ASP.NET Web de Base de l'API d'Authentification

Question

ASP.NET Web de Base de l'API d'Authentification

Demandé el 16 de Août, 2016: Quand la question a-t-elle été
34730 affichage: Nombre de visites la question a
5 Réponses: Nombre de réponses aux questions
Résolu: Situation réelle de la question

Je suis aux prises avec la façon de mettre en place l'authentification dans mon service web. Le service est de construire avec l'ASP.NET de Base de l'api web.

Tous mes clients (applications WPF) doivent utiliser les mêmes informations d'identification pour appeler le service web operations.

Après quelques recherches, je suis venu avec l'authentification de base - l'envoi d'un nom d'utilisateur et le mot de passe dans l'en-tête de la requête HTTP. Mais après des heures de recherche, il me semble que l'authentification de base n'est pas la voie à suivre dans ASP.NET de Base.

La plupart des ressources que j'ai trouvées sont la mise en œuvre de l'authentification à l'aide d'OAuth ou certains autres middleware. Mais cela semble être surdimensionné pour mon scénario, ainsi que l'aide de l'Identité de la partie de ASP.NET de Base.

Alors, quelle est la bonne façon d'atteindre mon objectif simple authentification avec nom d'utilisateur et mot de passe dans un ASP.NET Core service web?

Merci à l'avance!

Demandé el 16 de Août, 2016 par Felix

Answer 1

5 Réponses

Answer 2

128voto

Felix Points 1005

Maintenant, après avoir été pointé dans la bonne direction, voici ma solution:

C'est le middleware de la classe qui est exécutée sur chaque demande entrante et vérifie si la demande les informations d'identification correctes. Si aucune information d'identification sont présents ou si elles sont mauvaises, le service répond avec un 401 non autorisé d'erreur immédiatement.

public class AuthenticationMiddleware
{
    private readonly RequestDelegate _next;

    public AuthenticationMiddleware(RequestDelegate next)
    {
        _next = next;
    }

    public async Task Invoke(HttpContext context)
    {
        string authHeader = context.Request.Headers["Authorization"];
        if (authHeader != null && authHeader.StartsWith("Basic"))
        {
            //Extract credentials
            string encodedUsernamePassword = authHeader.Substring("Basic ".Length).Trim();
            Encoding encoding = Encoding.GetEncoding("iso-8859-1");
            string usernamePassword = encoding.GetString(Convert.FromBase64String(encodedUsernamePassword));

            int seperatorIndex = usernamePassword.IndexOf(':');

            var username = usernamePassword.Substring(0, seperatorIndex);
            var password = usernamePassword.Substring(seperatorIndex + 1);

            if(username == "test" && password == "test" )
            {
                await _next.Invoke(context);
            }
            else
            {
                context.Response.StatusCode = 401; //Unauthorized
                return;
            }
        }
        else
        {
            // no authorization header
            context.Response.StatusCode = 401; //Unauthorized
            return;
        }
    }
}

Le middleware extension doit être appelée dans la configuration de la méthode de Démarrage du service de la classe

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
{
    loggerFactory.AddConsole(Configuration.GetSection("Logging"));
    loggerFactory.AddDebug();

    app.UseMiddleware<AuthenticationMiddleware>();

    app.UseMvc();
}

Et c'est tout! :)

Une très bonne ressource pour le middleware .Net de Base et d'authentification peuvent être trouvés ici: https://www.exceptionnotfound.net/writing-custom-middleware-in-asp-net-core-1-0/

Répondu el 17 de Août, 2016 par Felix (1005 Points )

Answer 3

78voto

Anuraj Points 6835

Vous pouvez mettre en œuvre un middleware qui gère l'authentification de Base.

