本文转自:http://www.cnblogs.com/CreateMyself/p/4856133.html

前言

无论是ASP.NET MVC还是Web API框架,在从请求到响应这一过程中对于请求信息的认证以及认证成功过后对于访问页面的授权是极其重要的,用两节来重点来讲述这二者,这一节首先讲述一下关于这二者的一些基本信息,下一节将通过实战以及不同的实现方式来加深对这二者深刻的认识,希望此文对你有所收获。

Identity

Identity代表认证用户的身份,下面我们来看看此接口的定义

1
2
3
4
5
6
7
8
9
public interface IIdentity
{
    // Properties
    string AuthenticationType { get; }
   
    bool IsAuthenticated { get; }
 
    string Name {get; }
}

该接口定义了三个只读属性, AuthenticationType  代表认证身份所使用的类型, IsAuthenticated 代表是否已经通过认证, Name 代表身份的名称。对于AuthenticationType认证身份类型,不同的认证身份类型对应不同的Identity,若采用Windows集成认证,则其Identity为WindowsIdentity,反之对于Form表单认证,则其Identity为FormsIdentity,除却这二者之外,我们还能利用GenericIdentity对象来表示一般意义的Identity。

  • WindowsIdentity

在WindowIdentity对象中的属性Groups返回Windows账号所在的用户组,而属性IsGuest则用于判断此账号是否位于Guest用户组中,最后还有一个IsSystem属性很显然表示该账号是否是一个系统账号。在对于匿名登录中,该对象有一个IsAnonymous来表示该账号是否是一个匿名账号。并且其方法中有一个GetAnonymous方法来返回一个匿名对象的WindowsIdentity对象,但是此WindowsIdentity仅仅只是一个空对象,无法确定对应的Windows账号。

  • FormsIdentity

我们来看看此对象的定义

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
public class FormsIdentity : ClaimsIdentity
{
 
    public FormsIdentity(FormsAuthenticationTicket ticket);
 
    protected FormsIdentity(FormsIdentity identity);
 
    public override string AuthenticationType { get; }
 
    public override IEnumerable<Claim> Claims { get; }
 
    public override bool IsAuthenticated { get; }
 
    public override string Name { get; }
 
    public FormsAuthenticationTicket Ticket { get; }
 
    public override ClaimsIdentity Clone();
}

一个FormsIdentity对象是通过加密过的认证票据(Authentication Ticket)或者是安全令牌(Security Token)来创建,被加密的内容或者是Cookie或者是请求的URl,下述就是通过FormsIdentity来对Cookie进行加密。  

var ticket = new FormsAuthenticationTicket(1, "cookie", DateTime.Now, DateTime.Now.AddMinutes(20), true, "userData", FormsAuthentication.FormsCookiePath);

var encriptData = FormsAuthentication.Encrypt(ticket);
  • GenericIdentity

以上两者都有其对应的Identity类型,如果想自定义认证方式只需继承该类即可,它表示一般性的安全身份。该类继承于IIdentity接口。至于如何判断一个匿名身份只需通过用户名即可,若用户名为空则对象的属性IsAuthenticated为true,否则为false。

Principal  

这个对象包含两个基本的要素即基于用户的安全身份以及用户所具有的权限,而授权即所谓的权限都是基于角色而绑定,所以可以将此对象描述为:【身份】+【角色】。

首先我们来看看此接口

1
2
3
4
5
6
7
public interface IPrincipal
{
 
    bool IsInRole(string role);
 
    IIdentity Identity { get; }
}

上述基于IIdentity接口的实现即WindowsIdentity和GenericIdentity,当然也就对应着Principal类型即WindowsPrincipal和GenericPrincipal,除此之外还有RolePrincipal,关于这三者就不再叙述,我们重点来看看下APiController中的IPrincipal属性。

APiController中User

我们看看此User属性

1
public IPrincipal User { get; }

继续看看此属性的获取

1
2
3
4
5
6
7
public IPrincipal User
{
    get
    {
        return Thread.CurrentPrincipal;
    }
}

到这里还是不能看出什么,即使你用VS编译器查看也不能查看出什么,此时就得看官方的源码了。如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
public HttpRequestContext RequestContext
{
    get
    {
        return ControllerContext.RequestContext;
    }
    set
    {......}
}
 
public IPrincipal User
{
    get { return RequestContext.Principal; }
    set { RequestContext.Principal = value; }
}

到这里我们看出一点眉目了

IPrincipal的属性User显然为当前请求的用户并且与HttpRequestContext中的属性Principal具有相同的引用。  

那么问题来了,HttpRequestContext又是来源于哪里呢?  

