Authentication(认证)
WebAPI中的认证既可以使用HttpModel也可以使用HTTP message handler,具体使用哪个可以参考一下依据:
- 一个HttpModel可以检测ASP.NET请求管道中的所有请求,一个message handler仅仅可以检测到被路由到这个WebAPI的请求
- 可以预先设置message handlers,让特定的route使用指定的authentication scheme
- Http Module只能在IIS中使用,Message hans可以在任意ost-agnostic环境中使用(web-hosting和self-hosting)
- HTTP Module在IIS中参与登陆、审计等过程
- HTTP Module在管道事件初期就执行了,如果使用的是message handler,principal直到handler执行时才被赋值
通常。如果不需要运行在self-hosting环境中的话,HTTP model是一个很好的选择,反之,可以考虑message handler。
设置Principal
如果application需要执行自定义的authentication逻辑,需要在两个地方设置principal
- Thread.CurrentPrincipal 用于.NET
- HttpContext.Current.User 用于ASP.NET
private void SetPrincipal(IPrincipal principal) { Thread.CurrentPrincipal = principal; if (HttpContext.Current != null) { HttpContext.Current.User = principal; } }
Authorization(授权)
授权在靠近controller时被执行,目的是为了可以有更多机会进行细粒度控制对资源的访问。
- Authorization filters在controller action之前执行,如果没有授权action不会被调用
- 在controller action的内部,可以从ApiController.User中获得当前的principal
使用[Authorize] 特性
Authorize可以应用到Globally、controller、action级别。优先级:action>controller>globally
[Authorize] public class ValuesController : ApiController { [AllowAnonymous]//允许匿名访问 public HttpResponseMessage Get() { ... } //授权用户才能访问 public HttpResponseMessage Post() { ... } }
还可以控制action的访问所需的权限
[Authorize(Users="Alice,Bob")] public class ValuesController : ApiController { } // Restrict by role: [Authorize(Roles="Administrators")] public class ValuesController : ApiController { }
自定义Authorization Filters
自定义authorization过滤器,可以通过继续AuthorizeAttribute或AuthorizationFilterAttribute或IAuthorizationFilter来实现,如果是cpu密集型的身份验证逻辑应使用同步的方式,如果是IO密集型的应使用异步方法。
AuthorizeAttribute的层级关系:
