ASP.net Web API Usługa sieciowa RESTful + uwierzytelnianie podstawowe

Question

Wdrażam usługę WWW RESTful przy użyciu interfejsu API ASP.Net. Do wykonania części uwierzytelniającej doszedłem do korzystania z uwierzytelniania podstawowego + SSL. Jaki jest najlepszy/prawidłowy sposób realizacji tego?

Pierwszą próbą było zrobienie tego ręcznie, parsowanie nagłówka Authorization, dekodowanie i weryfikacja użytkownika względem mojej bazy danych. Działa, ale zastanawiam się, czy czegoś brakuje.

Widziałem kilka rozwiązań wykorzystujących role użytkowników i zleceniodawców. Chociaż nie jestem pewien, co tak naprawdę robią, jestem prawie pewien, że nie będę ich potrzebował, ponieważ w mojej bazie danych definiuję moich własnych użytkowników i ich role.

Ponadto, czego jeszcze nie do końca rozumiem, jest to, że konsumenci usługi muszą wysłać poświadczenia przy każdym żądaniu lub są w jakiś sposób buforowane. Czy moja usługa powinna coś zrobić, aby tak się stało, lub czy to całkowicie zależy od konsumenta, aby sobie z tym poradzić?

I ostatnie pytanie dotyczące klientów wysyłających żądania za pomocą javascript. Czy wystąpią jakiekolwiek problemy z "żądaniem krzyżowym", jeśli spróbują skorzystać z usługi?

Answer 1

Jamie Kurtze zapewnia dobre wyjaśnienie stosowania tutaj Basic Authentication ASP.NET Web API REST Security Basics

Z mojego rozumienia, jeśli chcesz, aby twoje żądania były bezpaństwowcami, każde żądanie będzie wymagać e pole Uwierzytelnianie, które ma być ustawione:

Jamie Kurtze zawija niezbędny kod w klasie pochodnej DelegateHandler, a Rick Strahl sprawdza, czy wywołanie jest prawidłowe przy użyciu filtru. Więcej informacji można znaleźć na jego blogu na ten temat pod adresem A WebAPI Basic Authentication Authorization Filter

Answer 2

Sprawdźcie tutaj na dobre podstawowe realizacji uwierzytelniania

http://leastprivilege.com/2013/04/22/web-api-security-basic-authentication-with-thinktecture-identitymodel-authenticationhandler/

coś więcej o tym przeczytać na: https://github.com/thinktecture/Thinktecture.IdentityModel.45/wiki

Answer 3

Użyć podstawowego uwierzytelnienia dla żądania początkowego (logowania), dodając atrybut [BasicHttpAuthorize] do odpowiednich kontrolerów/metod. W razie potrzeby podaj atrybuty Users i Roles. Definiowanie BasicHttpAuthorizeAttribute jako wyspecjalizowany AuthorizeAttribute tak:

public class BasicHttpAuthorizeAttribute : AuthorizeAttribute 
{ 
    protected override bool IsAuthorized(HttpActionContext actionContext) 
    { 
     if (Thread.CurrentPrincipal.Identity.Name.Length == 0) { // If an identity has not already been established by other means: 
      AuthenticationHeaderValue auth = actionContext.Request.Headers.Authorization; 
      if (string.Compare(auth.Scheme, "Basic", StringComparison.OrdinalIgnoreCase) == 0) { 
       string credentials = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(auth.Parameter)); 
       int separatorIndex = credentials.IndexOf(':'); 
       if (separatorIndex >= 0) { 
        string userName = credentials.Substring(0, separatorIndex); 
        string password = credentials.Substring(separatorIndex + 1); 
        if (Membership.ValidateUser(userName, password)) 
         Thread.CurrentPrincipal = actionContext.ControllerContext.RequestContext.Principal = new GenericPrincipal(new GenericIdentity(userName, "Basic"), System.Web.Security.Roles.Provider.GetRolesForUser(userName)); 
       } 
      } 
     } 
     return base.IsAuthorized(actionContext); 
    } 
} 

mieć początkową reakcję zawierać klucz API dla użytkownika. Użyj klucza API dla kolejnych połączeń. W ten sposób uwierzytelnianie klienta pozostaje ważne, nawet jeśli użytkownik zmieni nazwę użytkownika lub hasło. Jednak zmieniając hasło, daj użytkownikowi opcję "odłączania klientów", którą implementujesz, usuwając klucz API na serwerze.