我正在使用ASP.NET Identity和MVC6应用程序中的Forms auth,并尝试为API端点实现Basic auth。我原以为会有预先构建的中间件来完成此任务,但是一直没有找到。我查看了Filters测试网站https://github.com/aspnet/Mvc/tree/dev/test/WebSites/FiltersWebSite,但似乎无法确定它在做什么/哪些部分很重要。我尝试使用手动执行授权过滤器中的基本身份验证的先前方法,但SuppressFormsAuthenticationRedirect似乎已经消失了,而CookieAuthenticationHandler不断重定向到登录页面。
2个回答
2
基本身份验证并非设计时考虑的因素。安全团队反对此方法。他们可能会稍后提供一个示例。
您可以在此处阅读有关此问题的讨论:https://github.com/aspnet/Security/issues/209
您可以在此处阅读有关此问题的讨论:https://github.com/aspnet/Security/issues/209
- Bart Calixto
2
感谢@Bart提出这个问题。我不能说我同意“让我们不实现HTTP规范的这一部分,因为有人可能会使用它错误”的态度,但我想他们必须做他们认为正确的事情。 - Sam
讨论底部提到的第三方选项:https://github.com/Kukkimonsuta/Odachi/blob/master/src/Odachi.Security.BasicAuthentication/BasicAuthenticationAppBuilderExtensions.cs - Sam
0
由于您的目标是IIS,我建议利用IIS进行基本身份验证。您可以将一个web.config文件放入您的wwwroot文件夹中,并配置一个部分以配置您的基本身份验证选项。
如果你想保持主机不可知性,你需要中间件。这是某些人的实现:https://github.com/Kukkimonsuta/Odachi/tree/master/src/Odachi.Security.BasicAuthentication
- Malgaur
2
1据我所知,IIS仅支持针对Windows帐户的基本身份验证 - 我需要使用ASP.NET Identity进行身份验证。无论如何,我看不到这解决了OWIN中间件内部进行的重定向问题? - Sam
是的,我已经看到了那个 - 在Bart的答案中看到我的评论。真正的问题不是基本身份验证(我目前通过过滤器使其工作),而是配置/修改CookieAuthenticationHandler以便它不会劫持请求/响应。 - Sam
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
CookieAuthenticationMiddleware和CookieAuthenticationHandler进行子类化,并且重新复制所有隐藏在UseIdentity中的逻辑,或者重写UseIdentity助手以使Cookie auth被动,并手动重定向到所需的位置? - Sam