对 JSON 的 Javascript 请求导致使用表单身份验证的 ASP.NET MVC 3

Question

我有一个 MVC 3 REST API，它有一个简单的控制器：ApiController。在ApiController 中有一个方法Foo 接受一些字符串信息并返回一个JSON 结果：

public class ApiController : Controller
{
    [HttpPost]
    public JsonResult Foo(string input)
    {
        ...
    }
}

我想用一些用户输入的数据调用 Foo 的 JQuery 方法并显示结果。

这里的问题是我想检查用户是否被允许访问 Foo。在 ASP.NET MVC 3 中解决这个问题的最佳方法是什么？我认为答案是使用 SSL 和基本身份验证，但我不知道会是什么样子。另外，我是否必须使用自己的密码哈希/加盐，或者有什么方法可以只使用表单身份验证？

编辑：请注意，我正在尝试创建第三方开发人员可以使用的 API。例如，如果有人编写了一个 Rapportive 风格的浏览器插件来扫描您的 Gmail，将文本发送到 Foo，然后在浏览器中显示。

另外，我相信仅使用表单身份验证会以纯文本形式发送用户名/密码信息，对吧？我不确定如何实施 SSL 来防止这种情况。

Answer 1

您可以使用 FormsAuthentication 和 [Authorize] 属性。因此，您可能有一个带有登录操作的AccountController，该操作只能通过 HTTPS 访问。此控制器将允许客户端进行身份验证并获取身份验证 cookie，该 cookie 将被重用于访问 API：

public class AccountController: Controller
{
    [HttpPost]
    [RequireHttps]
    public ActionResult LogOn(string username, string password)
    {
        // TODO: verify the credentials and emit an authentication cookie if valid
        // return some result (JSON?) to indicate whether the operation succeeded or
        // not
    }
}

那么剩下的就是装饰您想要使用[Authorize] 属性保护的其他控制器操作：

public class ApiController : Controller
{
    [HttpPost]
    [Authorize]
    public JsonResult Foo(string input)
    {
        ...
    }
}

所以现在客户端需要首先调用 LogOn 操作并在响应中获取相应的身份验证 cookie，该 cookie 将随后续调用您的 API 一起发送。

Answer 2

你应该可以使用 [Authorize] 属性来做你想做的事。请参阅 MSDN 上的以下详细信息和示例：http://msdn.microsoft.com/en-us/library/system.web.mvc.authorizeattribute.aspx

您可以授权特定用户或特定角色内的用户。

创建新（非空）ASP.NET MVC 项目时提供的默认基于表单的身份验证将使您能够授权用户。