在ASP.NET MVC Web API服务和MVC客户端体系结构中实现身份验证和基于角色的授权

在为我的Web API(服务) – MVC(客户端)架构项目实现身份验证/授权方案时,我很难确定方法.即使我已经在Web API项目中实现了基于自定义令牌的身份验证,但我发现很难确切地实现授权(在客户端或API本身).

架构概述：

>项目解决方案 –
|
| __基于ASP.NET Web API的REST服务(在M / C 1上独立托管在IIS上)
|
| __基于ASP.NET MVC的客户端(独立托管在M / C 2上的IIS上,使用REST服务)
|
| __智能手机客户端应用程序(使用REST服务)

已经实现了身份验证：

> Web API中基于令牌的身份验证(使用消息处理程序) – 为经过身份验证的用户生成SHA1 encripted令牌,该令牌需要是每个http请求头的一部分以进行身份验证.
(令牌=用户名用户IP)
>受SSL保护的HTTP请求. (再次,使用消息处理程序)

目前的问题：

>在哪一层授权应该实施？
>如何在客户端保留用户角色？使用Cookies？或者向Token本身添加角色信息(这可能会增加API解密信息的开销和额外的DB调用以检索与该角色相关的权限)
>如何使用客户端会话保留身份验证令牌？
>因为我的应用程序是SPA MVC应用程序,将身份验证令牌作为我对API进行的每个AJAX调用的一部分包含的最佳方法是什么？

我希望,在考虑整个身份验证/授权概念时,我没有做错事.因此,我将不胜感激任何替代方法/建议.

解决方法

要回答您当前的问题：

1一般来说,您总是希望使用身份验证来保护您的Api,因为它是您访问数据的地方.您的客户端(MVC应用程序/智能手机)应授权自己访问您的Api.

2& 3
由于您使用的是REST Api,我建议您保持Api无状态,换句话说,不要保留任何会话信息.只需在令牌中包含您需要的角色数据即可.你可以使用例如JSON Web Token.

4
我总是使用授权标头来发送授权数据.在DelegatingHandler中(注意差异MessageHandler MVC,DelegatingHander HTTP),您可以简单地检索标头.

protected override Task<HttpResponseMessage> SendAsync(
        HttpRequestMessage request,CancellationToken cancellationToken)
 {
    var authorizationHeader = request.Headers.Authorization;
    // Your authorization logic.

    return base.SendAsync(request,cancellationToken);
 }

有关如何在ajax调用中包含授权标头的详细信息,请参阅：How to use Basic Auth with jQuery and AJAX?

额外信息：

如果我是你,我还会看一下Thinktecture的Identity Server：https://github.com/thinktecture/Thinktecture.IdentityServer.v2

也许这个关于REST服务身份验证的答案也会对你有所帮助：
REST service authentication

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!