Wie verwenden von Api-key in der Web-Api, die für service-Authentifizierung verwenden der Formularauthentifizierung

Ich bin mit MVC 4 Web Api und ich möchte, dass Benutzer authentifiziert werden, bevor Sie mit meinem service.

Implementierte ich eine Genehmigung message handler, der ganz gut funktioniert.

public class AuthorizationHandler : DelegatingHandler
{
    private readonly AuthenticationService _authenticationService = new AuthenticationService();

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        IEnumerable<string> apiKeyHeaderValues = null;
        if (request.Headers.TryGetValues("X-ApiKey", out apiKeyHeaderValues))
        {
            var apiKeyHeaderValue = apiKeyHeaderValues.First();

            //... your authentication logic here ...
            var user = _authenticationService.GetUserByKey(new Guid(apiKeyHeaderValue));

            if (user != null)
            {

                var userId = user.Id;

                var userIdClaim = new Claim(ClaimTypes.SerialNumber, userId.ToString());
                var identity = new ClaimsIdentity(new[] { userIdClaim }, "ApiKey");
                var principal = new ClaimsPrincipal(identity);

                Thread.CurrentPrincipal = principal;
            }
        }

        return base.SendAsync(request, cancellationToken);
    }
}

Das problem ist, dass ich die Verwendung der Formularauthentifizierung.

[HttpPost]
    public ActionResult Login(UserModel model)
    {
        if (ModelState.IsValid)
        {
            var user = _authenticationService.Login(model);
            if (user != null)
            {
                //Add the api key to the HttpResponse???
            }
            return View(model);
        }

        return View(model);
    }

Wenn ich meinen api:

 [Authorize]
public class TestController : ApiController
{
    public string GetLists()
    {
        return "Weee";
    }
}

Den handler nicht finden können, die X-ApiKey header.

Ist es ein Weg, um fügen Sie den Benutzer der api-Schlüssel, um die http-header der Antwort und halten Sie die Taste gibt es, solange der Benutzer angemeldet ist?
Gibt es eine andere Möglichkeit um diese Funktionalität zu implementieren?

InformationsquelleAutor Ivan Stoyanov | 2013-04-22

asp.net-mvc-4 asp.net-web-api c#http

Fand ich folgenden Artikel http://www.asp.net/web-api/overview/working-with-http/http-cookies
Ich konfigurierte meine AuthorizationHandler Verwendung von cookies:

public class AuthorizationHandler : DelegatingHandler
{
    private readonly IAuthenticationService _authenticationService = new AuthenticationService();

    protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
    {
        var cookie = request.Headers.GetCookies(Constants.ApiKey).FirstOrDefault();
        if (cookie != null)
        {
            var apiKey = cookie[Constants.ApiKey].Value;
            try
            {
                var guidKey = Guid.Parse(apiKey);

                var user = _authenticationService.GetUserByKey(guidKey);
                if (user != null)
                {

                    var userIdClaim = new Claim(ClaimTypes.Name, apiKey);
                    var identity = new ClaimsIdentity(new[] { userIdClaim }, "ApiKey");
                    var principal = new ClaimsPrincipal(identity);

                    Thread.CurrentPrincipal = principal;

                }
            }
            catch (FormatException)
            {
            }
        }

        return base.SendAsync(request, cancellationToken);
    }
}

Konfigurierte ich meine Login-action Ergebnis:

[HttpPost]
    public ActionResult Login(LoginModel model)
    {
        if (ModelState.IsValid)
        {
            var user = _authenticationService.Login(model);
            if (user != null)
            {
                _cookieHelper.SetCookie(user);

                return RedirectToAction("Index", "Home");
            }

            ModelState.AddModelError("", "Incorrect username or password");
            return View(model);
        }

        return View(model);
    }

Drin ich bin mit dem CookieHelper, dass ich erstellt. Es besteht aus einem interface:

public interface ICookieHelper
{
    void SetCookie(User user);

    void RemoveCookie();

    Guid GetUserId();
}

Und eine Klasse, die die Schnittstelle implementiert:

public class CookieHelper : ICookieHelper
{
    private readonly HttpContextBase _httpContext;

    public CookieHelper(HttpContextBase httpContext)
    {
        _httpContext = httpContext;
    }

    public void SetCookie(User user)
    {
        var cookie = new HttpCookie(Constants.ApiKey, user.UserId.ToString())
        {
            Expires = DateTime.UtcNow.AddDays(1)
        };

        _httpContext.Response.Cookies.Add(cookie);
    }

    public void RemoveCookie()
    {
        var cookie = _httpContext.Response.Cookies[Constants.ApiKey];
        if (cookie != null)
        {
            cookie.Expires = DateTime.UtcNow.AddDays(-1);
            _httpContext.Response.Cookies.Add(cookie);
        }
    }

    public Guid GetUserId()
    {
        var cookie = _httpContext.Request.Cookies[Constants.ApiKey];
        if (cookie != null && cookie.Value != null)
        {
            return Guid.Parse(cookie.Value);
        }

        return Guid.Empty;
    }
}

Durch diese Konfiguration, jetzt kann ich mit " aktivieren Attribut für meine ApiControllers:

[Authorize]
public class TestController : ApiController
{
    public string Get()
    {
        return String.Empty;
    }
}

Dies bedeutet, dass, wenn der Benutzer nicht eingeloggt ist. Er kann nicht auf meine api und erhält einen 401-Fehler. Auch kann ich abrufen die api-Schlüssel, mit dem ich als Benutzer-ID, irgendwo in meinem code, das macht es sehr sauber und gut lesbar.

Ich glaube nicht, dass die Verwendung von cookies ist die beste Lösung, da einige Benutzer kann diese deaktiviert in Ihrem browser, aber im moment habe ich noch nicht gefunden, eine bessere Weise zu tun, die Genehmigung.

InformationsquelleAutor Ivan Stoyanov

1

Aus dem code-Beispiele es scheint nicht, wie Sie mit Web Forms. Könnten Sie die Formularauthentifizierung verwenden? Sind Sie mit der Mitgliedschaft der Anbieter in Ihrem service-Benutzeranmeldeinformationen?

Können Sie die HttpClient Klasse und vielleicht auch die Eigenschaft DefaultRequestHeaders oder eine HttpRequestMessage aus dem code, der den Aufruf der API, um den Header.

Hier sind einige Beispiele von HttpClient:
http://www.asp.net/web-api/overview/web-api-clients/calling-a-web-api-from-a-net-client
- Danke! Du hast Recht, ich meinte die Formularauthentifizierung. Ich bearbeitet meine Frage. Ich bin nicht mit einem Membership Provider, stattdessen habe ich eine benutzerdefinierte Authentifizierung Logik. Ich kann nicht mit der HttpRequestMessage, weil ich bin dabei meine Authentifizierung mithilfe von MVC-Controller und Rückgabe eines Ergebnis einer Aktion (oder ich weiß nichts von einem Weg, es zu benutzen).
InformationsquelleAutor Ezequiel

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.