public async Task Invoke(HttpContext context)
{
    var authHeader = context.Request.Headers.Get("Authorization");
    if (authHeader != null && authHeader.StartsWith("basic", StringComparison.OrdinalIgnoreCase))
    {
        var token = authHeader.Substring("Basic ".Length).Trim();
        System.Console.WriteLine(token);
        var credentialstring = Encoding.UTF8.GetString(Convert.FromBase64String(token));
        var credentials = credentialstring.Split(':');
        if(credentials[0] == "admin" && credentials[1] == "admin")
        {
            var claims = new[] { new Claim("name", credentials[0]), new Claim(ClaimTypes.Role, "Admin") };
            var identity = new ClaimsIdentity(claims, "Basic");
            context.User = new ClaimsPrincipal(identity);
        }
    }
    else
    {
        context.Response.StatusCode = 401;
        context.Response.Headers.Set("WWW-Authenticate", "Basic realm=\"dotnetthoughts.net\"");
    }
    await _next(context);
}

Ce code est écrit dans une version bêta de asp.net de base. Espérons que cela aide.

Répondu el 16 de Août, 2016 par Anuraj (6835 Points )

Answer 4

31voto

mr_squall Points 442

À utiliser seulement pour des contrôleurs spécifiques, par exemple, utiliser ce:

app.UseWhen(x => (x.Request.Path.StartsWithSegments("/api", StringComparison.OrdinalIgnoreCase)), 
            builder =>
            {
                builder.UseMiddleware<AuthenticationMiddleware>();
            });

Répondu el 30 de Janvier, 2017 par mr_squall (442 Points )

Answer 5

26voto

Jaffal Points 429

Je pense que vous pouvez aller avec JWT (Json Web Jetons).

Vous devez d'abord installer le package de Système.IdentityModel.Jetons.Jwt:

$ dotnet add package System.IdentityModel.Tokens.Jwt

Vous aurez besoin d'ajouter un contrôleur pour la génération du jeton d'authentification et comme celui-ci:

public class TokenController : Controller
{
    [Route("/token")]

    [HttpPost]
    public IActionResult Create(string username, string password)
    {
        if (IsValidUserAndPasswordCombination(username, password))
            return new ObjectResult(GenerateToken(username));
        return BadRequest();
    }

    private bool IsValidUserAndPasswordCombination(string username, string password)
    {
        return !string.IsNullOrEmpty(username) && username == password;
    }

    private string GenerateToken(string username)
    {
        var claims = new Claim[]
        {
            new Claim(ClaimTypes.Name, username),
            new Claim(JwtRegisteredClaimNames.Nbf, new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds().ToString()),
            new Claim(JwtRegisteredClaimNames.Exp, new DateTimeOffset(DateTime.Now.AddDays(1)).ToUnixTimeSeconds().ToString()),
        };

        var token = new JwtSecurityToken(
            new JwtHeader(new SigningCredentials(
                new SymmetricSecurityKey(Encoding.UTF8.GetBytes("H38DLSIEKD8EKDOS")),
                                         SecurityAlgorithms.HmacSha256)),
            new JwtPayload(claims));

        return new JwtSecurityTokenHandler().WriteToken(token);
    }
}

Après cette mise à jour de Démarrage.cs de la catégorie à ressembler à ci-dessous:

namespace WebAPISecurity
{   
public class Startup
{
    public Startup(IConfiguration configuration)
    {
        Configuration = configuration;
    }

    public IConfiguration Configuration { get; }

    // This method gets called by the runtime. Use this method to add services to the container.
    public void ConfigureServices(IServiceCollection services)
    {
        services.AddMvc();

        services.AddAuthentication(options => {
            options.DefaultAuthenticateScheme = "JwtBearer";
            options.DefaultChallengeScheme = "JwtBearer";
        })
        .AddJwtBearer("JwtBearer", jwtBearerOptions =>
        {
            jwtBearerOptions.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("H38DLSIEKD8EKDOS")),
                ValidateIssuer = false,
                //ValidIssuer = "The name of the issuer",
                ValidateAudience = false,
                //ValidAudience = "The name of the audience",
                ValidateLifetime = true, //validate the expiration and not before values in the token
                ClockSkew = TimeSpan.FromMinutes(5) //5 minute tolerance for the expiration date
            };
        });

    }

    // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
    public void Configure(IApplicationBuilder app, IHostingEnvironment env)
    {
        if (env.IsDevelopment())
        {
            app.UseDeveloperExceptionPage();
        }

        app.UseAuthentication();

        app.UseMvc();
    }
}

Et c'est tout, ce qui est à gauche est maintenant de mettre [Authorize] d'attribut sur les Contrôleurs ou les Actions que vous voulez.

