序言

對(duì)于所謂的認(rèn)證說到底就是安全問題，在Web API中有多種方式來(lái)實(shí)現(xiàn)安全，【accepted】方式來(lái)處理基于IIS的安全（通過上節(jié)提到的WindowsIdentity依賴于HttpContext和IIS認(rèn)證）或者在Web API里通過使用Web API中的消息處理機(jī)制，但是如果我們想應(yīng)用程序運(yùn)行在IIS之外此時(shí)Windows Idenitity這一方式似乎就不太可能了，同時(shí)在Web API中本身就未提供如何處理認(rèn)證的直接方式，我們不得不自定義來(lái)實(shí)現(xiàn)認(rèn)證功能，同時(shí)這也是我們所推薦的方式，自己動(dòng)手，豐衣足食。
溫馨提示：下面實(shí)現(xiàn)方法皆基于基礎(chǔ)認(rèn)證，若不熟悉Http協(xié)議中的Basic基礎(chǔ)認(rèn)證，請(qǐng)先參看此篇文章【園友海鳥-介紹Basic基礎(chǔ)認(rèn)證和Diges摘要認(rèn)證】。

無(wú)論何種方式，對(duì)于我們的應(yīng)用程序我們都需要在業(yè)務(wù)層使用基于憑證的用戶認(rèn)證，因?yàn)槭强蛻舳艘环降男枨?，所以客戶端需要明確基礎(chǔ)驗(yàn)證，基礎(chǔ)認(rèn)證（Basic）非常簡(jiǎn)單并且支持任何Web客戶端，但是基礎(chǔ)驗(yàn)證的缺點(diǎn)是不安全，通過使用SSL則可以進(jìn)行加密就可以在一定程度上保證了安全，如果是對(duì)于一般的應(yīng)用程序通過基礎(chǔ)認(rèn)證只是進(jìn)行編碼而未加密也可以說是安全的。我們還是看看上一節(jié)所給圖片

通過上述圖片的粗略信息我們可以看出在請(qǐng)求到Action方法之間要經(jīng)過Web API消息處理管道，在請(qǐng)求到目標(biāo)元素之前要經(jīng)過HttpMessageHandler和認(rèn)證過濾器，所以我們可以通過這兩者來(lái)自定義實(shí)現(xiàn)認(rèn)證。下面我們一一來(lái)看。
基于Web API的認(rèn)證過濾器(AuthorizationFilterAttribute)實(shí)現(xiàn)認(rèn)證
***步

我們自定義一個(gè)認(rèn)證身份（用戶名和密碼）的類，那么此類必須也就要繼承于 GenericIdentity ，既然是基于基礎(chǔ)驗(yàn)證，那么類型當(dāng)然也就是Basic了。

public class BasicAuthenticationIdentity : GenericIdentity 
{ 
public string Password { get; set; } 
public BasicAuthenticationIdentity(string name, string password) 
: base(name, "Basic") 
{ 
this.Password = password; 
} 
} 

第二步

我們要自定義一個(gè)認(rèn)證過濾器特性，并繼承 AuthorizationFilterAttribute ，此時(shí)會(huì)變成如下：

public class BasicAuthenticationFilter : AuthorizationFilterAttribute 
{ 
public override void OnAuthorization(HttpActionContext actionContext) 
{} 
} 

那么在這個(gè)重寫的方法我們應(yīng)該寫什么呢？我們慢慢來(lái)分析！請(qǐng)往下看。

解析請(qǐng)求報(bào)文頭

首先對(duì)于客戶單發(fā)送過來(lái)的請(qǐng)求我們肯定是需要獲得請(qǐng)求報(bào)頭，然后解析請(qǐng)求報(bào)頭中的Authorization，若此時(shí)其參數(shù)為空，我們將返回到客戶端，并發(fā)起質(zhì)詢。

 string authParameter = null; 
 
var authValue = actionContext.Request.Headers.Authorization; //actionContext：Action方法請(qǐng)求上下文 
if (authValue != null && authValue.Scheme == "Basic") 
authParameter = authValue.Parameter; //authparameter:獲取請(qǐng)求中經(jīng)過Base64編碼的（用戶：密碼） 
 
