51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Web API之认证(Authentication)两种实现方式

移动开发
对于所谓的认证说到底就是安全问题,在Web API中有多种方式来实现安全,【accepted】方式来处理基于IIS的安全(通过上节提到的WindowsIdentity依赖于HttpContext和IIS认证)或者在Web API里通过使用Web API中的消息处理机制,但是如果我们想应用程序运行在IIS之外此时Windows Idenitity这一方式似乎就不太可能了,同时在Web API中本身就未提供如何处理认证的直接方式,我们不得不自定义来实现认证功能,同时这也是我们所推荐的方式,自己动手,丰衣足食。

序言

对于所谓的认证说到底就是安全问题,在Web API中有多种方式来实现安全,【accepted】方式来处理基于IIS的安全(通过上节提到的WindowsIdentity依赖于HttpContext和IIS认证)或者在Web API里通过使用Web API中的消息处理机制,但是如果我们想应用程序运行在IIS之外此时Windows Idenitity这一方式似乎就不太可能了,同时在Web API中本身就未提供如何处理认证的直接方式,我们不得不自定义来实现认证功能,同时这也是我们所推荐的方式,自己动手,丰衣足食。
温馨提示:下面实现方法皆基于基础认证,若不熟悉Http协议中的Basic基础认证,请先参看此篇文章【园友海鸟-介绍Basic基础认证和Diges摘要认证】。


无论何种方式,对于我们的应用程序我们都需要在业务层使用基于凭证的用户认证,因为是客户端一方的需求,所以客户端需要明确基础验证,基础认证(Basic)非常简单并且支持任何Web客户端,但是基础验证的缺点是不安全,通过使用SSL则可以进行加密就可以在一定程度上保证了安全,如果是对于一般的应用程序通过基础认证只是进行编码而未加密也可以说是安全的。我们还是看看上一节所给图片

通过上述图片的粗略信息我们可以看出在请求到Action方法之间要经过Web API消息处理管道,在请求到目标元素之前要经过HttpMessageHandler和认证过滤器,所以我们可以通过这两者来自定义实现认证。下面我们一一来看。
基于Web API的认证过滤器(AuthorizationFilterAttribute)实现认证
***步

我们自定义一个认证身份(用户名和密码)的类,那么此类必须也就要继承于 GenericIdentity ,既然是基于基础验证,那么类型当然也就是Basic了。

  1. public class BasicAuthenticationIdentity : GenericIdentity 
  3. public string Password { get; set; } 
  4. public BasicAuthenticationIdentity(string name, string password) 
  5. : base(name, "Basic"
  7. this.Password = password; 


第二步

我们要自定义一个认证过滤器特性,并继承 AuthorizationFilterAttribute ,此时会变成如下:

  1. public class BasicAuthenticationFilter : AuthorizationFilterAttribute 
  3. public override void OnAuthorization(HttpActionContext actionContext) 
  4. {} 

那么在这个重写的方法我们应该写什么呢?我们慢慢来分析!请往下看。

解析请求报文头

首先对于客户单发送过来的请求我们肯定是需要获得请求报头,然后解析请求报头中的Authorization,若此时其参数为空,我们将返回到客户端,并发起质询。

 

  1.  string authParameter = null
  2.  
  3. var authValue = actionContext.Request.Headers.Authorization; //actionContext:Action方法请求上下文 
  4. if (authValue != null && authValue.Scheme == "Basic"
  5. authParameter = authValue.Parameter; //authparameter:获取请求中经过Base64编码的(用户:密码) 
  6.  
  7. if (string.IsNullOrEmpty(authParameter)) 
  8.  
  9. return null

次之,若此时认证中的参数不为空并开始对其进行编码,并返回一个BasicAuthenticationIdentity对象,若此时对象为空,则同样返回到客户端,并发起质询
  1. uthParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); //对编码的参数进行解码 
  2.  
  3. var authToken = authParameter.Split(':'); //解码后的参数格式为(用户名:密码)将其进行分割 
  4. if (authToken.Length < 2
  5. return null
  6.  
  7. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); //将分割的用户名和密码传递给此类构造函数进行初始化 