Voici un lien d'un straight forward tutoriel.

http://www.blinkingcaret.com/2017/09/06/secure-web-api-in-asp-net-core/

Répondu el 8 de Novembre, 2017 par Jaffal (429 Points )

Answer 6

11voto

Ivan R. Points 1048

J'ai implémenté BasicAuthenticationHandler pour l'authentification de base de sorte que vous pouvez l'utiliser avec standart attributs Authorize et AllowAnonymous.

public class BasicAuthenticationHandler : AuthenticationHandler<BasicAuthenticationOptions>
{
    protected override Task<AuthenticateResult> HandleAuthenticateAsync()
    {
        var authHeader = (string)this.Request.Headers["Authorization"];

        if (!string.IsNullOrEmpty(authHeader) && authHeader.StartsWith("basic", StringComparison.OrdinalIgnoreCase))
        {
            //Extract credentials
            string encodedUsernamePassword = authHeader.Substring("Basic ".Length).Trim();
            Encoding encoding = Encoding.GetEncoding("iso-8859-1");
            string usernamePassword = encoding.GetString(Convert.FromBase64String(encodedUsernamePassword));

            int seperatorIndex = usernamePassword.IndexOf(':');

            var username = usernamePassword.Substring(0, seperatorIndex);
            var password = usernamePassword.Substring(seperatorIndex + 1);

            //you also can use this.Context.Authentication here
            if (username == "test" && password == "test")
            {
                var user = new GenericPrincipal(new GenericIdentity("User"), null);
                var ticket = new AuthenticationTicket(user, new AuthenticationProperties(), Options.AuthenticationScheme);
                return Task.FromResult(AuthenticateResult.Success(ticket));
            }
            else
            {
                return Task.FromResult(AuthenticateResult.Fail("No valid user."));
            }
        }

        this.Response.Headers["WWW-Authenticate"]= "Basic realm=\"yourawesomesite.net\"";
        return Task.FromResult(AuthenticateResult.Fail("No credentials."));
    }
}

public class BasicAuthenticationMiddleware : AuthenticationMiddleware<BasicAuthenticationOptions>
{
    public BasicAuthenticationMiddleware(
       RequestDelegate next,
       IOptions<BasicAuthenticationOptions> options,
       ILoggerFactory loggerFactory,
       UrlEncoder encoder)
       : base(next, options, loggerFactory, encoder)
    {
    }

    protected override AuthenticationHandler<BasicAuthenticationOptions> CreateHandler()
    {
        return new BasicAuthenticationHandler();
    }
}

public class BasicAuthenticationOptions : AuthenticationOptions
{
    public BasicAuthenticationOptions()
    {
        AuthenticationScheme = "Basic";
        AutomaticAuthenticate = true;
    }
}

L'inscription au Démarrage.cs - app.UseMiddleware<BasicAuthenticationMiddleware>();. Avec ce code, vous pouvez restreindre l'accès à tout contrôleur standart attribut Autorize:

[Authorize(ActiveAuthenticationSchemes = "Basic")]
[Route("api/[controller]")]
public class ValuesController : Controller

et l'utilisation de l'attribut AllowAnonymous si vous appliquez autoriser filtre à niveau de l'application.

Répondu el 26 de Juin, 2017 par Ivan R. (1048 Points )

ASP.NET Web de Base de l'API d'Authentification

Réponses

Questions en vedette

Top Tags

Prograide.com

Powered by:

ASP.NET Web de Base de l'API d'Authentification

Réponses

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Powered by: