iis授权mysql验证_ASP.NET Web API身份验证和授权
本文是作者所理解和翻譯的內容。
這篇文章包括兩部分:身份驗證和授權。 身份驗證用來確定一個用戶的身份。例如,Alice用她的用戶名和密碼登陸系統,服務器用她的用戶名和密碼來確定她的身份。
授權是判斷一個用戶是否允許執行某一操作。例如,Alice有獲取資源的許可,但不能創建資源。
身份驗證
Web API有兩種方式進行身份驗證:在宿主程序中的身份驗證和使用 HTTP Message Handlers進行身份驗證。
如果你的Web API運行在IIS中,那么身份驗證程序就是HTTP Modules,可以使用內置的asp.net身份驗證模塊進行身份驗證,也可以自己寫一個身份驗證模塊完成自定義身份驗證。
當在宿主程序中進行身份驗證時,宿主程序會創建一個principal對象,這個對象的類實現了IPrincipal接口,用來代表當前代碼運行的安全上下文。宿主通過設置Thread.CurrentPrincipal 將主體附加到當前進程。principal包含一個關聯用戶信息的Identity 對象,如果用戶驗證通過,Identity.IsAuthenticated 屬性返回true;對于匿名請求,IsAuthenticated 返回false。關于更多的principals信息,參見Role-Based Security。
使用HTTP Message Handlers 進行身份驗證
你可以在 HTTP message handler中創建身份驗證邏輯來代替使用宿主身份驗證機制,在這種機制中,message handler檢驗Http請求并設置principal。
該在何時使用HTTP Message Handler進行身份驗證呢?這里給出了一個這種的參考: 一個HTTP Module觀察所有通過ASP.NET管道的請求;一個Message Handler只觀察被路由處理的Web API請求。
你可以對每個路由設置一個Message Handler,這個方便了針對特殊的路由設置特殊的身份驗證方案。
HTTP Module是IIS特有的;Message Handler則與宿主無關,因此你可以同時在web-hosting和self-hosting中使用。
HTTP Module參與IIS的登陸、審核等處理。
HTTP Module在管道中更早的執行,如果你使用Message Handler進行身份驗證,在handler執行前principal 沒有準備好。此外,在response離開Message Handler后,principal 會被恢復到之前的principal 。
綜上所述,如果你不需要支持self-hosting,HTTP Module回事更好的選擇。如果你需要支持self-hosting,那就考慮使用Message Handler吧。
設置Principal
如果你的程序完成了一些自定義的身份驗證邏輯,那么你必須設置愛兩個地方的principal: Thread.CurrentPrincipal. 這個屬性是在.NET中設置線程 principal的標準途徑。
HttpContext.Current.User. 這個屬性是ASP.NET 專用的。
下面的代碼展示了如何設置principal: private voidSetPrincipal(IPrincipalprincipal)
{Thread.CurrentPrincipal = principal;if(HttpContext.Current !=null)
{HttpContext.Current.User = principal;
}
}
對于web-hosting,你必須在這兩個地方食指principal,否則安全上下文可能會變得不一致。對于self-hosting,HttpContext.Current是null。為了確定你的代碼與宿主無關,所以在賦值之前檢查一下HttpContext.Current,就像上面的代碼那樣。
授權
授權發生在管道的后面一些,更接近于controller。它讓你在授權訪問資源是可以進行更細小粒度的操作。
Authorization filters 在controller Action之前運行。如果請求未授權,filter返回一個錯誤的response,action不會被調用。
在Controller Action內部,你可以通過ApiController.User屬性訪問當前principal。例如你可能要根據用戶來過濾一個資源列表,只返回屬于該用戶的資源。
使用[Authorize]屬性
Web API 提供了一個內置的授權過濾器:AuthorizeAttribute。這個過濾器檢查用戶是否被授權,如果沒有,則返回 http status code 401(Unauthorized),不會調用Action。
你可以添加將過濾器添加到globally,或Controller級別,或Action級別。
globally:要為每一個Web API請求添加約束,則在全局的過濾器列表中添加AuthorizeAttribute。
public static voidRegister(HttpConfigurationconfig)
{
config.Filters.Add(newAuthorizeAttribute());
}
Controller:要約束一個特殊的controller的訪問,則在controller上添加AuthorizeAttribute。
[Authorize]public classValuesController:ApiController{publicHttpResponseMessage Get(intid) { ... }publicHttpResponseMessage Post() { ... }
}
Action:要約束一個特殊Action的訪問,在Action上添加AuthorizeAttribute。
public classValuesController:ApiController{publicHttpResponseMessage Get() { ... }// Require authorization for a specific action.[Authorize]publicHttpResponseMessage Post() { ... }
}
另外,你還可以約束一個controller訪問的同時允許匿名訪問特殊的Action,這需要使用[AllowAnonymous]屬性。在下面的示例中,Post方法被約束了,而Get方法允許被匿名訪問:
[Authorize]public classValuesController:ApiController{
[AllowAnonymous]publicHttpResponseMessage Get() { ... }publicHttpResponseMessage Post() { ... }
}
在上面的例子中,過濾器允許任何被驗證的用戶訪問受約束的方法,只有匿名用戶被拒絕。
你還可以限制一些特殊用戶或特殊角色的訪問:
// Restrict by user:[Authorize(Users ="Alice,Bob")]public classValuesController:ApiController{
}// Restrict by role:[Authorize(Roles ="Administrators")]public classValuesController:ApiController{
}
注意:Web API中的AuthorizeAttribute過濾器是在命名空間System.Web.Http中的,在MVC Controller中有一個相似的過濾器,定義在System.Web.Mvc中,他倆不能兼容使用。
自定義 Authorization Filters
一個自定義authorization filter衍生自一下幾個類型:
AuthorizeAttribute. 擴展這個類來完成基于當前用戶和角色的授權邏輯。
AuthorizationFilterAttribute. 擴展這個類完成同步的授權邏輯,這種方式必須要基于當前用戶和角色。
IAuthorizationFilter. 實現這個接口來完成異步的授權邏輯。例如,如果你的授權邏輯使用了異步的IO或網絡調用(如果你的授權邏輯是CPU-Bound,那就和簡單的衍生自AuthorizationFilterAttribute一樣,因為你不需要寫一個異步方法)
The following diagram shows the class hierarchy for the AuthorizeAttribute class.
下面的圖片展示了AuthorizeAttribute的類層級:
在Controller Action中授權
有時候,你可能允許一個請求繼續下去,但根據principal改變其行為。例如,你返回的信息會依賴用戶角色發生改變。在Controller的方法中,你可以通過ApiController.user屬性得到當前的principal。
publicHttpResponseMessage Get()
{if(User.IsInRole("Administrators"))
{// ...}
}
ps. 勉強的翻譯了一下這篇文章的內容,就當是學習的筆記吧。
總結
以上是生活随笔為你收集整理的iis授权mysql验证_ASP.NET Web API身份验证和授权的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: MySQL编程技巧_PHP与MySQL开
- 下一篇: mysql chartset utf 8