我们知道寄宿模式有两种,一者是Web Host,另一者是Self Host,所以根据寄宿模式的不同则请求上下文就不同,我们来看看Web Host中的请求上下文。

  • Web Host
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
internal class WebHostHttpRequestContext : HttpRequestContext
 {
     private readonly HttpContextBase _contextBase;
     private readonly HttpRequestBase _requestBase;
     private readonly HttpRequestMessage _request;
 
 
     public override IPrincipal Principal
     {
         get
         {
             return _contextBase.User;
         }
         set
         {
             _contextBase.User = value;
             Thread.CurrentPrincipal = value;
         }
     }
}

从这里我们可以得出一个结论:

Web Host模式下的Principal与当前请求上下文中的User具有相同的引用,与此同时,当我们将属性Principal进行修改时,则当前线程的Principal也会一同进行修改。  

  • Self Host  

我们看看在此寄宿模式下的对于Principal的实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
internal class SelfHostHttpRequestContext : HttpRequestContext
{
    private readonly RequestContext _requestContext;
    private readonly HttpRequestMessage _request;
 
     public override IPrincipal Principal
    {
        get
        {
            return Thread.CurrentPrincipal;
        }
        set
        {
            Thread.CurrentPrincipal = value;
        }
    }
 
}

在此模式我们可以得出结论:

Self Host模式下的Principal默认是返回当前线程使用的Principal。  

接下来我们来看看认证(Authentication)以及授权(Authorization)。

AuthenticationFilter 

AuthenticationFilter是第一个执行过滤器Filter,因为任何发送到服务器请求Action方法首先得认证其身份,而认证成功后的授权即Authorization当然也就在此过滤器之后了,它被MVC5和Web API 2.0所支持。下面用一张图片来说明这二者在管道中的位置及关系

  

接下来我们首先来看看第一个过滤器AuthenticationFilter的接口IAuthenticationFilter的定义:

1
2
3
4
5
6
7
8
public interface IAuthenticationFilter : IFilter
{
 
    Task AuthenticateAsync(HttpAuthenticationContext context, CancellationToken cancellationToken);
 
 
    Task ChallengeAsync(HttpAuthenticationChallengeContext context, CancellationToken cancellationToken);
}

该接口定义了两个方法,一个是 AuthenticateAsync ,它主要认证用户的凭证。另一个则是 ChallengeAsync ,它主要针对于在认证失败的情况下,向客户端发送一个质询(Chanllenge)。

以上两者关于认证的方法都分别对应定义在Http协议的RFC2612以及RFC2617中,并且两者都是基于以下两点:

  • 如果客户端没有发送任何凭证到服务器,那么将返回一个401(unauthorized)响应到客户端,在返回到客户端的响应中包括一个WWW-Authenticate头,在这个头中包含一个或多个质询,并且每个质询将指定被服务器识别的认证组合。

  • 在从服务器响应返回一个401到客户端后,客户端将在认证头里发送所有的凭证。  

下面我们详细查看每个方法的内容:

AuthenticateAsync

此方法中的参数类型为HttpAuthenticationContext,表示为认证上下文,我们看看此类的实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
public class HttpAuthenticationContext
{
  
    public HttpAuthenticationContext(HttpActionContext actionContext, IPrincipal principal)
    {
        if (actionContext == null)
        {
            throw new ArgumentNullException("actionContext");
        }
 
        ActionContext = actionContext;
        Principal = principal;
    }
 
 
    public HttpActionContext ActionContext { get; private set; }
 
    public IPrincipal Principal { get; set; }
 
    public IHttpActionResult ErrorResult { get; set; }
 
    public HttpRequestMessage Request
    {
        get
        {
            Contract.Assert(ActionContext != null);
            return ActionContext.Request;
        }
    }
}

在构造函数中通过Action上下文和认证的用户的Principal属性进行初始化,而属性ErrorResult则返回一个HttpActionResult对象,它是在认证失败的情况直接将错误消息返回给客户端。我们应该能想到请求到Action方法上的AuthenticationFilter可能不止一个,此时Web API会通过FilterScope进行排序而形成一个AuthenticationFilter管道,紧接着认证上下文会通过当前的Action请求上下文以及通过APiController的User属性返回的Principal而被创建,最终认证上下文会作为AuthenticationFilter中的AuthenticateAsync方法的参数并进行调用。  

