trữ bằng cách nào đó. Dịch vụ của tôi có nên làm điều gì đó để điều này xảy ra hay hoàn toàn phụ thuộc vào người tiêu dùng để xử lý việc này?

Và câu hỏi cuối cùng về khách hàng đưa ra yêu cầu với javascript. Sẽ có bất kỳ vấn đề "yêu cầu tên miền chéo" nào nếu họ cố gắng sử dụng dịch vụ?

Answer 1

Jamie Kurtze cung cấp một lời giải thích tốt của việc sử dụng Basic Authentication đây ASP.NET Web API REST Security Basics

Từ hiểu biết của tôi, nếu bạn muốn yêu cầu của bạn trở thành quốc tịch thì mỗi yêu cầu sẽ yêu cầu e trường Xác thực sẽ được đặt

Jamie Kurtze bao bọc mã cần thiết trong lớp có nguồn gốc từ DelegateHandler, trong khi Rick Strahl kiểm tra xem cuộc gọi có hợp lệ hay không bằng Bộ lọc. Bạn có thể đọc thêm tại bài đăng trên blog của mình về chủ đề này tại A WebAPI Basic Authentication Authorization Filter

Answer 2

Có một cái nhìn vào đây để xem cơ bản thực hiện tốt xác thực

http://leastprivilege.com/2013/04/22/web-api-security-basic-authentication-with-thinktecture-identitymodel-authenticationhandler/

có nhiều hơn để đọc về nó tại địa chỉ: https://github.com/thinktecture/Thinktecture.IdentityModel.45/wiki

Answer 3

Sử dụng xác thực cơ bản cho yêu cầu ban đầu (đăng nhập) bằng cách thêm thuộc tính [BasicHttpAuthorize] vào bộ điều khiển/phương pháp phù hợp. Chỉ định Users và Roles với thuộc tính nếu muốn. Xác định BasicHttpAuthorizeAttribute như một chuyên AuthorizeAttribute như thế này:

public class BasicHttpAuthorizeAttribute : AuthorizeAttribute 
{ 
    protected override bool IsAuthorized(HttpActionContext actionContext) 
    { 
     if (Thread.CurrentPrincipal.Identity.Name.Length == 0) { // If an identity has not already been established by other means: 
      AuthenticationHeaderValue auth = actionContext.Request.Headers.Authorization; 
      if (string.Compare(auth.Scheme, "Basic", StringComparison.OrdinalIgnoreCase) == 0) { 
       string credentials = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(auth.Parameter)); 
       int separatorIndex = credentials.IndexOf(':'); 
       if (separatorIndex >= 0) { 
        string userName = credentials.Substring(0, separatorIndex); 
        string password = credentials.Substring(separatorIndex + 1); 
        if (Membership.ValidateUser(userName, password)) 
         Thread.CurrentPrincipal = actionContext.ControllerContext.RequestContext.Principal = new GenericPrincipal(new GenericIdentity(userName, "Basic"), System.Web.Security.Roles.Provider.GetRolesForUser(userName)); 
       } 
      } 
     } 
     return base.IsAuthorized(actionContext); 
    } 
} 

Có phản ứng ban đầu bao gồm một khóa API cho người dùng. Sử dụng khóa API cho các cuộc gọi tiếp theo. Bằng cách đó, xác thực của khách hàng vẫn hợp lệ ngay cả khi người dùng thay đổi tên người dùng hoặc mật khẩu. Tuy nhiên, khi thay đổi mật khẩu, hãy cung cấp cho người dùng tùy chọn "ngắt kết nối máy khách" mà bạn thực hiện bằng cách xóa khóa API trên máy chủ.