1. Dom
  2. Pytanie i odpowiedź
  3. Jak używać klucza Api w Web Api do uwierzytelniania usług przy użyciu uwierzytelniania formularzy

Jak używać klucza Api w Web Api do uwierzytelniania usług przy użyciu uwierzytelniania formularzy

2013-04-22 15 views
7

Używam aplikacji MVC 4 Web Api i chcę, aby użytkownicy zostali uwierzytelnieni, zanim skorzystają z mojej usługi.Jak używać klucza Api w Web Api do uwierzytelniania usług przy użyciu uwierzytelniania formularzy

Zaimplementowałem procedurę obsługi komunikatów autoryzacji, która działa dobrze.

public class AuthorizationHandler : DelegatingHandler 
{ 
    private readonly AuthenticationService _authenticationService = new AuthenticationService(); 

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) 
    { 
     IEnumerable<string> apiKeyHeaderValues = null; 
     if (request.Headers.TryGetValues("X-ApiKey", out apiKeyHeaderValues)) 
     { 
      var apiKeyHeaderValue = apiKeyHeaderValues.First(); 

      // ... your authentication logic here ... 
      var user = _authenticationService.GetUserByKey(new Guid(apiKeyHeaderValue)); 

      if (user != null) 
      { 

       var userId = user.Id; 

       var userIdClaim = new Claim(ClaimTypes.SerialNumber, userId.ToString()); 
       var identity = new ClaimsIdentity(new[] { userIdClaim }, "ApiKey"); 
       var principal = new ClaimsPrincipal(identity); 

       Thread.CurrentPrincipal = principal; 
      } 
     } 

     return base.SendAsync(request, cancellationToken); 
    } 
}

Problem polega na tym, że używam uwierzytelniania formularzy.

[HttpPost] 
    public ActionResult Login(UserModel model) 
    { 
     if (ModelState.IsValid) 
     { 
      var user = _authenticationService.Login(model); 
      if (user != null) 
      { 
       // Add the api key to the HttpResponse??? 
      } 
      return View(model); 
     } 

     return View(model); 
    }

Kiedy zadzwonić do mojego API:

[Authorize] 
public class TestController : ApiController 
{ 
    public string GetLists() 
    { 
     return "Weee"; 
    } 
}

Handler nie może znaleźć nagłówek X-ApiKey.

Czy istnieje sposób na dodanie klucza API użytkownika do nagłówka odpowiedzi http i utrzymanie klucza w tym miejscu, o ile użytkownik jest zalogowany? Czy istnieje inny sposób wdrożenia tej funkcji?

Źródło

2013-04-22 Ivan Stoyanov

Odpowiedz

2

znalazłem poniższy artykuł http://www.asp.net/web-api/overview/working-with-http/http-cookies używając go skonfigurowałem moje AuthorizationHandler używać ciasteczek:

public class AuthorizationHandler : DelegatingHandler 
{ 
    private readonly IAuthenticationService _authenticationService = new AuthenticationService(); 

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) 
    { 
     var cookie = request.Headers.GetCookies(Constants.ApiKey).FirstOrDefault(); 
     if (cookie != null) 
     { 
      var apiKey = cookie[Constants.ApiKey].Value; 
      try 
      { 
       var guidKey = Guid.Parse(apiKey); 

       var user = _authenticationService.GetUserByKey(guidKey); 
       if (user != null) 
       { 

        var userIdClaim = new Claim(ClaimTypes.Name, apiKey); 
        var identity = new ClaimsIdentity(new[] { userIdClaim }, "ApiKey"); 
        var principal = new ClaimsPrincipal(identity); 

        Thread.CurrentPrincipal = principal; 

       } 
      } 
      catch (FormatException) 
      { 
      } 
     } 

     return base.SendAsync(request, cancellationToken); 
    } 
}

skonfigurowałem mój login wynik działania:

[HttpPost] 
    public ActionResult Login(LoginModel model) 
    { 
     if (ModelState.IsValid) 
     { 
      var user = _authenticationService.Login(model); 
      if (user != null) 
      { 
       _cookieHelper.SetCookie(user); 

       return RedirectToAction("Index", "Home"); 
      } 

      ModelState.AddModelError("", "Incorrect username or password"); 
      return View(model); 
     } 

     return View(model); 
    }

Wewnątrz używam CookieHelper, które stworzyłem. Składa się on z interfejsu:

public interface ICookieHelper 
{ 
    void SetCookie(User user); 

    void RemoveCookie(); 

    Guid GetUserId(); 
}

I klasy, która implementuje interfejs:

public class CookieHelper : ICookieHelper 
{ 
    private readonly HttpContextBase _httpContext; 

    public CookieHelper(HttpContextBase httpContext) 
    { 
     _httpContext = httpContext; 
    } 

    public void SetCookie(User user) 
    { 
     var cookie = new HttpCookie(Constants.ApiKey, user.UserId.ToString()) 
     { 
      Expires = DateTime.UtcNow.AddDays(1) 
     }; 

     _httpContext.Response.Cookies.Add(cookie); 
    } 

    public void RemoveCookie() 
    { 
     var cookie = _httpContext.Response.Cookies[Constants.ApiKey]; 
     if (cookie != null) 
     { 
      cookie.Expires = DateTime.UtcNow.AddDays(-1); 
      _httpContext.Response.Cookies.Add(cookie); 
     } 
    } 

    public Guid GetUserId() 
    { 
     var cookie = _httpContext.Request.Cookies[Constants.ApiKey]; 
     if (cookie != null && cookie.Value != null) 
     { 
      return Guid.Parse(cookie.Value); 
     } 

     return Guid.Empty; 
    } 
}

Poprzez tę konfigurację, teraz mogę użyć atrybutu upoważniać do moich ApiControllers:

[Authorize] 
public class TestController : ApiController 
{ 
    public string Get() 
    { 
     return String.Empty; 
    } 
}

Oznacza to, że jeśli użytkownik nie jest zalogowany, nie może uzyskać dostępu do mojego interfejsu API i otrzymuje błąd 401. Również mogę pobrać klucz API, który używam jako ID użytkownika, w dowolnym miejscu w moim kodzie, co czyni go bardzo czystym i czytelnym.

Nie sądzę, że używanie plików cookie jest najlepszym rozwiązaniem, ponieważ niektórzy użytkownicy mogli je wyłączyć w przeglądarce, ale w tej chwili nie znalazłem lepszego sposobu na autoryzację.

Źródło

2013-04-26 18:12:32

1

Z przykładów kodu nie wynika, że ​​korzystasz z formularzy internetowych. Czy możesz używać uwierzytelniania formularzy? Czy korzystasz z usługodawcy członkostwa w swojej usłudze do sprawdzania poświadczeń użytkownika?

Możesz użyć klasy HttpClient i być może jej właściwości DefaultRequestHeaders lub HttpRequestMessage z kodu, który będzie wywoływał interfejs API w celu ustawienia nagłówków.

Tutaj są pewne przykłady httpclient: http://www.asp.net/web-api/overview/web-api-clients/calling-a-web-api-from-a-net-client

Źródło

2013-04-26 03:12:53 Ezequiel

+0

Dzięki! Masz rację miałem na myśli uwierzytelnianie formularzy. Zmieniłem moje pytanie. Nie korzystam z dostawcy członkostwa, zamiast tego utworzyłem niestandardową logikę uwierzytelniania. Nie mogę używać HttpRequestMessage, ponieważ wykonuję moje uwierzytelnianie za pomocą kontrolera MVC i zwracam wynik działania (lub nie wiem, jak go użyć). –

Powiązane problemy

 Powiązane problemy