ASP.NET Web API 2 使用 AuthorizationFilter（授权过滤器）实现 Basic 认证

Ø  前言

在 Web 项目中授权认证方式有很多种，本文主要讲述基于 Basic 的认证方式。这是一种比较简单、常见的认证方式，主要是将请求的用户名和密码进行加密后返回给调用方，比较适合采用用户名、密码授权的项目中，比如：网站系统、后台管理系统、以及前后端分离的 APP 应用等。

 

1.   首先，来看一下基于 Basic 认证的请求模式

 

2.   具体实现步骤

1)   首先，新建一个授权过滤器（RequestAuthorizeAttribute），可以继承于 System.Web.Http.AuthorizationFilterAttribute，或者 System.Web.Http.AuthorizeAttribute，因为 AuthorizeAttribute 也是 AuthorizationFilterAttribute 的派生类。

/// <summary>

/// 请求授权特性。

/// </summary>

public class RequestAuthorizeAttribute : System.Web.Http.AuthorizeAttribute

{

    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)

    {

        //首先检查 Action 或 Controller 是否允许匿名访问

        if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Count > 0

            || actionContext.ControllerContext.ControllerDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Count > 0)

        {

            base.OnAuthorization(actionContext);

        }

        else

        {   //不允许匿名访问

            var authorization = actionContext.Request.Headers.Authorization;

            if (authorization != null)

            {

                if ("Basic".Equals(authorization.Scheme, StringComparison.CurrentCultureIgnoreCase)

                    && !string.IsNullOrEmpty(authorization.Parameter))

                {

                    try

                    {

                        var ticket = System.Web.Security.FormsAuthentication.Decrypt(authorization.Parameter);

                        string[] array = ticket.UserData.Split('&');    //获取加密前的用户数据（用户名和密码）

                        //登录时：已经验证了用户名和密码，所以这里只需要验证票据是否过期

                        if (ticket.Expired)

                        {

                            //也可以使用 actionContext.ControllerContext.Request，与 actionContext.Request 是同一实例。

                            actionContext.Response = actionContext.ControllerContext.Request.CreateErrorResponse(

                                System.Net.HttpStatusCode.BadRequest, "身份票据已过期");

                        }

                        else

                        {

                            base.IsAuthorized(actionContext);

                        }

                    }

                    catch (Exception ex)

                    {

                        actionContext.Response = actionContext.ControllerContext.Request.CreateErrorResponse(

                            System.Net.HttpStatusCode.Unauthorized, string.Format("授权鉴定异常，{0}", ex.Message));

                    }

                }

                else { HandleUnauthorizedRequest(actionContext); }

            }

            else { HandleUnauthorizedRequest(actionContext); }

        }

    }

}

1.   在授权过滤器中，首先检查当前 Action 或 Controller 是否允许匿名访问。如果允许则跳过授权验证，否则需要验证传递的票据以及是否过期。

 

2)   新建一个控制器（用于验证登录用户名和密码）

/// <summary>

/// 账户控制器。

/// </summary>

[RequestAuthorize]

[RoutePrefix("api/account")]

public class AccountController : ApiController

{

    /// <summary>

    /// 登录。

    /// </summary>

    [Route("login"), HttpPost]

    [AllowAnonymous]

    public object Login(Newtonsoft.Json.Linq.JObject jObj)

    {

        //两种方式获取 JObject 中的值

        string userName = jObj.GetValue("UserName").ToObject<string>();

        Newtonsoft.Json.Linq.JToken token = null;

        string password = null;

        if (jObj.TryGetValue("Password", out token))

            password = token.ToObject<string>();

        else

            throw new System.ArgumentException("获取密码失败");   //异常将被异常过滤器捕获

 

        //模拟用户数据（应该是从数据库获取）

        var userData = new

        {

            UserId = 1,

            UserName = "aibaincheng",

            Password = "abc123" //可以将密码加密后保存至数据库（以提高安全性）

        };

        if (userData.UserName == userData.UserName && userData.Password != password)

            return new { Msg = "用户名或密码错误" };

        else

        {

            //以 Forms 身份验证加密

            FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(

                1,

                userName,

                DateTime.Now,

                DateTime.Now.AddMinutes(3), //票据3分钟后失效

                true,

                string.Format("{0}&{1}", userName, password),

                FormsAuthentication.FormsCookiePath);

            string ticketStr = FormsAuthentication.Encrypt(ticket);

            return new { UserId = userData.UserId, Expire = DateTime.Now.AddMinutes(3), Ticket = ticketStr };

        }

    }

}

1.   在控制器上加了 RequestAuthorize 特性，并在 Login Action 上也加了 AllowAnonymous 特性，这样最终还是以 Action 的为准，表示该 Action 可以匿名访问（跳过了授权验证）。

2.   拿到请求的用户名和密码，与数据库中的用户名密码进行匹配。如果匹配成功则生成加密的票据返回，否则返回错误信息。

 

3)   再新建另一个控制器（用于授权测试）

/// <summary>

/// 客户控制器。

/// </summary>

[RequestAuthorize]

[RoutePrefix("api/customer")]

public class CustomerController : ApiController

{

    [Route("get"), HttpGet]

    public object Get(int id)

    {

        //这里完成查询客户的操作...

        return new { Code = 200, Data = new { CustomerId = id, CustomerName = "客户A", Address = "上海市杨浦区" } };

    }

}

1.   同样在控制器上加了 RequestAuthorize 特性，表示控制器中的所有 Action 方法都将采用 RequestAuthorize 过滤器完成授权验证。

2.   因为该接口需要授权访问，所以在调用该接口时，必须将 Ticket（票据）传递给服务器端，否则不能访问该接口。

 

3.   模拟客户端调用

1)   Account/Login 调用失败

2)   Account/Login 调用成功

3)   Customer/Get 调用失败（票据过期）

4)   Customer/Get 调用失败（无票据）

5)   Customer/Get 调用失败（错误的票据）

6)   Customer/Get 调用成功

 

Ø  总结

1)   关于 Basic 认证的方式，服务端可能存在不同的处理方式，比如：有将请求用户名+密码进行 base64 编码的方式，也有将票据 MD5 加密等。

2)   但无论使用哪种方式，都是将票据经过不同的处理后传递给调用方，调用方再请求其他需授权的接口时，在将票据“带过来”，完成身份认证。

3)   最后简单分析下 Basic 认证的优缺点：

1.   优点

1)   简单，无论是调用方还是服务端实现起来都比较简单。

2.   缺点

1)   存在安全隐患，因为会比较频繁的向服务端提供用户名和密码来换取票据，容易被其他程序截取或破解。比较适合一些内部系统，或者安全要求比较低的项目。

2)   只适合以用户名+密码的访问方式，所有的调用者首先必须有用户名、密码，这样就说明只能是在同一套系统或框架中使用。

4)   好了 Basic 认证就先讨论到这里，如有不对之处，欢迎指正，感激不尽，嘿嘿~~