WEB-API - Autorisierung im controller oder einem action-level (keine Authentifizierung)

Ich habe eine vorhandene API, die Keine Authentifizierung hat. Es ist eine öffentliche Web-API, die mehrere Mandanten verwenden, indem einfach Anfragen.

Nun, es gibt die Notwendigkeit zum autorisieren des Zugriffs auf eine bestimmte Methode.

Gibt es eine Möglichkeit, dies zu tun, während der rest von den Controllern und den jeweiligen Methoden "öffnen" für die Kunden, die bereits mit diesem Web-API?

Wie kann ich erkennen, ob die Anfrage, die Berechtigungen zum Zugriff auf das "geschützt" - Methode?

Setzen Sie die [Authorize] auf die spezifische Aktion, wenn es ist Teil des Controllers, der bereits hat anonymous Aktionen. Wenn das die einzige Aktion auf dem controller, Sie können es auf dem controller. Wie waren Sie der Planung über die Genehmigung von Anfragen für diese Aktion?
Und wo kann ich festlegen, wer Zugriff darauf hat? Die client-Anforderung hat, sich zu ändern? Nicht den Wunsch nehmen Sie einen großen Leistungseinbruch, da es zur Validierung der Zugang jedes mal, wenn eine Anfrage zu diesem spezifischen Methode?

InformationsquelleAutor JCruz | 2016-08-03

  1. 18

    Was Sie tun müssen, ist fügen Sie ein [Authorize] - Attribut der Methoden, die Sie schützen möchten, ist Optional die Verwendung der überlast akzeptiert einen oder mehrere Namen, die Rolle der aufrufende Benutzer muss in.

    Dann, was Sie umsetzen müssen, ist ein Weg, um sicherzustellen, dass die Authentifizierung des Anrufers verwandelt sich in ein Principal-Objekt. Die Einstellung der AUFTRAGGEBER ist in der Regel etwas, was Sie nicht selbst tun, sondern stattdessen die Rahmenbedingungen für Sie tun.

    Wenn Sie wollen, um Ihre eigene Schnittstelle, können Sie mithilfe eines Authentifizierungs-filter die Umsetzung der System.Web.Http.Filters.IAuthenticationFilter - Schnittstelle.

    So, was Sie bekommen ist diese:

    [MyAuthentication]
[Authorize]
public SomeClass MyProtectedMethod() {
    return new SomeClass();
}

    Und implementieren Sie dann den MyAuthentication Attribut. Unten ist ein Beispiel, das wichtigste ist, dass Sie die Kontext-von der eingehenden Anfragen und am Ende die Einstellung der context.Principal Eigenschaft mit einem neuen AUFTRAGGEBER

    public class MyAuthentication : ActionFilterAttribute, System.Web.Http.Filters.IAuthenticationFilter {

    public async Task AuthenticateAsync(HttpAuthenticationContext context, CancellationToken cancellationToken)
    {
        //1. Look for credentials in the request.
        HttpRequestMessage request = context.Request;
        AuthenticationHeaderValue authorization = request.Headers.Authorization;

        //2. If there are no credentials, do nothing.
        if (authorization == null)
        {
            return;
        }

        //3. If there are credentials but the filter does not recognize the 
        //   authentication scheme, do nothing.
        if (authorization.Scheme != "Basic")
        {
            return;
        }

        //4. If there are credentials that the filter understands, try to validate them.
        //5. If the credentials are bad, set the error result.
        if (String.IsNullOrEmpty(authorization.Parameter))
        {
            context.ErrorResult = new AuthenticationFailureResult("Missing credentials", request);
            return;
        }

        Tuple<string, string> userNameAndPasword = ExtractUserNameAndPassword(authorization.Parameter);
        if (userNameAndPasword == null)
        {
            context.ErrorResult = new AuthenticationFailureResult("Invalid credentials", request);
        }

        string userName = userNameAndPasword.Item1;
        string password = userNameAndPasword.Item2;

        IPrincipal principal = await AuthenticateAsync(userName, password, cancellationToken);
        if (principal == null)
        {
            context.ErrorResult = new AuthenticationFailureResult("Invalid username or password", request);
        }

        //6. If the credentials are valid, set principal.
        else
        {
            context.Principal = principal;
        }

    }


    ... other interface methods here
}

    Ich hoffe, dies hilft Ihnen auf die richtige Spur. Für weitere Informationen überprüfen Sie diesen post:
    http://www.asp.net/web-api/overview/security/authentication-filters

    InformationsquelleAutor Robba

  2. 9

    Können Sie [Authorize] - Attribut auf einen bestimmten API-Methode als auch auf controller-Ebene. Wenn Sie die [Authorize] Attribut auf controller-Ebene können Sie dann [AllowAnonymous] Attribut für diese API-Methode, die Sie möchten, um Zugriff ohne Authentifizierung.

    Und wo kann ich festlegen, wer Zugriff darauf hat? Die client-Anforderung hat, sich zu ändern? Nicht den Wunsch nehmen Sie einen großen Leistungseinbruch, da es zur Validierung der acess jedes mal, wenn eine Anfrage zu diesem spezifischen Methode?

    InformationsquelleAutor Rahul

  3. 4

    Standardmäßig wird die Berechtigung Global deaktiviert auf Antrag. Sie können erzwingen, dass Sie Ihren controller, sodass nur autorisierte Anfragen durch das hinzufügen des action filter [Autorisieren].

    [Authorize]  //This will enforce all methods inside should be authorized
public class AuthorizeController : ApiController
{
      //this method will only be called if user is authorized
      public IHttpActionResult GetList()
      {
         return Ok();
      }
}

    Können Sie auch erzwingen, dass nur bestimmte Methoden zugelassen werden:

    public class AuthorizeController : ApiController
{
      [Authorize] //this method will only be called if user is authorized
      public IHttpActionResult GetList()
      {
         return Ok();
      }

      //This method can still be called even if user is not authorized
      public IHttpActionResult GetListUnauthorized()
      {
         return Ok();
      }
}

    Oder einfach deaktivieren Sie die Berechtigung auf einige Methoden, die innerhalb einer Steuerung, die eine Autorisierung erfordert:

    [Authorize]
public class AuthorizeController : ApiController
{
      //this method will only be called if user is authorized
      public IHttpActionResult GetList()
      {
         return Ok();
      }

      [AllowAnonymous]//This method can be called even if user is not authorized due the AllowAnonymous attribute
      public IHttpActionResult GetListUnauthorized()
      {
         return Ok();
      }
}

    Können Sie auch festlegen, wer Zugriff auf Ihre Methode durch die Verwendung von:

    [Authorize(Users="Joey,Billy")]

    Oder Regeln verwenden:

    [Authorize(Roles="Administrator,Manager")]

    Oder sogar bauen eine komplexere Autorisieren Attribut wie in dieser Antwort (Ansprüche): Autorisierung Attribut von Forderungen

    InformationsquelleAutor Rafael A. M. S.

  4. 0

    Wir lösen es mithilfe von [AllowAnonymous] auf die Methode, die wir nicht wollten, das Authentifiziert werden soll, aber Authorizated, das überschreiben der Berechtigung.

    InformationsquelleAutor Ruben Lopez

Schreibe einen Kommentar