个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
虽然我认为这很简单,但我很难找到任何关于它的东西......
我正在使用 .NET MVC 4.5 开发 API。我希望最终用户能够发送类似 (PowerShell) 的请求:
$webclient = new-object System.Net.WebClient
$webclient.Credentials = new-object System.Net.NetworkCredential($username,
$securePassword)
$doc = $webclient.DownloadString("http://localhost:60023/api/getData?id=200")
但我不知道如何从我的应用程序中的请求中提取凭据。
我的 Controller 看起来像:
namespace App.Controllers
{
public IEnumerable<MyStruct> Get(int id)
{
// TODO: get credentials from request
// validate credentials
// code to create IEnumerable<MyStruct>
return DataList;
}
}
到目前为止,如果我对凭据进行硬编码,一切正常,我需要弄清楚的是如何从最终用户的 $webclient.Credentials 获取凭据。
我确定之前已经讨论过这个问题,但我已经搜索了几个小时但找不到答案。
我离题了吗?
这不是验证 API 请求的好方法吗?我知道有一个可以使用内置身份验证系统的 [Authorize] 属性,但我的应用程序使用自定义登录验证,所以我认为这行不通。是否有理由以我想要的方式在 Controller 方法中验证凭据不是一个好主意?
最佳答案
通常 MVC 不用于 API 工作。虽然 MVC 可以处理服务 API 调用,但 Microsoft 有一个类似 MVC 的产品,称为 WebApi,它更适合服务 API,例如返回 JSON或 XML 而不是 View 。
在 MVC 和 WebApi 中,不建议在方法内处理身份验证和授权。虽然它有效,但它会让您忘记保护 API 调用。因此微软制作了AuthenticationFilter和AuthorizationFilter属性。这些允许您通过方法、类或应用程序标记要保护的 API 或 View 。
要从 MVC 中的请求访问基本凭证,您需要访问 Authorization header 。这将是 Basic [Base64Encoded, colon delimited strings] 形式的字符串。
以下代码显示了如何读取凭据的粗略示例:
public ActionResult TestView()
{
bool isAuthenticated;
var base64Header = Request.Headers["Authorization"];
//The header is a string in the form of "Basic [base64 encoded username:password]"
if (base64Header != null)
{
var authHeader = AuthenticationHeaderValue.Parse(base64Header);
if (authHeader != null
&& authHeader.Scheme.Equals("basic", StringComparison.OrdinalIgnoreCase)
&& authHeader.Parameter != null)
{
//Decode the username:password pair
var credentialPair = Encoding.ASCII.GetString(Convert.FromBase64string(authHeader.Parameter));
//Split into pieces
var credentials = credentialPair.Split(new [] {":"}, StringSplitOptions.None);
var userName = credentials[0];
var plainTextPassword = credentials[1];
isAuthenticated = SomeAuthenticator.Authenticate(userName, password);
}
}
if (isAuthenticated)
return Foo();
else
RedirectResult("your login view");
}
不过,最好将此代码插入到 AuthenticationFilter 中。这使您能够通过方法、类或应用程序打开/关闭授权。
public class CustomAuthFilter : IAuthenticationFilter
{
public void OnAuthentication(AuthenticationContext filterContext)
{
var header = filterContext.RequestContext.HttpContext.Request.Headers["Authorization"];
if (!Authenticate(header))
filterContext.Result = new HttpUnauthorizedResult();
}
public void OnAuthenticationChallenge(AuthenticationChallengeContext filterContext)
{
filterContext.Result = new RedirectResult(@"https:\\foo\YourLoginPage");
}
private bool Authenticate(string rawAuthorizationHeader)
{
try
{
if (rawAuthorizationHeader != null)
{
var authHeader = AuthenticationHeaderValue.Parse(rawAuthorizationHeader);
if (authHeader != null
&& authHeader.Scheme.Equals("basic", StringComparison.OrdinalIgnoreCase)
&& authHeader.Parameter != null)
