WebApi中使用 Asp.Net Identity 进行身份认

2016-07-11 本文已影响3528人 GeekMonKey

最近，在整理3S比赛项目代码的时候，和老师讨论到数据库安全的问题，之前写的WebApi服务是没有加任何验证的，也就是说，任何人只要知道了接口的url，都能够模拟http请求去访问我们的服务接口，在该项目中仅仅写了get方法，可以匿名获取到数据。再加上put、deleta、post方法即可去增删改查数据库，在实际项目的应用过程中是不可取的。

由于之前3S项目的数据都是模拟数据，不是工业现场的真实数据，写一个简单的演示demo其WebApi不加任何验证也没什么不妥，不过最近实验室要给山西的氧化铝工厂做一个生产过程移动监控的APP，设计到工业数据的安全性问题，需要解决WebApi的身份验证问题。经过简单的了解学习，Asp.Net Identity的引入为Asp.Net应用程序提供了一套统一的身份验证机制。

认证流程

这是一张Identity官方教程的图，认证的流程如下：

1.用户在客户端中输入账户和密码；
2.客户端将账户密码发送到授权服务器中；
3.授权服务器根据用户信息来生成一个token；
4.客户端在http请求头中携带token访问受限资源.

创建解决方案

1.使用Visual Studio（博主用的是VS2013）创建一个WebApi项目；
2.更改身份验证，选择“个人用户账户”。

如果此时不进行身份注册认证直接采用匿名方式模拟http请求去访问我们的服务接口，发现是无法访问的。

注册用户

默认的 WebApi 模板中，已经为我们创建了一些常用的 api 了，比如注册：

获取Token

使用刚刚注册好的账户和密码，发出如下请求：

返回请求的内容：

{
  "access_token": "c_-F2k8exhBRc3FV8WQvU6ga796TXOSZhHDNn9-JzDYeTbJ3Zctf3AGXd53yoQdNoruJPetMqqQOKzyqR1t3YSplLxreDiQgNCCueZ5AsGP7PVLvaBe3s_5M0FZ8H-0pnLt0mW2QH5sB7DJ7zMuesQJ0q5euvfuK4VuYMkQ1vN_BHr0WHg9M4X7lPVU9D9tbP9M9tjQoyblx4-8_wjjpFYUSlwYgdWDoAQwhRSdWENWtmP2_D3iYPpxqSrrwsdud3XYMPCjMXI-vrcuu_OWDcBPKFBYmu8_Hfo21uC_1G7ZvYq0YhcJSa28lMA4a4dx_1gW1l9SD86VuMv6NbZ5Da5h1X0y2ETO2Pv26U-4Lfs6OjycvwYyBH4Pul5vDMQO0BNVkQaQLxloav6JlNPSCbIdnMssHxNuuP778u5-yddbl58KuL4FI1JdfmSq9_Kg08YjkjfauQKUgu5LBcB778A0mQqyTOMzUdRqz_ZRbw9c",
  "token_type": "bearer",
  "expires_in": 1209599,
  "userName": "1@qq.com",
  ".issued": "Sat, 02 Jul 2016 06:05:34 GMT",
  ".expires": "Sat, 16 Jul 2016 06:05:34 GMT"
}

其中，access_token, token_type, expires_in 属性是 OAuth2 协议中定义的属性；其他属性是可以自定义的，可以在 ApplicationOAuthProvider 的 TokenEndpoint 方法中进行自定义操作.

访问受限制资源

将获取的的 access_token 值放到 http 的请求中，生成如下请求，进行对受限资源的访问：

Webapi的认证

StartUp

默认的 Startup.Auth.cs 文件中，启用了三种身份认证的方式，Asp.Net Identity 集成了 Owin 可以使用app.UserXXX 使用所需要的认证方式.

使用基于 Cookie 的传统表单验证；
使用第三方扩展登录；
使用基于 BearerToken 的登录方式，这也是本使用的方式；（ BearerToken 与常见的第三方 Oauth 方式类似，但这是一种不记名的方式，也就是客户端无需提供 ClientId，ClientSecret）

OAuthBearerTokens

构造函数中 OAuthAuthorizationServerOptions 提供了一下配置：

  // 针对基于 OAuth 的流配置应用程序
            PublicClientId = "self";
            OAuthOptions = new OAuthAuthorizationServerOptions
            {
                TokenEndpointPath = new PathString("/Token"),
                Provider = new ApplicationOAuthProvider(PublicClientId),
                AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
                AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
                //在生产模式下设 AllowInsecureHttp = false
                AllowInsecureHttp = true
            };

生成 token 的地址为：http://localhost:port/token；
为 token 设置了失效时间为14天，失效后，再次访问受限的请求时为得到未授权的相应.

关于Bearer Token

token 是在服务器上生成，并加密，然后再发送到客户端；客户端访问受限资源时需要将 token 发送到服务器端，服务器端再将 token 进行解密；对于客户端来说这个 token 是无法被破解的；对于服务器来说，token 就是一个用户的唯一标识符，任何人只要拥有了 token，就能获取用户的权限。

所以对于安全需求高的场景，为防止 token 被劫持，请对 api 的请求用 SSL/TSL 对 http 进行加密。

Reference

http://blog.wangtuyao.com/post/2014/10/29/working-with-web-api-and-asp-net-identity.html