英語原文地址：http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api

本文是作者所理解和翻譯的內容。

這篇文章包括兩部分：身份驗證和授權。

• 身份驗證用來確定一個用戶的身份。例如，Alice用她的用戶名和密碼登陸系統，服務器用她的用戶名和密碼來確定她的身份。
• 授權是判斷一個用戶是否允許執行某一操作。例如，Alice有獲取資源的許可，但不能創建資源。

身份驗證

Web API有兩種方式進行身份驗證：在宿主程序中的身份驗證和使用 HTTP Message Handlers進行身份驗證。

如果你的Web API運行在IIS中，那么身份驗證程序就是HTTP Modules，可以使用內置的asp.net身份驗證模塊進行身份驗證，也可以自己寫一個身份驗證模塊完成自定義身份驗證。

當在宿主程序中進行身份驗證時，宿主程序會創建一個principal對象，這個對象的類實現了IPrincipal接口，用來代表當前代碼運行的安全上下文。宿主通過設置Thread.CurrentPrincipal?將主體附加到當前進程。principal包含一個關聯用戶信息的Identity?對象，如果用戶驗證通過，Identity.IsAuthenticated?屬性返回true；對于匿名請求，IsAuthenticated?返回false。關于更多的principals信息，參見Role-Based Security。

使用HTTP Message Handlers 進行身份驗證

你可以在?HTTP message handler中創建身份驗證邏輯來代替使用宿主身份驗證機制，在這種機制中，message handler檢驗Http請求并設置principal。

該在何時使用HTTP Message Handler進行身份驗證呢？這里給出了一個這種的參考：

• 一個HTTP Module觀察所有通過ASP.NET管道的請求；一個Message Handler只觀察被路由處理的Web API請求。
• 你可以對每個路由設置一個Message Handler，這個方便了針對特殊的路由設置特殊的身份驗證方案。
• HTTP Module是IIS特有的；Message Handler則與宿主無關，因此你可以同時在web-hosting和self-hosting中使用。
• HTTP Module參與IIS的登陸、審核等處理。
• HTTP Module在管道中更早的執行，如果你使用Message Handler進行身份驗證，在handler執行前principal 沒有準備好。此外，在response離開Message Handler后，principal 會被恢復到之前的principal 。

綜上所述，如果你不需要支持self-hosting，HTTP Module回事更好的選擇。如果你需要支持self-hosting，那就考慮使用Message Handler吧。

設置Principal

如果你的程序完成了一些自定義的身份驗證邏輯，那么你必須設置愛兩個地方的principal：

• Thread.CurrentPrincipal. 這個屬性是在.NET中設置線程 principal的標準途徑。
• HttpContext.Current.User. 這個屬性是ASP.NET 專用的。

下面的代碼展示了如何設置principal：

private void SetPrincipal(IPrincipal principal) {Thread.CurrentPrincipal = principal;if (HttpContext.Current != null){HttpContext.Current.User = principal;} }

對于web-hosting，你必須在這兩個地方食指principal，否則安全上下文可能會變得不一致。對于self-hosting，HttpContext.Current是null。為了確定你的代碼與宿主無關，所以在賦值之前檢查一下HttpContext.Current，就像上面的代碼那樣。

授權

授權發生在管道的后面一些，更接近于controller。它讓你在授權訪問資源是可以進行更細小粒度的操作。

• Authorization filters?在controller Action之前運行。如果請求未授權，filter返回一個錯誤的response，action不會被調用。
• 在Controller Action內部，你可以通過ApiController.User屬性訪問當前principal。例如你可能要根據用戶來過濾一個資源列表，只返回屬于該用戶的資源。

使用[Authorize]屬性

Web API 提供了一個內置的授權過濾器：AuthorizeAttribute。這個過濾器檢查用戶是否被授權，如果沒有，則返回 http status code 401(Unauthorized)，不會調用Action。

你可以添加將過濾器添加到globally，或Controller級別，或Action級別。

globally：要為每一個Web API請求添加約束，則在全局的過濾器列表中添加AuthorizeAttribute。

public static void Register(HttpConfiguration config) {config.Filters.Add(new AuthorizeAttribute()); }

Controller：要約束一個特殊的controller的訪問，則在controller上添加AuthorizeAttribute。

[Authorize] public class ValuesController : ApiController {public HttpResponseMessage Get(int id) { ... }public HttpResponseMessage Post() { ... } }

Action：要約束一個特殊Action的訪問，在Action上添加AuthorizeAttribute。

public class ValuesController : ApiController {public HttpResponseMessage Get() { ... }// Require authorization for a specific action.[Authorize]public HttpResponseMessage Post() { ... } }

另外，你還可以約束一個controller訪問的同時允許匿名訪問特殊的Action，這需要使用[AllowAnonymous]屬性。在下面的示例中，Post方法被約束了，而Get方法允許被匿名訪問：

[Authorize] public class ValuesController : ApiController {[AllowAnonymous]public HttpResponseMessage Get() { ... }public HttpResponseMessage Post() { ... } }

在上面的例子中，過濾器允許任何被驗證的用戶訪問受約束的方法，只有匿名用戶被拒絕。

你還可以限制一些特殊用戶或特殊角色的訪問：

// Restrict by user: [Authorize(Users = "Alice,Bob")] public class ValuesController : ApiController { }// Restrict by role: [Authorize(Roles = "Administrators")] public class ValuesController : ApiController { }

注意：Web API中的AuthorizeAttribute過濾器是在命名空間System.Web.Http中的，在MVC Controller中有一個相似的過濾器，定義在System.Web.Mvc中，他倆不能兼容使用。

自定義 Authorization Filters

一個自定義authorization filter衍生自一下幾個類型：

• AuthorizeAttribute. 擴展這個類來完成基于當前用戶和角色的授權邏輯。
• AuthorizationFilterAttribute. 擴展這個類完成同步的授權邏輯，這種方式必須要基于當前用戶和角色。
• IAuthorizationFilter. 實現這個接口來完成異步的授權邏輯。例如，如果你的授權邏輯使用了異步的IO或網絡調用(如果你的授權邏輯是CPU-Bound，那就和簡單的衍生自AuthorizationFilterAttribute一樣，因為你不需要寫一個異步方法)

The following diagram shows the class hierarchy for the?AuthorizeAttribute?class.

下面的圖片展示了AuthorizeAttribute的類層級：

在Controller Action中授權

有時候，你可能允許一個請求繼續下去，但根據principal改變其行為。例如，你返回的信息會依賴用戶角色發生改變。在Controller的方法中，你可以通過ApiController.user屬性得到當前的principal。

public HttpResponseMessage Get() {if (User.IsInRole("Administrators")){// ...} }

總結

以上是生活随笔為你收集整理的ASP.NET Web API身份验证和授权的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。