***,我们将上述两者封装为一个ParseHeader方法以便进行调用

  1.  public virtual BasicAuthenticationIdentity ParseHeader(HttpActionContext actionContext) 
  3. string authParameter = null
  4.  
  5. var authValue = actionContext.Request.Headers.Authorization; 
  6. if (authValue != null && authValue.Scheme == "Basic"
  7. authParameter = authValue.Parameter; 
  8.  
  9. if (string.IsNullOrEmpty(authParameter)) 
  10.  
  11. return null
  12.  
  13. authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
  14.  
  15. var authToken = authParameter.Split(':'); 
  16. if (authToken.Length < 2
  17. return null
  18.  
  19. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 

接下来我们将认证未通过而需要发起认证质询,我们将其封装为一个方法Challenge

  1. void Challenge(HttpActionContext actionContext) 
  3. var host = actionContext.Request.RequestUri.DnsSafeHost; 
  4. actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized); 
  5. actionContext.Response.Headers.Add("WWW-Authenticate", string.Format("Basic realm=\"{0}\"", host)); 
  6.  

定义一个方法便于对用户名和密码进行校验,并将其修饰为虚方法,以免后续要添加其他有关用户数

  1.  public virtual bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) 
  3. if (string.IsNullOrEmpty(userName) || string.IsNullOrEmpty(userPassword)) 
  4.  
  5. return false
  6. else 
  7. return true
  8.  

在认证成功后将认证身份设置给当前线程中Principal属性

  1. ar principal = new GenericPrincipal(identity, null); 
  2.  
  3. Thread.CurrentPrincipal = principal; 
  4.  
  5. //下面是针对ASP.NET而设置 
  6. //if (HttpContext.Current != null) 
  7. // HttpContext.Current.User = principal; 


第三步

一切已经就绪,此时在重写方法中进行相应的调用即可,如下:

  1.  [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)] 
  2. public class BasicAuthenticationFilter : AuthorizationFilterAttribute 
  4. public override void OnAuthorization(HttpActionContext actionContext) 
  6. var userIdentity = ParseHeader(actionContext); 
  7. if (userIdentity == null
  9. Challenge(actionContext); 
  10. return
  12.  
  13. if (!OnAuthorize(userIdentity.Name, userIdentity.Password, actionContext)) 
  15. Challenge(actionContext); 
  16. return
  18.  
  19. var principal = new GenericPrincipal(userIdentity, null); 
  20.  
  21. Thread.CurrentPrincipal = principal; 
  22.  
  23. base.OnAuthorization(actionContext); 

 #p#


第四步

自定义 CustomBasicAuthenticationFilter 并继承于 BasicAuthenticationFilter ,重写其虚方法。

  1.  public class CustomBasicAuthenticationFilter : BasicAuthenticationFilter 
  3. public override bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) 
  5. if (userName == "xpy0928" && userPassword == "cnblogs"
  6.  
  7. return true
  8. else 
  9. return false
  10.  


***一步

注册自定义认证特性并进行调用

  1.  config.Filters.Add(new CustomBasicAuthenticationFilter()); 
  2.  
  3. [CustomBasicAuthenticationFilter] 
  4. public class ProductController : ApiController 
  5. {....} 

至此对于其认证方式就已经完全实现,接下来我们通过【搜狗浏览器】来验收我们的成果。

看到如下认证其用户名和密码的图片,我们知道我们成功了一半

我们点击取消,观察是否返回401并添加质询头即WWW-Authenticate,如我们所料

我们输入正确的用户名和密码再试试看,结果认证成功,如下:

基于Web API的消息处理管道(HttpMessageHandler)实现认证

我们知道HttpMessageHandler是Web API中请求-响应中的消息处理管道的重要角色,但是真正实现管道串联的是DelegatingHandler,若你不懂Web API消息管道,请参考前面系列文章,所以我们可以自定义管道来进行拦截通过继承DelegatingHandler。下面我们一步步来实现基于此管道的认证。
***步

