ASP.NET Web API 身份验证

我该如何发送客户端凭证？

发送身份验证信息的默认位置是授权头。您可以使用此选项进行基本身份验证，还可以用于其他类型的身份验证（JWT、Bearer等）。

Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==

比如，要向你的请求添加基本身份验证头，你可以在客户端使用以下代码：

WebRequest request = (HttpWebRequest)WebRequest.Create("https://yoururl");
request.Headers.Add(HttpRequestHeader.Authorization, "Basic " + Convert.ToBase64String(System.Text.ASCIIEncoding.ASCII.GetBytes("user:password")));

在什么时候我处理这些凭证？

我会编写一个DelegatingHandler并使用它来解析您的“principal”。然后，您可以将其设置为HttpContext.CurrentPrincipal，以便在请求范围内需要它的任何位置都可以使用。正如您在下面的图像中所看到的那样，DelegatingHandler是在控制器之前调用的，这使其非常适合进行身份验证逻辑。

我会在客户端上做同样的事情（编写DelegatingHandler或ActionFilterAttribute），以便在默认位置添加身份验证标头。请注意，DelegatingHandler是HTTP管道的一部分，而ActionFilterAttribute属于MVC管道。

最后但并非最不重要的是，我建议您不要编写自己的自定义身份验证逻辑，而是坚持使用默认框架之一。这可以只是使用HTTPS上的基本身份验证，也可以实现OAuth等复杂方案。但我会远离自行解决方案。

我还想邀请您查看我回答的一个类似问题的答案。

注意：ASP.NET Web Api是基于REST的，所以个人认为您不想保留会话信息。

编辑：有关如何实现处理基本身份验证的委托处理程序的示例，请参见：使用消息处理程序在asp.net web api中进行基本http身份验证。

基本上，您需要将加密的用户名和密码通过网络发送到服务器应用程序，然后可以让您的API生成一个随机会话ID并将其保存在列表（服务器端）中，并将ID发送回客户端。现在，每当客户端向服务器发送任何内容时，请在数据包中包括他收到的ID，以便服务器每次都可以进行检查。
在客户端断开连接或固定超时时，您可以从服务器列表中删除ID并要求客户端重新进行身份验证。