在为我的Web API(服务) - MVC(客户端)架构项目实现身份验证/授权方案时,我很难确定方法 . 即使我已经在Web API项目中实现了基于自定义令牌的身份验证,但我发现很难确切地实现授权(在客户端或API本身) .
Architecture Overview :
- 项目解决方案 -
|
| __基于ASP.NET Web API的REST服务(在M / C 1上独立托管在IIS上)
|
| __基于ASP.NET MVC的客户端(独立托管在M / C 2上的IIS上,使用REST服务)
|
| __智能手机客户端应用程序(使用REST服务)
已经实现了身份验证:
-
Web API中基于令牌的身份验证(使用消息处理程序) - 为经过身份验证的用户生成SHA1 encripted令牌,该令牌需要是每个http请求头的一部分以进行身份验证 .
(令牌=用户名用户IP) -
受SSL保护的HTTP请求 . (再次,使用消息处理程序)
目前的问题:
-
应该在哪个层实施授权?
-
如何在客户端保留用户角色?使用Cookies?或者向Token本身添加角色信息(这可能会增加API解密信息的开销和额外的DB调用以检索与该角色相关的权限)
-
如何使用客户端会话保留身份验证令牌?
-
因为,我的应用程序是SPA MVC应用程序,将身份验证令牌作为我对API进行的每个AJAX调用的一部分包含的最佳方法是什么?
我希望,考虑到整个身份验证/授权概念,我做错了 . 因此,我将不胜感激任何替代方法/建议 .
2 回答
首先,我认为发明自己的身份验证机制绝不是一个好主意 .
要回答您当前的问题:
1 一般来说,您总是希望使用身份验证来保护您的Api,因为它是您访问数据的地方 . 您的客户端(MVC应用程序/智能手机)应授权自己访问您的Api .
2 & 3 由于您使用的是REST Api,我建议您保持Api无状态,换句话说,不要保留任何会话信息 . 只需在令牌中包含您需要的角色数据即可 . 你可以使用例如JSON Web Token .
4 我总是使用授权标头来发送授权数据 . 在DelegatingHandler中(注意差异MessageHandler MVC,DelegatingHander HTTP),您可以简单地检索标头 .
有关如何在ajax调用中包含授权标头的详细信息,请参阅:How to use Basic Auth with jQuery and AJAX?
额外信息:
如果我是你,我也会看一下Thinktecture的Identity Server:https://github.com/thinktecture/Thinktecture.IdentityServer.v2
也许这个关于REST服务身份验证的答案也会对你有所帮助:REST service authentication
为什么要创建一个完整的令牌系统(除非你使用某种联邦安全性),你有表单身份验证和cookie,一旦设置并返回cookie,浏览器将发送带有SPA发出的任何AJAX请求的cookie .