使用成员资格提供程序的 ASP.NET MVC 4 Web API 身份验证

Question

我有一个使用 Web API 的 ASP.NET MVC 4 项目。在控制器上，我已使用 [Authorize] 属性将类设置为需要授权。对于身份验证，我使用 ASP.NET Membership Provider 并将我的 Web.Config 设置为使用“表单”身份验证。这是我卡住的地方：

在我完成 API 测试之前，一切都运行良好，我想使用 [Authorize] 属性保护控制器，这样我就可以开始在我的 Membership Provider 中测试针对用户的身份验证。所以我启动 Fiddler 并进行相同的调用，添加 Authorization:Basic 属性以及来自我的会员提供者的用户名：密码，如下所示：

我得到的响应是 401 未授权，在“Auth”下我得到“没有 WWW-Authenticate Header is present”。然后我意识到 API 正在寻找一个 SHA1 编码的密钥。所以我从搜索中启动了一个 SHA1 生成器，并为我的 username:password 获取了一个哈希，并像这样更新我的请求标头：

这也不起作用，我得到相同的结果。此外，我显然需要某种“共享密​​钥”来与服务器一起使用来解码我的用户名/密码。

所以我的问题：

1. 如何从服务器获取此密钥（或者在这种情况下，虚拟 IIS 在 VS 2012 上运行）。
2. 如何使用它在 Fiddler 中使用来自 ASP.NET Membership Provider 的用户名/密码进行经过身份验证的调用。
3. 我将如何在我的客户端应用程序中使用它来进行相同的调用（C# WPF 应用程序）。
4. 在我的 HTTP 调用中与 SSL 结合使用时，这是否最实用？如果不是，那是什么？

提前致谢！

Answer 1

您可以将basic authentication 与 SSL 一起使用。在服务器端，我们可以编写一个自定义委托处理程序，它将通过查询我们注册的成员资格提供程序来验证凭据，如果有效，则检索角色并设置当前主体：

public class BasicAuthenticationMessageHandler : DelegatingHandler
{
    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var authHeader = request.Headers.Authorization;

        if (authHeader == null)
        {
            return base.SendAsync(request, cancellationToken);
        }

        if (authHeader.Scheme != "Basic")
        {
            return base.SendAsync(request, cancellationToken);
        }

        var encodedUserPass = authHeader.Parameter.Trim();
        var userPass = Encoding.ASCII.GetString(Convert.FromBase64String(encodedUserPass));
        var parts = userPass.Split(":".ToCharArray());
        var username = parts[0];
        var password = parts[1];

        if (!Membership.ValidateUser(username, password))
        {
            return base.SendAsync(request, cancellationToken);
        }

        var identity = new GenericIdentity(username, "Basic");
        string[] roles = Roles.Provider.GetRolesForUser(username);
        var principal = new GenericPrincipal(identity, roles);
        Thread.CurrentPrincipal = principal;
        if (HttpContext.Current != null)
        {
            HttpContext.Current.User = principal;
        }

        return base.SendAsync(request, cancellationToken);
    }
}

然后我们在Application_Start注册这个处理程序：

GlobalConfiguration.Configuration.MessageHandlers.Add(
    new BasicAuthenticationMessageHandler()
);

现在我们可以有一个 Api 控制器，该控制器将使用 [Authorize] 属性进行修饰，以确保只有经过身份验证的用户才能访问其操作：

[Authorize]
public class ValuesController : ApiController
{
    public string Get()
    {
        return string.Format("Hello {0}", User.Identity.Name);
    }
}

好的，现在让我们看一个示例客户端：

using System;
using System.Net;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Text;

class Program
{
    static void Main()
    {
        // since for testing purposes I am using IIS Express
        // with an invalid SSL certificate I need to desactivate
        // the check for this certificate.
        ServicePointManager.ServerCertificateValidationCallback += 
            (sender, certificate, chain, sslPolicyErrors) => true;

        using (var client = new HttpClient())
        {
            var buffer = Encoding.ASCII.GetBytes("john:secret");
            var authHeader = new AuthenticationHeaderValue("Basic", Convert.ToBase64String(buffer));
            client.DefaultRequestHeaders.Authorization = authHeader;
            var task = client.GetAsync("https://localhost:44300/api/values");
            if (task.Result.StatusCode == HttpStatusCode.Unauthorized)
            {
                Console.WriteLine("wrong credentials");
            }
            else
            {
                task.Result.EnsureSuccessStatusCode();
                Console.WriteLine(task.Result.Content.ReadAsAsync<string>().Result);
            }
        }
    }
}