当执行为AuthenticateAsync方法被成功执行并返回一个具体的HttpActionResult,此时后续操作将终止,接下来进入第二个方法即【发送认证质询】阶段。

ChallengeAsync  

绝大多数认证基本上都是采用【质询-应答】方式,服务器向端客户端发出质询要求来提供凭证,若客户端在执行AuthenticateAsync方法后,认证未成功,此时服务器端将通过ChallengeAsync方法发送认证质询。

接下来我们来看看此方法的具体实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
public class HttpAuthenticationChallengeContext
{
    private IHttpActionResult _result;
 
    public HttpAuthenticationChallengeContext(HttpActionContext actionContext, IHttpActionResult result)
    {
        if (actionContext == null)
        {
            throw new ArgumentNullException("actionContext");
        }
 
        if (result == null)
        {
            throw new ArgumentNullException("result");
        }
 
        ActionContext = actionContext;
        Result = result;
    }
 
    public HttpActionContext ActionContext { get; private set; }
 
    public IHttpActionResult Result
    {
        get
        {
            return _result;
        }
        set
        {
            if (value == null)
            {
                throw new ArgumentNullException("value");
            }
 
            _result = value;
        }
    }
 
    public HttpRequestMessage Request
    {
        get
        {
            Contract.Assert(ActionContext != null);
            return ActionContext.Request;
        }
    }
}

很显然,当调用AuthenticateAsync方法完成认证工作后,此时ErrorResult将返回一个具体的HttpActionResult,然会将Action上下文以及具体的HttpActionResult传递到构造函数中进行初始化HttpAuthenticationChallgeContext,最后依次调用ChallengeAsync方法,当此方法都被执行后,此类中的Result属性也就返回一个具体的HttpActionResult对象,此对象将创建相应的HttpResponseMessage对象,并回传到消息处理管道中并作出响应从而发出认证质询。  

总结

(1)在Web API中使用AuthenticationFilter进行认证主要是以下三步

  • Web API会为每个需要被调用Action方法创建所有可能的AuthenticationFilter列表,若有多个则通过FilterScope来进行排序,最终形成AuthenticationFilter管道。

  • Web API将为AuthenticationFilter管道中的每一个过滤器依次调用AuthenticateAsync方法,在此方法中每个AuthenticationFilter将验证来自客户端的Http请求凭证,即使在认证过程中触发到了错误,此时进程也不会终止。

  • 若认证成功,Web API将调用每个AuthenticationFilter的ChallengeAsync方法,接下来每一个AuthenticationFilter将通过此方法做出质询响应。

(2)通过上述描述我们用三张示意图来对照着看

认证方案

我们知道Http协议中的认证方案有两种,一种是Basic基础认证,一种是Digest摘要认证

Basic基础认证

此认证是在客户端将用户名和密码以冒号的形式并用Base64明文编码的方式进行发送,但是不太安全,因为未被加密,在此基础上采用Https信息通道加密则是不错的认证方案。

Digest摘要认证

此认证可谓是Basic基础认证的升级版,默认是采用MD5加密的方式,在一定程度上算是比较安全的,其执行流程和Basic基础认证一样,只是生成的算法不同而已。

未完待续:接下来将通过认证方案手动通过不同的方式来实现认证。。。。。。

[转]Web APi之认证(Authentication)及授权(Authorization)【一】(十二)的更多相关文章

  1. mongodb的认证(authentication)与授权(authorization)

    一小白瞎整mongodb,认证部分被折磨的惨不忍睹,看厮可怜,特查了一下文档,浅显地总结一下mongodb认证(authentication)与授权(authorization)的联系. 创建的所有用 ...

  2. [转].net中的认证(authentication)与授权(authorization)

    本文转自:http://www.cnblogs.com/yjmyzz/archive/2010/08/29/1812038.html 注:这篇文章主要给新手看的,老手们可能会觉得没啥营养,就请绕过吧. ...

  3. .net中的认证(authentication)与授权(authorization)

    “认证”与“授权”是几乎所有系统中都会涉及的概念,通俗点讲: 1.认证(authentication) 就是 "判断用户有没有登录?",好比windows系统,没登录就无法使用(不 ...

