程序员dotNETIT在线课程

WebApi中使用 Asp.Net Identity 进行身份认

2016-07-11  本文已影响3528人  GeekMonKey

最近,在整理3S比赛项目代码的时候,和老师讨论到数据库安全的问题,之前写的WebApi服务是没有加任何验证的,也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,在该项目中仅仅写了get方法,可以匿名获取到数据。再加上putdeletapost方法即可去增删改查数据库,在实际项目的应用过程中是不可取的。

由于之前3S项目的数据都是模拟数据,不是工业现场的真实数据,写一个简单的演示demo其WebApi不加任何验证也没什么不妥,不过最近实验室要给山西的氧化铝工厂做一个生产过程移动监控的APP,设计到工业数据的安全性问题,需要解决WebApi的身份验证问题。经过简单的了解学习,Asp.Net Identity的引入为Asp.Net应用程序提供了一套统一的身份验证机制。

认证流程

这是一张Identity官方教程的图,认证的流程如下:

1.用户在客户端中输入账户和密码;
2.客户端将账户密码发送到授权服务器中;
3.授权服务器根据用户信息来生成一个token
4.客户端在http请求头中携带token访问受限资源.

创建解决方案

1.使用Visual Studio(博主用的是VS2013)创建一个WebApi项目;
2.更改身份验证,选择“个人用户账户”。

如果此时不进行身份注册认证直接采用匿名方式模拟http请求去访问我们的服务接口,发现是无法访问的。

注册用户

默认的 WebApi 模板中,已经为我们创建了一些常用的 api 了,比如注册:

获取Token

使用刚刚注册好的账户和密码,发出如下请求:

返回请求的内容:

{
  "access_token": "c_-F2k8exhBRc3FV8WQvU6ga796TXOSZhHDNn9-JzDYeTbJ3Zctf3AGXd53yoQdNoruJPetMqqQOKzyqR1t3YSplLxreDiQgNCCueZ5AsGP7PVLvaBe3s_5M0FZ8H-0pnLt0mW2QH5sB7DJ7zMuesQJ0q5euvfuK4VuYMkQ1vN_BHr0WHg9M4X7lPVU9D9tbP9M9tjQoyblx4-8_wjjpFYUSlwYgdWDoAQwhRSdWENWtmP2_D3iYPpxqSrrwsdud3XYMPCjMXI-vrcuu_OWDcBPKFBYmu8_Hfo21uC_1G7ZvYq0YhcJSa28lMA4a4dx_1gW1l9SD86VuMv6NbZ5Da5h1X0y2ETO2Pv26U-4Lfs6OjycvwYyBH4Pul5vDMQO0BNVkQaQLxloav6JlNPSCbIdnMssHxNuuP778u5-yddbl58KuL4FI1JdfmSq9_Kg08YjkjfauQKUgu5LBcB778A0mQqyTOMzUdRqz_ZRbw9c",
  "token_type": "bearer",
  "expires_in": 1209599,
  "userName": "1@qq.com",
  ".issued": "Sat, 02 Jul 2016 06:05:34 GMT",
  ".expires": "Sat, 16 Jul 2016 06:05:34 GMT"
}

其中,access_token, token_type, expires_in 属性是 OAuth2 协议中定义的属性;其他属性是可以自定义的,可以在 ApplicationOAuthProviderTokenEndpoint 方法中进行自定义操作.

访问受限制资源

将获取的的 access_token 值放到 http 的请求中,生成如下请求,进行对受限资源的访问:

Webapi的认证

StartUp

默认的 Startup.Auth.cs 文件中,启用了三种身份认证的方式,Asp.Net Identity 集成了 Owin 可以使用app.UserXXX 使用所需要的认证方式.

  1. 使用基于 Cookie 的传统表单验证;
  2. 使用第三方扩展登录;
  3. 使用基于 BearerToken 的登录方式,这也是本使用的方式;( BearerToken 与常见的第三方 Oauth 方式类似,但这是一种不记名的方式,也就是客户端无需提供 ClientId,ClientSecret)

OAuthBearerTokens

构造函数中 OAuthAuthorizationServerOptions 提供了一下配置:

  // 针对基于 OAuth 的流配置应用程序
            PublicClientId = "self";
            OAuthOptions = new OAuthAuthorizationServerOptions
            {
                TokenEndpointPath = new PathString("/Token"),
                Provider = new ApplicationOAuthProvider(PublicClientId),
                AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
                AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
                //在生产模式下设 AllowInsecureHttp = false
                AllowInsecureHttp = true
            };
  1. 生成 token 的地址为:http://localhost:port/token
  2. 为 token 设置了失效时间为14天,失效后,再次访问受限的请求时为得到未授权的相应.

关于Bearer Token

token 是在服务器上生成,并加密,然后再发送到客户端;客户端访问受限资源时需要将 token 发送到服务器端,服务器端再将 token 进行解密;对于客户端来说这个 token 是无法被破解的; 对于服务器来说,token 就是一个用户的唯一标识符,任何人只要拥有了 token,就能获取用户的权限。

所以对于安全需求高的场景,为防止 token 被劫持,请对 api 的请求用 SSL/TSL 对 http 进行加密。

Reference

http://blog.wangtuyao.com/post/2014/10/29/working-with-web-api-and-asp-net-identity.html

上一篇 下一篇

猜你喜欢

热点阅读