使用ASP.NET Web API进行跨平台认证

我认为令牌是一个可靠的方案。对于Web应用程序，基于表单的身份验证是基于Cookie的。但这不适用于所有非浏览器客户端。

我的建议是创建自定义AuthorizationFilterAttribute并重写OnAuthorization方法。在该方法中，您可以检查客户端是否存在您发放的令牌，以在他们提供有效凭据后进行验证。您可以在任何需要验证的方法或控制器上使用此属性。以下是一个示例供您参考

 public class AuthorizeTokenAttribute : AuthorizationFilterAttribute 
{      
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        if (actionContext != null)
        {                
                if (!AuthorizeRequest(actionContext.ControllerContext.Request))
                {
                    actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized) { RequestMessage = actionContext.ControllerContext.Request }; 
                }
                return;
        }
    }

    private bool AuthorizeRequest(System.Net.Http.HttpRequestMessage request)
    {
        bool authorized = false;
        if (request.Headers.Contains(Constants.TOKEN_HEADER))
        {               
            var tokenValue = request.Headers.GetValues("TOKEN_HEADER");
            if (tokenValue.Count() == 1) {
                var value = tokenValue.FirstOrDefault();               
               //Token validation logic here
               //set authorized variable accordingly
            }                
        }
        return authorized;
    } }

TOKEN_HEADER是一个表示客户端应该在经过身份验证的请求中返回的HTTP标头字符串。

让我们一步步来：

1. 客户端请求安全数据
2. 客户端未获授权，返回带有未经授权状态代码的响应
3. 客户端发送凭据进行身份验证，这应该通过HTTPS进行保护
4. 验证后，客户端通过HTTP标头或其他适合您的方式接收令牌
5. 客户端再次尝试请求安全数据，这次将令牌附加到请求中
6. AuthorizeTokenAttribute将验证令牌并允许执行操作。

此外，请查看John Petersen发布的文章。 使ASP.NET Web API安全

有很多方法可以为REST服务验证用户。使用令牌是可能的，但只使用基本身份验证甚至更简单，而且几乎是标准和跨平台的。

不要混淆授权和身份验证。[Authorize]属性完全关于授权，但仅在使用其他机制对用户进行身份验证后才能进行。没有进行适当的身份验证，授权是完全无用的。

检查最佳资源的人是Dominick Baier，他是该主题的专家。

我使用非常简单的方法：

1. 定义一个访问配置文件，其中包含唯一的accessId和accessKey（例如，MD5哈希的GUID值）
2. 将此类访问配置文件存储在数据库中
3. 每个请求（GET / POST /等）必须提供accessId、queryHash（表示查询的MD5哈希值）和signature（queryHash + accessKey的MD5哈希值）。当然，客户端需要将accessKey保存在一个安全的地方！！！
4. 服务器收到请求后，将使用相同的计算算法检查accessId和signature，以拒绝或授予访问权限（进行身份验证）
5. 可以基于请求类型使用访问配置文件进一步进行授权

这种方法的服务使用新的ASP.NET MVC Web API可以为任何类型的客户端提供服务：浏览器/JavaScript和本机（桌面或移动设备）等。

您可以使用ActionFilterAttribute并重写OnActionExecuting方法。然后在global.cs中注册此过滤器，以便在Application Start方法中像这样应用此过滤器来适用于所有操作：

var config = GlobalConfiguration.Configuration; config.Filters.Add(new CustomAuthAttribute ());

{ namespace Customss { Public class CustomAuthAttribute : ActionFilterAttribute

{

    public override void OnActionExecuting(HttpActionContext actionContext)
    {
        // To inforce HTTPS if desired , else comment out the code
        if (!String.Equals(actionContext.Request.RequestUri.Scheme, "https", StringComparison.OrdinalIgnoreCase))
        {
            actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.BadRequest)
            {
                Content = new StringContent("HTTPS Required")
            };
            return;
        }

       // get toekn from the header

        var userToken = actionContext.Request.Headers.GetValues("UserToken");
         // Customer Logic to check the validity of the token.
        // U can have some DB logic to check , custom STS behind or some loca cache used to compare the values


    }


}

} }