if (string.IsNullOrEmpty(authParameter)) 
 
return null; 
次之，若此時(shí)認(rèn)證中的參數(shù)不為空并開始對(duì)其進(jìn)行編碼，并返回一個(gè)BasicAuthenticationIdentity對(duì)象，若此時(shí)對(duì)象為空，則同樣返回到客戶端，并發(fā)起質(zhì)詢

uthParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); //對(duì)編碼的參數(shù)進(jìn)行解碼 
 
var authToken = authParameter.Split(':'); //解碼后的參數(shù)格式為（用戶名：密碼）將其進(jìn)行分割 
if (authToken.Length < 2) 
return null; 
 
return new BasicAuthenticationIdentity(authToken[0], authToken[1]); //將分割的用戶名和密碼傳遞給此類構(gòu)造函數(shù)進(jìn)行初始化 

***，我們將上述兩者封裝為一個(gè)ParseHeader方法以便進(jìn)行調(diào)用

 public virtual BasicAuthenticationIdentity ParseHeader(HttpActionContext actionContext) 
{ 
string authParameter = null; 
 
var authValue = actionContext.Request.Headers.Authorization; 
if (authValue != null && authValue.Scheme == "Basic") 
authParameter = authValue.Parameter; 
 
if (string.IsNullOrEmpty(authParameter)) 
 
return null; 
 
authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
 
var authToken = authParameter.Split(':'); 
if (authToken.Length < 2) 
return null; 
 
return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 
} 

接下來(lái)我們將認(rèn)證未通過而需要發(fā)起認(rèn)證質(zhì)詢，我們將其封裝為一個(gè)方法Challenge

void Challenge(HttpActionContext actionContext) 
{ 
var host = actionContext.Request.RequestUri.DnsSafeHost; 
actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized); 
actionContext.Response.Headers.Add("WWW-Authenticate", string.Format("Basic realm=\"{0}\"", host)); 
 
}  

定義一個(gè)方法便于對(duì)用戶名和密碼進(jìn)行校驗(yàn)，并將其修飾為虛方法，以免后續(xù)要添加其他有關(guān)用戶數(shù)

 public virtual bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) 
{ 
if (string.IsNullOrEmpty(userName) || string.IsNullOrEmpty(userPassword)) 
 
return false; 
else 
return true; 
 
} 

在認(rèn)證成功后將認(rèn)證身份設(shè)置給當(dāng)前線程中Principal屬性

ar principal = new GenericPrincipal(identity, null); 
 
Thread.CurrentPrincipal = principal; 
 
//下面是針對(duì)ASP.NET而設(shè)置 
//if (HttpContext.Current != null) 
// HttpContext.Current.User = principal; 

第三步

一切已經(jīng)就緒，此時(shí)在重寫方法中進(jìn)行相應(yīng)的調(diào)用即可，如下：

 [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)] 
public class BasicAuthenticationFilter : AuthorizationFilterAttribute 
{ 
public override void OnAuthorization(HttpActionContext actionContext) 
{ 
var userIdentity = ParseHeader(actionContext); 
if (userIdentity == null) 
{ 
Challenge(actionContext); 
return; 
} 
 
if (!OnAuthorize(userIdentity.Name, userIdentity.Password, actionContext)) 
{ 
Challenge(actionContext); 
return; 
} 
 
var principal = new GenericPrincipal(userIdentity, null); 
 
Thread.CurrentPrincipal = principal; 
 
base.OnAuthorization(actionContext); 
} 

 #p#

第四步

自定義 CustomBasicAuthenticationFilter 并繼承于 BasicAuthenticationFilter ，重寫其虛方法。

 public class CustomBasicAuthenticationFilter : BasicAuthenticationFilter 
{ 
public override bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) 
{ 
if (userName == "xpy0928" && userPassword == "cnblogs") 
 
return true; 
else 
return false; 
 
} 
} 

***一步

注冊(cè)自定義認(rèn)證特性并進(jìn)行調(diào)用

 config.Filters.Add(new CustomBasicAuthenticationFilter()); 
 
