Authentification de base reposante avec ASP.NET MVC

Quelqu'un sait comment cela fonctionne, je suis en utilisant le .net fournisseur d'appartenances et veulent juste tirer une liste xml. Je suis également en utilisant le .net mvc sdk. Alors, voici le problème, lorsque j'ajoute le [WebApiEnabled] dans le haut de mon contrôleur, je peux réussir à tirer xml/json. Mais quand j'ajoute [Authentifier] vers le haut de mon contrôleur, je ne peux pas me connecter. Comme un exemple curl-i-u admin:pass" -H "Accept: application/xml" http://localhost:xxxx/Book

Merci d'avance pour votre aide

source d'informationauteur | 2009-09-10

  1. 8

    Bien alors j'ai pensé à elle, mais la solution peut être un peu ghetto. J'ai pris le AuthorizeAttribute .net mvc source et recodé le OnAutorization méthode. Cela fonctionne bien pour moi, cependant, il fonctionne, tout simplement pour l'authentification de Base et je ne suis pas sûr si c'est la méthode la plus sûre à utiliser. Cependant, il n'est de résoudre le problème de web clients d'être en mesure d'accéder de façon sécurisée .net mvc services rest.

    public virtual void OnAuthorization(AuthorizationContext filterContext)
    {
        if (filterContext == null)
        {
            throw new ArgumentNullException("filterContext");
        }


        string auth = filterContext.HttpContext.Request.Headers["authorization"];

        if (!String.IsNullOrEmpty(auth))
        {
            byte[] encodedDataAsBytes = Convert.FromBase64String(auth.Replace("Basic ", ""));
            string val = Encoding.ASCII.GetString(encodedDataAsBytes);
            string userpass = val;
            string user = userpass.Substring(0, userpass.IndexOf(':'));
            string pass = userpass.Substring(userpass.IndexOf(':') + 1);

            if (!System.Web.Security.Membership.Provider.ValidateUser(user, pass))
            {
                filterContext.Result = new HttpUnauthorizedResult();
            }

        }
        else
        {
            if (AuthorizeCore(filterContext.HttpContext))
            {


                HttpCachePolicyBase cachePolicy = filterContext.HttpContext.Response.Cache;
                cachePolicy.SetProxyMaxAge(new TimeSpan(0));
                cachePolicy.AddValidationCallback(CacheValidateHandler, null /* data */);
            }
            else
            {
                //auth failed, redirect to login page
                filterContext.Result = new HttpUnauthorizedResult();
            }
        }


    }
  2. 8

    Je pensais ajouter cette voici pour tous ceux (comme moi) qui n'est pas tout à fait en mesure d'envelopper leurs têtes autour de la réponse de l'auteur ici. Voici un billet de blog que je viens de décrire la façon d'accomplir ceci avec un [CustomBasicAuthorize] attribut qui peut être utilisé de la même manière que le [Authorize] attribut qui vient avec MVC: http://cacheandquery.com/blog/2011/03/customizing-asp-net-mvc-basic-authentication/

  3. 2

    Vous pouvez utiliser HTTP Digest Authentification d'Accès (certains détails de mise en œuvre ici et ici) qui est beaucoup plus fort que de base, mais il est encore un échange de sécurité. Si vous avez besoin de plus de sécurité en mettant le service derrière le protocole SSL (si c'est une option) serait suffisant.

  4. 0

    Façon dont le REPOS avec l'authentification de base est couvert dans les réponses à cette stackoverflow question:

    L'Authentification de base avec WCF REST service d'autre chose que windows comptes?