  4. 认证 (authentication) 和授权 (authorization) 的区别

    authorization 授权 authentication 身份认证 用户认证流程: 1.用户使用username和password登录 2.系统验证这个password对于该username是正 ...

  5. 【转】认证 (authentication) 和授权 (authorization) 的区别

    以前一直分不清 authentication 和 authorization,其实很简单,举个例子来说: 你要登机,你需要出示你的身份证和机票,身份证是为了证明你张三确实是你张三,这就是 authen ...

  6. Web Api 2 认证与授权 2

    HTTP Message Handler 在 Web Api 2 认证与授权 中讲解了几种实现机制,本篇就详细讲解 Message Handler 的实现方式 关于 Message Handler 在 ...

  7. Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再叙述废话. 序言 对于所谓的认证说到底 ...

  8. Web APi之认证(Authentication)两种实现方式后续【三】(十五)

    前言 之前一直在找工作中,过程也是令人着实的心塞,最后还是稳定了下来,博客也停止更新快一个月了,学如逆水行舟,不进则退,之前学的东西没怎么用,也忘记了一点,不过至少由于是切身研究,本质以及原理上的脉络 ...

  9. 转 Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再废叙述废话. 序言 对于所谓的认证说到 ...

  10. Web APi之认证

    Web APi之认证(Authentication)两种实现方式后续[三](十五)   前言 之前一直在找工作中,过程也是令人着实的心塞,最后还是稳定了下来,博客也停止更新快一个月了,学如逆水行舟,不 ...

随机推荐

  1. ASP.NET OWIN OAuth:遇到的2个refresh token问题

    之前写过2篇关于refresh token的生成与持久化的博文:1)Web API与OAuth:既生access token,何生refresh token:2)ASP.NET OWIN OAuth: ...

  2. 理解 Neutron FWaaS - 每天5分钟玩转 OpenStack(117)

    前面我们学习了安全组,今天学习另一个与安全相关的服务 -- FWaaS.理解概念 Firewall as a Service(FWaaS)是 Neutron 的一个高级服务.用户可以用它来创建和管理防 ...

  3. 控制EasyUI DataGrid高度

    这次要说的是控制EasyUI的高度,平时我公司的项目,用EasyUI较多,然后datagrid这个组件是用的非常多的.平时我们都是固定高度,常见代码如下:             <table  ...

  4. WebGIS中快速整合管理多源矢量服务以及服务权限控制的一种设计思路

    文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/ 1.背景 在真实项目中,往往GIS服务数据源被其他多个信息中心或者第三方 ...

  5. Mysql 中 show full processlist

    processlist命令的输出结果显示了有哪些线程在运行,可以帮助识别出有问题的查询语句,两种方式使用这个命令. 1. 进入MySQL/bin目录下输入mysqladmin processlist; ...

  6. 用SignalR 2.0开发客服系统[系列5:使用SignalR的中文简体语言包和其他技术点]

    前言 交流群:195866844 目录: 用SignalR 2.0开发客服系统[系列1:实现群发通讯] 用SignalR 2.0开发客服系统[系列2:实现聊天室] 用SignalR 2.0开发客服系统 ...

  7. ASP.NET Core 中文文档 第四章 MVC(3.2)Razor 语法参考

    原文:Razor Syntax Reference 作者:Taylor Mullen.Rick Anderson 翻译:刘怡(AlexLEWIS) 校对:何镇汐 什么是 Razor? Razor 是一 ...

  8. 利用Python进行数据分析(10) pandas基础: 处理缺失数据

      数据不完整在数据分析的过程中很常见. pandas使用浮点值NaN表示浮点和非浮点数组里的缺失数据. pandas使用isnull()和notnull()函数来判断缺失情况. 对于缺失数据一般处理 ...

  9. 在iOS中实现一个简单的画板App

    在这个随笔中,我们要为iPhone实现一个简单的画板App. 首先需要指出的是,这个demo中使用QuarzCore进行绘画,而不是OpenGL.这两个都可以实现类似的功能,区别是OpenGL更快,但 ...

  10. C#得到某月最后一天晚上23:59:59和某月第一天00:00:00

    项目需求: 某学校订单截止操作时间的上一个月最后一天晚上23:59:59 为止所有支付的订单统计: 代码: /// <summary> /// 通过学校和截止时间得到订单 /// < ...