[CustomBasicAuthenticationFilter] 
public class ProductController : ApiController 
{....} 

至此對(duì)于其認(rèn)證方式就已經(jīng)完全實(shí)現(xiàn)，接下來(lái)我們通過【搜狗瀏覽器】來(lái)驗(yàn)收我們的成果。

看到如下認(rèn)證其用戶名和密碼的圖片，我們知道我們成功了一半

我們點(diǎn)擊取消，觀察是否返回401并添加質(zhì)詢頭即WWW-Authenticate，如我們所料

我們輸入正確的用戶名和密碼再試試看，結(jié)果認(rèn)證成功，如下：

基于Web API的消息處理管道(HttpMessageHandler)實(shí)現(xiàn)認(rèn)證

我們知道HttpMessageHandler是Web API中請(qǐng)求-響應(yīng)中的消息處理管道的重要角色，但是真正實(shí)現(xiàn)管道串聯(lián)的是DelegatingHandler，若你不懂Web API消息管道，請(qǐng)參考前面系列文章，所以我們可以自定義管道來(lái)進(jìn)行攔截通過繼承DelegatingHandler。下面我們一步步來(lái)實(shí)現(xiàn)基于此管道的認(rèn)證。
***步

和***種方法一致不再敘述。
第二步

這一步當(dāng)然是自定義管道進(jìn)行處理并繼承DelegatingHandler，重載在此類中的SendAsync方法，通過獲得其請(qǐng)求并處理從而進(jìn)行響應(yīng)，若不懂此類中的具體實(shí)現(xiàn)，請(qǐng)參看前面系列文章。

同樣是我們需要根據(jù)請(qǐng)求來(lái)解析請(qǐng)求報(bào)頭，我們依然需要解析報(bào)頭方法，但是需要稍作修改

 public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) 
{ 
string authParameter = null; 
 
var authValue = requestMessage.Headers.Authorization; 
if (authValue != null && authValue.Scheme == "Basic") 
authParameter = authValue.Parameter; 
 
if (string.IsNullOrEmpty(authParameter)) 
 
return null; 
 
authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
 
var authToken = authParameter.Split(':'); 
if (authToken.Length < 2) 
return null; 
 
return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 
} 

此時(shí)質(zhì)詢也得作相應(yīng)的修改，因?yàn)榇藭r(shí)不再是依賴于Action請(qǐng)求上下文，而是請(qǐng)求(HttpRequestMessage)和響應(yīng)(HttpResponseMessage)

 void Challenge(HttpRequestMessage request,HttpResponseMessage response) 
{ 
var host = request.RequestUri.DnsSafeHost; 
 
response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); 
 
} 

最終繼承自DelegatingHandler的代碼如

 public class BasicAuthenticationHandler : DelegatingHandler 
{ 
private const string authenticationHeader = "WWW-Authenticate"; 
protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) 
{ 
var crendentials = ParseHeader(request); 
 
if (crendentials != null) 
{ 
var identity = new BasicAuthenticationIdentity(crendentials.Name, crendentials.Password); 
 
var principal = new GenericPrincipal(identity, null); 
 
Thread.CurrentPrincipal = principal; 
 
//針對(duì)于ASP.NET設(shè)置 
//if (HttpContext.Current != null) 
// HttpContext.Current.User = principal; 
} 
 
return base.SendAsync(request, cancellationToken).ContinueWith(task => { 
var response = task.Result; 
if (crendentials == null && response.StatusCode == HttpStatusCode.Unauthorized) 
{ 
Challenge(request, response); 
} 
 
return response; 
}); 
 
} 
 
void Challenge(HttpRequestMessage request,HttpResponseMessage response) 
{ 
var host = request.RequestUri.DnsSafeHost; 
 
response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); 
 
