ASP.NET Web API身份验证和授权
英语原文地址:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api
本文是作者所理解和翻译的内容。
这篇文章包括两部分:身份验证和授权。
- 身份验证用来确定一个用户的身份。例如,Alice用她的用户名和密码登陆系统,服务器用她的用户名和密码来确定她的身份。
- 授权是判断一个用户是否允许执行某一操作。例如,Alice有获取资源的许可,但不能创建资源。
身份验证
Web API有两种方式进行身份验证:在宿主程序中的身份验证和使用 HTTP Message Handlers进行身份验证。
如果你的Web API运行在IIS中,那么身份验证程序就是HTTP Modules,可以使用内置的asp.net身份验证模块进行身份验证,也可以自己写一个身份验证模块完成自定义身份验证。
当在宿主程序中进行身份验证时,宿主程序会创建一个principal对象,这个对象的类实现了IPrincipal接口,用来代表当前代码运行的安全上下文。宿主通过设置Thread.CurrentPrincipal 将主体附加到当前进程。principal包含一个关联用户信息的Identity 对象,如果用户验证通过,Identity.IsAuthenticated 属性返回true;对于匿名请求,IsAuthenticated 返回false。关于更多的principals信息,参见Role-Based Security。
使用HTTP Message Handlers 进行身份验证
你可以在 HTTP message handler中创建身份验证逻辑来代替使用宿主身份验证机制,在这种机制中,message handler检验Http请求并设置principal。
该在何时使用HTTP Message Handler进行身份验证呢?这里给出了一个这种的参考:
- 一个HTTP Module观察所有通过ASP.NET管道的请求;一个Message Handler只观察被路由处理的Web API请求。
- 你可以对每个路由设置一个Message Handler,这个方便了针对特殊的路由设置特殊的身份验证方案。
- HTTP Module是IIS特有的;Message Handler则与宿主无关,因此你可以同时在web-hosting和self-hosting中使用。
- HTTP Module参与IIS的登陆、审核等处理。
- HTTP Module在管道中更早的执行,如果你使用Message Handler进行身份验证,在handler执行前principal 没有准备好。此外,在response离开Message Handler后,principal 会被恢复到之前的principal 。
综上所述,如果你不需要支持self-hosting,HTTP Module回事更好的选择。如果你需要支持self-hosting,那就考虑使用Message Handler吧。
设置Principal
如果你的程序完成了一些自定义的身份验证逻辑,那么你必须设置爱两个地方的principal:
- Thread.CurrentPrincipal. 这个属性是在.NET中设置线程 principal的标准途径。
- HttpContext.Current.User. 这个属性是ASP.NET 专用的。
下面的代码展示了如何设置principal:
private void SetPrincipal(IPrincipal principal)
{Thread.CurrentPrincipal = principal;if (HttpContext.Current != null){HttpContext.Current.User = principal;}
}
对于web-hosting,你必须在这两个地方食指principal,否则安全上下文可能会变得不一致。对于self-hosting,HttpContext.Current是null。为了确定你的代码与宿主无关,所以在赋值之前检查一下HttpContext.Current,就像上面的代码那样。
授权
授权发生在管道的后面一些,更接近于controller。它让你在授权访问资源是可以进行更细小粒度的操作。
- Authorization filters 在controller Action之前运行。如果请求未授权,filter返回一个错误的response,action不会被调用。
- 在Controller Action内部,你可以通过ApiController.User属性访问当前principal。例如你可能要根据用户来过滤一个资源列表,只返回属于该用户的资源。
使用[Authorize]属性
Web API 提供了一个内置的授权过滤器:AuthorizeAttribute。这个过滤器检查用户是否被授权,如果没有,则返回 http status code 401(Unauthorized),不会调用Action。
你可以添加将过滤器添加到globally,或Controller级别,或Action级别。
globally:要为每一个Web API请求添加约束,则在全局的过滤器列表中添加AuthorizeAttribute。
public static void Register(HttpConfiguration config)
{config.Filters.Add(new AuthorizeAttribute());
}
Controller:要约束一个特殊的controller的访问,则在controller上添加AuthorizeAttribute。
[Authorize]
public class ValuesController : ApiController
{public HttpResponseMessage Get(int id) { ... }public HttpResponseMessage Post() { ... }
}
Action:要约束一个特殊Action的访问,在Action上添加AuthorizeAttribute。
public class ValuesController : ApiController
{public HttpResponseMessage Get() { ... }// Require authorization for a specific action.[Authorize]public HttpResponseMessage Post() { ... }
}
另外,你还可以约束一个controller访问的同时允许匿名访问特殊的Action,这需要使用[AllowAnonymous]属性。在下面的示例中,Post方法被约束了,而Get方法允许被匿名访问:
[Authorize]
public class ValuesController : ApiController
{[AllowAnonymous]public HttpResponseMessage Get() { ... }public HttpResponseMessage Post() { ... }
}
在上面的例子中,过滤器允许任何被验证的用户访问受约束的方法,只有匿名用户被拒绝。
你还可以限制一些特殊用户或特殊角色的访问:
// Restrict by user:
[Authorize(Users = "Alice,Bob")]
public class ValuesController : ApiController
{
}// Restrict by role:
[Authorize(Roles = "Administrators")]
public class ValuesController : ApiController
{
}
注意:Web API中的AuthorizeAttribute过滤器是在命名空间System.Web.Http中的,在MVC Controller中有一个相似的过滤器,定义在System.Web.Mvc中,他俩不能兼容使用。
自定义 Authorization Filters
一个自定义authorization filter衍生自一下几个类型:
- AuthorizeAttribute. 扩展这个类来完成基于当前用户和角色的授权逻辑。
- AuthorizationFilterAttribute. 扩展这个类完成同步的授权逻辑,这种方式必须要基于当前用户和角色。
- IAuthorizationFilter. 实现这个接口来完成异步的授权逻辑。例如,如果你的授权逻辑使用了异步的IO或网络调用(如果你的授权逻辑是CPU-Bound,那就和简单的衍生自AuthorizationFilterAttribute一样,因为你不需要写一个异步方法)
The following diagram shows the class hierarchy for the AuthorizeAttribute class.