和***种方法一致不再叙述。
第二步

这一步当然是自定义管道进行处理并继承DelegatingHandler,重载在此类中的SendAsync方法,通过获得其请求并处理从而进行响应,若不懂此类中的具体实现,请参看前面系列文章。

同样是我们需要根据请求来解析请求报头,我们依然需要解析报头方法,但是需要稍作修改

 

  1.  public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) 
  3. string authParameter = null
  4.  
  5. var authValue = requestMessage.Headers.Authorization; 
  6. if (authValue != null && authValue.Scheme == "Basic"
  7. authParameter = authValue.Parameter; 
  8.  
  9. if (string.IsNullOrEmpty(authParameter)) 
  10.  
  11. return null
  12.  
  13. authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
  14.  
  15. var authToken = authParameter.Split(':'); 
  16. if (authToken.Length < 2
  17. return null
  18.  
  19. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 

此时质询也得作相应的修改,因为此时不再是依赖于Action请求上下文,而是请求(HttpRequestMessage)和响应(HttpResponseMessage)

 

  1.  void Challenge(HttpRequestMessage request,HttpResponseMessage response) 
  3. var host = request.RequestUri.DnsSafeHost; 
  4.  
  5. response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); 
  6.  
  7. }

最终继承自DelegatingHandler的代码如

 

  1.  public class BasicAuthenticationHandler : DelegatingHandler 
  3. private const string authenticationHeader = "WWW-Authenticate"
  4. protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) 
  6. var crendentials = ParseHeader(request); 
  7.  
  8. if (crendentials != null
  10. var identity = new BasicAuthenticationIdentity(crendentials.Name, crendentials.Password); 
  11.  
  12. var principal = new GenericPrincipal(identity, null); 
  13.  
  14. Thread.CurrentPrincipal = principal; 
  15.  
  16. //针对于ASP.NET设置 
  17. //if (HttpContext.Current != null) 
  18. // HttpContext.Current.User = principal; 
  20.  
  21. return base.SendAsync(request, cancellationToken).ContinueWith(task => { 
  22. var response = task.Result; 
  23. if (crendentials == null && response.StatusCode == HttpStatusCode.Unauthorized) 
  25. Challenge(request, response); 
  27.  
  28. return response; 
  29. }); 
  30.  
  32.  
  33. void Challenge(HttpRequestMessage request,HttpResponseMessage response) 
  35. var host = request.RequestUri.DnsSafeHost; 
  36.  
  37. response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); 
  38.  
  40.  
  41. public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) 
  43. string authParameter = null
  44.  
  45. var authValue = requestMessage.Headers.Authorization; 
  46. if (authValue != null && authValue.Scheme == "Basic"
  47. authParameter = authValue.Parameter; 
  48.  
  49. if (string.IsNullOrEmpty(authParameter)) 
  50.  
  51. return null
  52.  
  53. authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
  54.  
  55. var authToken = authParameter.Split(':'); 
  56. if (authToken.Length < 2
  57. return null
  58.  
  59. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 

#p#
第三步

上述我们自定义的BasicAuthenticationFilter此时就得继承 AuthorizeAttribute 该特性也是继承于上述的 AuthorizationFilterAttribute ,我们需要利用AuthorizeAttribute中的 IsAuthorized 方法来验证当前线程中的Principal是否已经被授权。
 

 

  1.  public class BasicAuthenticationFilter : AuthorizeAttribute 
  3. protected override bool IsAuthorized(HttpActionContext actionContext) 
  5.  
  6. var identity = Thread.CurrentPrincipal.Identity; 
  7. if (identity != null && HttpContext.Current != null
  8. identity = HttpContext.Current.User.Identity; 
  9.  
  10. if (identity != null && identity.IsAuthenticated) 
  12.  
  13. var basicAuthIdentity = identity as BasicAuthenticationIdentity; 
  14.  
  15. //可以添加其他需要的业务逻辑验证代码 
  16. if (basicAuthIdentity.Name == "xpy0928" && basicAuthIdentity.Password == "cnblogs"
  18. return true
  21.  
  22. return false
  23.  

