ASP.NET-Web-API RESTful Web-Service + Standardauthentifizierung

Question

Ich implementiere einen RESTful-Webdienst mit ASP.Net Web API. Ich habe beschlossen, die Standardauthentifizierung + SSL für den Authentifizierungsteil zu verwenden. Was ist der beste/korrekte Weg dies zu implementieren?

Mein erster Versuch war, es manuell zu tun, den Authorization-Header analysierend, den Benutzer gegen meine Datenbank entschlüsselnd und verifizierend. Es funktioniert, aber ich frage mich, ob ich etwas vermisse.

Ich habe einige Lösungen mit Benutzerrollen und Prinzipalen gesehen. Obwohl ich nicht sicher bin, was diese tatsächlich tun, bin ich mir fast sicher, dass ich diese nicht brauche, da ich in meiner Datenbank meine eigenen Benutzer und ihre Rollen definiere.

Auch was ich noch nicht vollständig verstehe, ist, wenn die Verbraucher des Dienstes die Anmeldeinformationen bei jeder Anfrage gesendet haben müssen oder sie irgendwie zwischengespeichert werden. Sollte mein Dienst etwas tun, damit dies geschieht, oder liegt es in der Verantwortung des Verbrauchers, damit umzugehen?

Und eine letzte Frage über Kunden Anfragen mit Javascript. Gäbe es Probleme mit der "domainübergreifenden Anfrage", wenn sie versuchen, den Service zu nutzen?

Answer 1

Jamie Kurtze bietet eine gute Erklärung der Verwendung von Standardauthentifizierung hier ASP.NET Web API REST Security Basics

Wenn Sie möchten, dass Ihre Anforderungen statusfrei sind, müssen Sie jede Anfrage anfordern e Das zu setzende Authentifizierungsfeld

Jamie Kurtze umschließt den erforderlichen Code in einer von DelegateHandler abgeleiteten Klasse, während Rick Strahl prüft, ob der Aufruf mit einem Filter gültig ist. Weitere Informationen finden Sie in seinem Blogbeitrag unter A WebAPI Basic Authentication Authorization Filter

Answer 2

Werfen Sie einen Blick hier für eine gute Basis-Authentifizierung Implementierung

http://leastprivilege.com/2013/04/22/web-api-security-basic-authentication-with-thinktecture-identitymodel-authenticationhandler/

mehr darüber zu lesen ist: https://github.com/thinktecture/Thinktecture.IdentityModel.45/wiki

Answer 3

Verwenden Sie die Standardauthentifizierung für die erste Anforderung (Anmelden), indem Sie den entsprechenden Controllern/Methoden ein [BasicHttpAuthorize]-Attribut hinzufügen. Geben Sie bei Bedarf das Attribut Users und Roles mit dem Attribut an. Definieren BasicHttpAuthorizeAttribute als spezialisierter AuthorizeAttribute wie folgt aus:

public class BasicHttpAuthorizeAttribute : AuthorizeAttribute 
{ 
    protected override bool IsAuthorized(HttpActionContext actionContext) 
    { 
     if (Thread.CurrentPrincipal.Identity.Name.Length == 0) { // If an identity has not already been established by other means: 
      AuthenticationHeaderValue auth = actionContext.Request.Headers.Authorization; 
      if (string.Compare(auth.Scheme, "Basic", StringComparison.OrdinalIgnoreCase) == 0) { 
       string credentials = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(auth.Parameter)); 
       int separatorIndex = credentials.IndexOf(':'); 
       if (separatorIndex >= 0) { 
        string userName = credentials.Substring(0, separatorIndex); 
        string password = credentials.Substring(separatorIndex + 1); 
        if (Membership.ValidateUser(userName, password)) 
         Thread.CurrentPrincipal = actionContext.ControllerContext.RequestContext.Principal = new GenericPrincipal(new GenericIdentity(userName, "Basic"), System.Web.Security.Roles.Provider.GetRolesForUser(userName)); 
       } 
      } 
     } 
     return base.IsAuthorized(actionContext); 
    } 
} 

Haben die erste Reaktion umfassen einen API-Schlüssel für den Benutzer. Verwenden Sie den API-Schlüssel für nachfolgende Aufrufe. Auf diese Weise bleibt die Authentifizierung des Clients auch dann gültig, wenn der Benutzer den Benutzernamen oder das Passwort ändert. Wenn Sie jedoch das Kennwort ändern, geben Sie dem Benutzer eine Option zum Trennen von Clients, die Sie implementieren, indem Sie den API-Schlüssel auf dem Server löschen.