下面的图片展示了AuthorizeAttribute的类层级:
在Controller Action中授权
有时候,你可能允许一个请求继续下去,但根据principal改变其行为。例如,你返回的信息会依赖用户角色发生改变。在Controller的方法中,你可以通过ApiController.user属性得到当前的principal。
public HttpResponseMessage Get()
{if (User.IsInRole("Administrators")){// ...}
}
ASP.NET Web API身份验证和授权相关推荐
- iis授权mysql验证_ASP.NET Web API身份验证和授权
本文是作者所理解和翻译的内容. 这篇文章包括两部分:身份验证和授权. 身份验证用来确定一个用户的身份.例如,Alice用她的用户名和密码登陆系统,服务器用她的用户名和密码来确定她的身份. 授权是判断一 ...
- asp.net Web API 身份验证 不记名令牌验证 Bearer Token Authentication 简单实现
1. Startup.Auth.cs文件 添加属性 1 public static OAuthBearerAuthenticationOptions OAuthBearerOptions { get; ...
- 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第1部分
目录 介绍 JWT(JSON Web令牌) ASP.NET Core中的JWToken配置 用户模型类 创建令牌 第1步 第2步 第4步 令牌存储 中间件 自定义中间件app.Use() 中间件app ...
- security工作笔记004---.NET Web安全性-身份验证和授权(一)之Principal
JAVA技术交流QQ群:170933152 1.概述 为了确保应用程序的安全,安全性有几个重要方面需要考虑.一是应用程序的用户,访问应用程序的是一个真正的用户,还是伪装成用户的某个人?如何确定这个用户 ...
- 使用JWT的ASP.NET CORE令牌身份验证和授权(无Cookie)——第2部分
目录 介绍 用户角色 如何创建自定义授权特性? AuthorizeAttribute AuthorizeFilter 如何在控制器和操作方法级别设置权限? 检查用户权限的扩展方法 如何在操作方法(内联 ...
- input发送a.jax_Java EE 7 / JAX-RS 2.0:具有自定义HTTP标头的简单REST API身份验证和授权...
input发送a.jax 在使用已可用的HTTP协议实施Web服务时,REST带来了很多便利. 通过仅通过指定的URL触发GET,POST和其他HTTP方法,您将确保通过REST服务的响应来完成某些工 ...
- Java EE 7 / JAX-RS 2.0:具有自定义HTTP标头的简单REST API身份验证和授权
在使用已可用的HTTP协议实施Web服务时,REST带来了很多便利. 通过仅通过指定的URL触发GET,POST和其他HTTP方法,您将确保通过REST服务的响应来完成某些工作. 但是,无论REST给 ...
- API身份验证和授权介绍
一.前言 用户通常需要注册API KEY或者其他验证方法,才能使用你的服务,一般我们会用到一下集中验证方式 API Keys Basic Auth HMAC OAuth 身份验证:指证明正确的身份, ...
- ASP.NET Web API 安全筛选器
原文:https://msdn.microsoft.com/zh-cn/magazine/dn781361.aspx 身份验证和授权是应用程序安全的基础.身份验证通过验证提供的凭据来确定用户身份,而授 ...
最新文章
- win10_x64更新错误解决: 安装一些更新时出现问题,但我们稍后会重试。如果持续出现这些问题,并且你想要搜索Web或联系支持人员以获取相关信息,以下信息可能会对你有帮助:
- (转)十步精通新语言
- 搭建基于Jenkins的CI服务器
- 网络通信误码率测试软件,微机在通信线路误码率测试中的应用
- torch GPU分布式训练 模型并行
- RHEL 6.5----haproxy实现负载均衡
- java类加载器和父类委托机制
- 邮件定时发送微博热搜
- 智慧云教育平台实战项目笔记
- BiliDuang(哔哩哔哩视频下载器)
- 新书《完美统计图:Word/PPT/Excel数据可视化宝典》,包邮送
- Steam 上的软件 Wallpaper Engine体验
- 微信小程序图片(单图多图上传显示)
- 做一个自己的LaTeX幻灯片模板
- Hive数据仓库数据分析
- java批量生成二维码图片,并打包成zip
- java开发的应用的有哪些
- 将字符串转换为singel类型
- 今年Android面试必问的这些技术面,面试心得体会
- Python自动登陆淘宝并爬取商品数据
热门文章
- QT的QSemaphoreReleaser类的使用
- C++ Opengl WaveFlag(飘扬的旗帜)源码
- C++STL的string容器
- 经典C语言程序100例之九四
- C语言必知的几个概念
- vs为什么打了断点不断_为什么西餐厅里的牛排又嫩又多汁?原来大厨都做了“这一步”...
- 46栈内存溢出、内存区域(程序计数器、Java 虚拟机栈、本地方法栈、Java 堆、方法区、直接内存、内存溢出)与内存溢出(对象实例化分析)
- 1.17.Flink 并行度详解(Parallel)、TaskManager与Slot、Operator Level、Execution Environment Level、Client Level等
- B15_NumPy 矩阵库(Matrix)(empty(),zeros(),ones(),eye(),identity(),rand())
- node软件环境安装