} 
 
public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) 
{ 
string authParameter = null; 
 
var authValue = requestMessage.Headers.Authorization; 
if (authValue != null && authValue.Scheme == "Basic") 
authParameter = authValue.Parameter; 
 
if (string.IsNullOrEmpty(authParameter)) 
 
return null; 
 
authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
 
var authToken = authParameter.Split(':'); 
if (authToken.Length < 2) 
return null; 
 
return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 
} 
} 

#p#
第三步

上述我們自定義的BasicAuthenticationFilter此時(shí)就得繼承 AuthorizeAttribute 該特性也是繼承于上述的 AuthorizationFilterAttribute ，我們需要利用AuthorizeAttribute中的 IsAuthorized 方法來(lái)驗(yàn)證當(dāng)前線程中的Principal是否已經(jīng)被授權(quán)。
 

 public class BasicAuthenticationFilter : AuthorizeAttribute 
{ 
protected override bool IsAuthorized(HttpActionContext actionContext) 
{ 
 
var identity = Thread.CurrentPrincipal.Identity; 
if (identity != null && HttpContext.Current != null) 
identity = HttpContext.Current.User.Identity; 
 
if (identity != null && identity.IsAuthenticated) 
{ 
 
var basicAuthIdentity = identity as BasicAuthenticationIdentity; 
 
//可以添加其他需要的業(yè)務(wù)邏輯驗(yàn)證代碼 
if (basicAuthIdentity.Name == "xpy0928" && basicAuthIdentity.Password == "cnblogs") 
{ 
return true; 
} 
} 
 
return false; 
 
} 
} 

通過 IsAuthorized 方法返回值來(lái)看，若為false，則返回401狀態(tài)碼，此時(shí)會(huì)觸發(fā) BasicAuthenticationHandler 中的質(zhì)詢，并且此方法里面主要是我們需要添加認(rèn)證用戶的業(yè)務(wù)邏輯代碼。同時(shí)我們也說過我們***種方法自定義實(shí)現(xiàn)的過濾器特性是 AuthorizationFilterAttribute （如果我們有更多邏輯使用這個(gè)特性是個(gè)不錯(cuò)的選擇），而在這里是 AuthorizeAttribute （對(duì)于驗(yàn)證用戶并且返回bool值使用此過濾器特性是個(gè)不錯(cuò)的選擇）。
第四步

注冊(cè)自定義管道以及認(rèn)證過濾器特性

config.MessageHandlers.Add(new BasicAuthenticationHandler()); 
config.Filters.Add(new BasicAuthenticationFilter()); 

***一步

[BasicAuthenticationFilter]
public class ProductController : ApiController
{.....}

下面我們通過【360極速瀏覽器】來(lái)驗(yàn)收成果。點(diǎn)擊按鈕直接請(qǐng)求控制器

接下來(lái)取消，是否返回401

至此***結(jié)束。
總結(jié)
用認(rèn)證特性(AuthorizationFilterAttribute)還是HttpMessageHandler實(shí)現(xiàn)認(rèn)證，這是一個(gè)問題?
通過比較這二者的實(shí)現(xiàn)操作在實(shí)現(xiàn)方式上明顯有極大的不同，個(gè)人覺得用AuthorizationFilterAttribute來(lái)實(shí)現(xiàn)認(rèn)證是更加簡(jiǎn)單并且緊湊，因?yàn)閷?shí)現(xiàn)的每一處都在每一個(gè)地方，在大多數(shù)實(shí)現(xiàn)自定義登陸的場(chǎng)景下，對(duì)于用過濾器如此緊湊的業(yè)務(wù)邏輯用這個(gè)更加高效， 用HttpMessageHandler的優(yōu)點(diǎn)是全局應(yīng)用且是Web API消息處理管道的一部分，如果對(duì)于不同的部分要用不同的認(rèn)證那么用HttpMessageHandler效果更好，但是此時(shí)你需要自定義一個(gè)過濾器，尤其是當(dāng)MessageHandler對(duì)于一個(gè)認(rèn)證需要一個(gè)過濾器的時(shí)候。所以綜上所述，根據(jù)不同的應(yīng)用場(chǎng)景我們應(yīng)該選擇對(duì)應(yīng)的方式來(lái)實(shí)現(xiàn)認(rèn)證。