RESTful WCF 数据服务身份验证

Question

我想为现有的 ASP.NET MVC 网站实现一个 REST api。我已经设法设置 WCF 数据服务，以便我可以浏览我的数据，但现在的问题是如何处理身份验证。

现在，数据服务通过网站的内置表单身份验证得到保护，从 AJAX 表单访问服务时可以这样做。但是，它并不适合 RESTful api。

作为表单身份验证的替代方案，我希望用户只需将用户名和密码嵌入到 Web 服务的 url 中或作为请求参数。

例如，如果我的网络服务通常可以访问

http://localhost:1234/api.svc

我希望能够使用 url 访问它

http://localhost:1234/api.svc/{login}/{password}

所以，我的问题如下：

• 这是一种理智的方法吗？

• 如果是，我该如何实现？

重定向 GET 请求似乎很简单，以便将登录名和密码作为 GET 参数附加。我也知道如何检查 http 上下文并使用这些参数来过滤结果。但我不确定是否/如何将相同的方法应用于 POST、PUT 和 DELETE 请求。我可以在 POST、PUT 和 DELETE 请求中使用 GET 参数吗？

编辑：我的问题是如何将登录名和密码嵌入到 Web 服务的 URL 中，以便我可以对 Web 服务执行 POST、PUT 和 DELETE 请求。一旦 Web 服务运行并且登录名/密码包含在 HTTPContext 中的某处，我确实知道如何实现身份验证。另外，我不是在寻找实现表单或基本身份验证的方法。我知道该怎么做，但这不是我想要的。

Answer 1

OData - WCF Data Services Best Practices from TechEd - Meta-Me - Site Home - MSDN Blogs

<system.web.extensions>
  <scripting>
    <webServices>
       <authenticationService enabled="true" />
    </webServices>
  </scripting>
</system.web.extensions>

这个怎么样？

Answer 2

看看下面的答案是否对你有帮助：

你的第一个问题：

• 这是一个理智的方法吗？

  如果您的服务通过 https 运行，我看不到使用此方法的任何问题。

• 如果是，我该如何实现？

您可以在其他方法中使用 GET 参数，例如。这里流是在 body 中传递的。

[OperationContract]
        [WebInvoke(Method="POST", UriTemplate = "UploadFile/{fileName}/{userToken}")]
        string UploadFile(string fileName,string userToken,Stream fileContents);

Answer 3

我不必通过身份验证使用 restful，但我必须确保用户组有权访问 rest 服务。我通过传递给 Web 服务的 MD5 令牌来执行此操作（这是一个普通的 JSON 服务，而不是 WCF 包装器）。基本上，我“知道”哪些网站可以访问我的服务，所以我给他们自己的 API 密钥（为简单起见，它是域名的 MD5。这会通过过滤器对 urlreferrer 的传入进行检查，如果 MD5 的它匹配，然后就可以了。

我知道这不是身份验证答案，但如果您只需要非常课程级别的“身份验证”，这是一种中等信任的方法。

我很想看看其他人是如何做到这一点的，不过，对于其他项目，我可能需要一种不那么粗略的身份验证方法。

Answer 4

最后我使用了三重方法，这两种身份验证方法中的任何一种都可以在我的数据服务上正常工作：

• 使用 API 密钥作为密码的基本身份验证
• 通过作为请求标头嵌入的 API 密钥进行身份验证
• 使用 API 密钥作为 API 路径的基于 URL 的身份验证。我使用代理 ASP.NET MVC 控制器实现了这一点。