[Asp.Net web api]基于自定义Filter的安全认证

摘要

对第三方开放的接口，处于安全的考虑需要对其进行安全认证，是否是合法的请求。目前在项目中也遇到这种情况，提供的接口因为涉及到客户铭感数据，所以在调用的时候，不能直接暴露，需要有一个认证的机制。所以对接口安全认证的方式，进行了调研，这里提供一个自定义安全认证的Filter例子。

一个例子

在mvc中，如果需要对某个页面如果用户不登录则无法访问，我们的做法可能是校验session或者使用特性[Authorize]

    [Authorize]
    public class UserController : Controller
    {
        // GET: User
        public ActionResult Index()
        {
            //if (Session["user"]==null)
            //{
            //    return RedirectToAction("login");
            //}
            return View();
        }
    }

在mvc中，这种认证方式基于windows或者form认证。但在提供web api给移动端app调用的时候，windows或者form认证就不太合适了。但我们可以自定义一种filter对当前访问的用户进行认证。

自定义Filter特性

    /// <summary>
    /// 基于http basic认证
    /// </summary>
    public class CustomerBasicAuthrizeAttribute : AuthorizationFilterAttribute
    {
        //重写OnAuthorization 方法

        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            //如果action带有允许匿名访问的特性，则直接返回，不再进行安全认证
            if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any())
            {
                return;
            }
            if (actionContext.Request.Headers.Authorization != null)
            {
                if (actionContext.Request.Headers.Authorization.Scheme != "Basic")
                {
                    actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,
                        new HttpException("no token"));
                }
                else
                {
                    string base64Para = actionContext.Request.Headers.Authorization.Parameter;
                    //解码base64字符串
                    byte[] buffer = Convert.FromBase64String(base64Para);
                    string decodeBase64 = Encoding.UTF8.GetString(buffer);
                    if (!string.IsNullOrEmpty(decodeBase64))
                    {
                        string[] paras = decodeBase64.Split(':');
                        if (paras.Length > 0)
                        {
                            string userName = paras[0];
                            string pwd = paras[1];
                            if (userName == "wolfy" && pwd == "123456")
                            {
                            }
                            else
                            {
                                actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,
                                    new HttpException("userName or pwd is error."));
                            }
                        }
                        else
                        {
                            actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,
                                new HttpException("no token"));
                        }

                    }
                    else
                    {
                        actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,
                            new HttpException("no token"));
                    }
                }

            }
            else
            {
                actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,
                    new HttpException("no Authorization header"));
            }

            base.OnAuthorization(actionContext);
        }
    }

使用postman测试

认证成功

第三方调用的时候，可以为其生成一对appname和appsecret放在供客户端进行使用。客户端使用的时候在请求头的Authorization中添加base64字符串就可以了。对于basic对应的值，是base64字符串，如果感觉还不安全可以尝试使用SSL方式。

SSL协议详解