通过 IsAuthorized 方法返回值来看,若为false,则返回401状态码,此时会触发 BasicAuthenticationHandler 中的质询,并且此方法里面主要是我们需要添加认证用户的业务逻辑代码。同时我们也说过我们***种方法自定义实现的过滤器特性是 AuthorizationFilterAttribute (如果我们有更多逻辑使用这个特性是个不错的选择),而在这里是 AuthorizeAttribute (对于验证用户并且返回bool值使用此过滤器特性是个不错的选择)。
第四步

注册自定义管道以及认证过滤器特性

  1. config.MessageHandlers.Add(new BasicAuthenticationHandler()); 
  2. config.Filters.Add(new BasicAuthenticationFilter()); 

***一步

[BasicAuthenticationFilter]
public class ProductController : ApiController
{.....}

下面我们通过【360极速浏览器】来验收成果。点击按钮直接请求控制器

接下来取消,是否返回401

至此***结束。
总结
用认证特性(AuthorizationFilterAttribute)还是HttpMessageHandler实现认证,这是一个问题?
通过比较这二者的实现操作在实现方式上明显有极大的不同,个人觉得用AuthorizationFilterAttribute来实现认证是更加简单并且紧凑,因为实现的每一处都在每一个地方,在大多数实现自定义登陆的场景下,对于用过滤器如此紧凑的业务逻辑用这个更加高效, 用HttpMessageHandler的优点是全局应用且是Web API消息处理管道的一部分,如果对于不同的部分要用不同的认证那么用HttpMessageHandler效果更好,但是此时你需要自定义一个过滤器,尤其是当MessageHandler对于一个认证需要一个过滤器的时候。所以综上所述,根据不同的应用场景我们应该选择对应的方式来实现认证。

责任编辑:chenqingxiang 来源: xpy0928的博客
Web API认证
相关推荐
gRPC 的两种不同认证方式
和之前的JWT相比,HttpBasic认证的缺点还是非常明显的,但是从认证流程来说,感觉两者差别不大,只是创建令牌和解析令牌的方式不同而已。

2023-03-29 13:06:36

.NET中创建Web API 帮助文档页面的两种方式
本文将详细介绍这MicrosoftHelpPage和Swashbuckle这两种API文档生成工具的应用、优势,以及如何在实际项目中使用它们。

2024-04-28 18:28:12

API文档生成工具开发Web API
RabbitMQ 实现延迟队列的两种方式
本文以RabbitMQ为例来和大家聊一聊延迟队列的玩法。利用RabbitMQ自带的消息过期和私信队列机制,实现定时任务。使用RabbitMQ的rabbitmqdelayedmessageexchange插件来实现定时任务,这种方案较简单。

2021-12-08 10:47:35

RabbitMQ 实现延迟
两种方式!带你快速实现前端截图
本文将介绍在前端开发中页面截图的两种方式,包括对其实现原理和使用方式进行详细阐述,希望能为更多前端开发者提供一些经验和帮助。

2022-06-08 15:12:34

前端前端截图
Perl多线程的两种实现方式
Perl语言中的Perl多线程你是否熟悉,这里向大家介绍一下,Perl多线程的实现一般有两种办法,而老版本的办法实际上是一种多进程的办法。

2010-07-14 10:30:26

Perl多线程
Pureftpd两种启动方式
Pureftpd是一款在多种类Unix上使用并符合GPL协议的原代码开放的软件,顾名思义,它就是一款纯粹的Ftp程序。今天给大家介绍下Pureftpd两种启动方式,一种我常用非常简单。

2011-03-03 10:26:04

Pureftpd
浅谈SQL Server 2005中两种用户认证方式
很多数据库管理员对SQLServer2005里的用户的概念不是很清楚,本文将从作者的角度来进行阐述,希望大家看完后能明白用户的概念。