{
var credentialPair = Encoding.ASCII.GetString(Convert.FromBase64String(authHeader.Parameter));
var credentials = credentialPair.Split(new[] { ":" }, StringSplitOptions.None);
var userName = credentials[0];
var plainTextPassword = credentials[1];
return SomeAuthenticator.Authenticate(userName, plainTextPassword);
}
}
return false;
}
catch (Exception)
{
return false;
}
}
}
然后被消费
[CustomAuthFilter] //Secure all methods in the class
public class SecureApiController
{
public ActionResult SecuredApiCall()
{
return Foo();
}
public ActionResult AnotherSecuredCall()
{
return Bar();
}
[AllowAnonymous]
public ActionResult UnsecuredApiCall()
{
return UnsecureFoo();
}
}
请注意,在典型的 Microsoft 方式中,身份验证 和授权 是两个不同的事物。如果您想通过“此用户有帐户”以外的方式保护 API,则需要设置授权过滤器。
关于c# - Mvc Api 从请求中获取凭证,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/50359246/
25
4
0
有没有办法测试人工凭证以及我是否可以成功访问存储库?从命令行运行我无法查看是否使用了凭据以及来自带有 ?trace 的浏览器附加到 url 拒绝匿名用户访问。 最佳答案 您可以使用 Artifacto
我正在尝试运行将使用 npm publish 的 Jenkins 2 管道(Jenkinsfile)将包发布到本地 NPM 存储库。 为了做到这一点,我尝试在 Jenkinsfile 中使用以下阶段:
我正试图从我的 JavaScript 前端应用程序的 S3 中获取我的图像对象。 根据文档,这些是所需的步骤: import * as AWS from "aws-sdk"; AWS.config.u
我正在使用 IVONA SpeachCloud SDK(创建语音样本):https://github.com/IvonaSoftware/ivona-speechcloud-sdk-java/blob
我有一个问题:ACAccountStore 是否会自动更新 Twitter token ?我需要在我的服务器中使用 token 来自动发布。请分享您的经验。 最佳答案 如果您像这样使用 SLReque
我正在为为 CMS 创建的商店/购物车创建一个 PayPal 网关。完成后,网关将可供其他人使用。在我的开发者帐户中创建的 API 凭据(客户端 ID 和 secret )是否保留在应用程序中,还是每
我在 Magnto 1.9 中启用了 paypal 现在我想在我的 Observer 中调用另一个 paypal API,为此我需要 paypal 用户、密码和签名,我在启用 paypal 时已经保存
有没有办法用 TortoiseGit 保存 GITHUB 的用户凭证? 每当我进行推/pull 时,它都会提示我以下对话框。 我想将我的用户凭据信息保存在某个地方,就像我使用 TortoiseSVN
我有一个 Jenkins 工作,它应该构建一个 Jar 并将其添加到 Nexus。我已经配置了构建后操作以将 Maven Artifact 部署到 nexus 存储库。 问题是,nexus 需要用户名
在我之前的 Jenkinsfile 中,我曾经有过这个: withCredentials([[ $class: 'AmazonWebServicesCredentialsBinding',
我的证书有问题,我什至不确定我是否选择了正确的方法...长话短说..我需要我的 Jenkins 工作在构建过程中从需要使用证书身份验证的网站下载一些东西 - 我得到了 .p12 和 .cert 证书。
我在使用 WWW:Mechanize 的凭据代理访问和网络抓取需要 NTLM 身份验证的站点时遇到问题。我在网上读到凭证代理需要 4 个参数:基址、领域、用户名和密码。我不确定用于基础或领域的内容,因
我正在使用 AWS Java SDK 并尝试运行一些测试;得到: 无法从类路径上的/AwsCredentials.properties 文件加载 AWS 凭证 根据 AWS 规范,凭证文件 @ ~/.
我已将我的 MongoDB 设置为仅接受通过 SSL 的连接。 Mongo 具有我使用以下命令生成的证书的句柄 openssl req -newkey rsa:2048 -new -x509 -day
如何让 gspread 使用我的 oauth 凭据?我的 http 响应 gspread.httpsession.HTTPError 出现错误:(谁能告诉我我的代码有什么问题吗? import dat
我有一大桶 S3 文件要放在 HDFS 上。考虑到涉及的文件数量,我首选的解决方案是使用“分布式副本”。但是由于某种原因,我无法让 hadoop distcp 获取我的 Amazon S3 凭据。我使
我在 Magnto 1.9 中启用了 paypal现在我想在我的 Observer 中调用另一个 paypal API,为此我需要 paypal 用户、密码和签名,我在启用 paypal 时已经保存了
作为构建 docker 容器的过程的一部分,我需要从 s3 存储桶中提取一些文件,但我不断收到 fatal error: Unable to locate credentials 即使现在我正在设置凭
应用 Spring 中的简单 REST API 注册服务,在发送正确的 POST 请求后在数据库中创建新用户,并且 Amazon SES 发送一封包含注册链接的电子邮件以进行验证。 问题 在我的操作系
背景 我使用 google-api-python-client django_sample 获得了 Google API 的 access_token . 为了离线访问,我添加了 FLOW.param
我是一名优秀的程序员,十分优秀!