2009-04-03 09:00:20

SQL Server2005用户
Spring定时器的两种实现方式
本文向您介绍Spring定时器的两种实现方式,包括JavaTimer定时和Quartz定时器,两种Spring定时器的实现方式各有优点,可结合具体项目考虑是否采用。

2009-06-15 15:02:48

Spring定时器
两种方式实现加速Javascript DOM操作优化
这里向大家描述一下如何加速JavascriptDOM操作优化,JavascriptDOM操作会导致浏览器重解析(reflow),这是浏览器的一个决定页面元素如何展现的计算过程。

2010-09-28 15:12:27

Javascript
构建 Web API两种流行选择:REST vs GraphQL
在RESTful和GraphQLAPI之间的选择取决于您的具体用例。RESTfulAPI适用于需要高可伸缩性的简单应用程序,而GraphQL则适用于具有不同数据需求的复杂应用程序。

2024-01-09 09:09:45

RESTGraphQL
简述两种路由欺骗方式
对于路由相信大家并不陌生,TCPTP网络中,IP包的传输路径完全由路由表决定。那么关于路由欺骗可能有些朋友就会一头雾水了,设想若攻击者通过各种手段改变路由表,使目标主机发送的IP包到达攻击者能控制的主机或路由器,就可以完成侦听,篡改等攻击方式,这便是所谓的路由欺骗。

2010-09-07 11:09:59

解析Perl面向对象编程的两种实现方式
本文向大家简单介绍一下Perl面向对象编程的实现方式,在Perl中两种主流的面向对象编程的实现方式,基于匿名哈希表的实现和基于数组的实现。

2010-07-13 14:54:15

Perl面向对象编程
浅谈SR-TE两种实现方式的对比
关于IP转发技术经历的几个阶段,凭个人的浅显理解简单梳理如下。最初IP数据包根据路由协议构建的转发表来转发。路由协议对目的地址寻址,通过对全网拓扑和链路状态的学习来建立RIB表,同时优选到达目的路由Metric值最小的路径的下一跳写入FIB表(Metric值相同的下一跳负载均衡)。

2020-05-11 13:03:03

SR-TEIP路由器
实战:单点登录的两种实现方式,附源码
单点登录(SingleSignOn,SSO)是一种身份验证服务,允许用户使用单个标识来登录多个应用程序或系统。如下图所示,用户只需要用户名密码登陆一次就可以访问系统A、系统B和系统C。

2023-05-31 19:10:31

Flex读取XML的两种方式
你对Flex读取XML的几种方式是否了解,本文向大家接单介绍一下,主要包括带名字空间的XML和不带名字空间的XML两大部分。

2010-08-06 09:38:11

Flex读取XML
Spring与Hibernate两种组合方式
Spring与Hibernate大致有两种组合方式,主要区别是一种是在Hibernate中的hibernate.cfg.xml中配置数据源,一种是借助Spring的jdbc方式在Spring的applicationContext.xml文件中配置数据源,然后在Spring配置sessionFactory的bean有些区别

2009-06-23 18:18:13

SpringHibernate
阐述两种主控负载均衡方式
本文介绍了STA和AP两种主控负载均衡方式,它们是主要应用于无线网络的一种控制方式。那么具体的内容和比较让我一起看下文吧。

2010-04-20 15:32:20

主控负载均衡
sql server升级的两种方式
sqlserver升级分为原地升级和并行升级,两种方式适用于不同的情况,下面将对这两种方式进行详细的说明,希望对您能有所帮助。

2010-10-21 16:24:18

sql server升
Buffalo AJAX的两种配置方式
本文将介绍BuffaloAJAX的两种配置方式,这个AJAX框架还是中国大师开发的,用起来估计是最方便、最简单的一个。

2009-06-25 13:43:00

Buffalo AJA
两种Python线程编程方式简介
本文详细介绍Python线程编程的相关文章,因为目前大部分的脚本都不能提供如VC++那样方便的调试环境,希望大家能够学习介绍。

2010-02-02 14:32:32

Python线程编程
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服