最近,在整理3S比赛
项目代码的时候,和老师讨论到数据库安全的问题,之前写的WebApi服务是没有加任何验证的,也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,在该项目中仅仅写了get
方法,可以匿名获取到数据。再加上put
、deleta
、post
方法即可去增删改查数据库,在实际项目的应用过程中是不可取的。
由于之前3S
项目的数据都是模拟数据,不是工业现场的真实数据,写一个简单的演示demo其WebApi不加任何验证也没什么不妥,不过最近实验室要给山西的氧化铝工厂做一个生产过程移动监控的APP,设计到工业数据的安全性问题,需要解决WebApi的身份验证问题。经过简单的了解学习,Asp.Net Identity
的引入为Asp.Net应用程序提供了一套统一的身份验证机制。
认证流程
这是一张Identity官方教程的图,认证的流程如下:
1.用户在客户端中输入账户和密码;
2.客户端将账户密码发送到授权服务器中;
3.授权服务器根据用户信息来生成一个token
;
4.客户端在http请求头中携带token
访问受限资源.
创建解决方案
1.使用Visual Studio(博主用的是VS2013)创建一个WebApi项目;
2.更改身份验证,选择“个人用户账户”。
如果此时不进行身份注册认证直接采用匿名方式模拟http请求去访问我们的服务接口,发现是无法访问的。
注册用户
默认的 WebApi 模板中,已经为我们创建了一些常用的 api 了,比如注册:
获取Token
使用刚刚注册好的账户和密码,发出如下请求:
返回请求的内容:
{
"access_token": "c_-F2k8exhBRc3FV8WQvU6ga796TXOSZhHDNn9-JzDYeTbJ3Zctf3AGXd53yoQdNoruJPetMqqQOKzyqR1t3YSplLxreDiQgNCCueZ5AsGP7PVLvaBe3s_5M0FZ8H-0pnLt0mW2QH5sB7DJ7zMuesQJ0q5euvfuK4VuYMkQ1vN_BHr0WHg9M4X7lPVU9D9tbP9M9tjQoyblx4-8_wjjpFYUSlwYgdWDoAQwhRSdWENWtmP2_D3iYPpxqSrrwsdud3XYMPCjMXI-vrcuu_OWDcBPKFBYmu8_Hfo21uC_1G7ZvYq0YhcJSa28lMA4a4dx_1gW1l9SD86VuMv6NbZ5Da5h1X0y2ETO2Pv26U-4Lfs6OjycvwYyBH4Pul5vDMQO0BNVkQaQLxloav6JlNPSCbIdnMssHxNuuP778u5-yddbl58KuL4FI1JdfmSq9_Kg08YjkjfauQKUgu5LBcB778A0mQqyTOMzUdRqz_ZRbw9c",
"token_type": "bearer",
"expires_in": 1209599,
"userName": "1@qq.com",
".issued": "Sat, 02 Jul 2016 06:05:34 GMT",
".expires": "Sat, 16 Jul 2016 06:05:34 GMT"
}
其中,access_token
, token_type
, expires_in
属性是 OAuth2
协议中定义的属性;其他属性是可以自定义的,可以在 ApplicationOAuthProvider
的 TokenEndpoint
方法中进行自定义操作.
访问受限制资源
将获取的的 access_token 值放到 http 的请求中,生成如下请求,进行对受限资源的访问:
Webapi的认证
StartUp
默认的 Startup.Auth.cs
文件中,启用了三种身份认证的方式,Asp.Net Identity
集成了 Owin
可以使用app.UserXXX
使用所需要的认证方式.
- 使用基于 Cookie 的传统表单验证;
- 使用第三方扩展登录;
- 使用基于 BearerToken 的登录方式,这也是本使用的方式;( BearerToken 与常见的第三方 Oauth 方式类似,但这是一种不记名的方式,也就是客户端无需提供 ClientId,ClientSecret)
OAuthBearerTokens
构造函数中 OAuthAuthorizationServerOptions
提供了一下配置:
// 针对基于 OAuth 的流配置应用程序
PublicClientId = "self";
OAuthOptions = new OAuthAuthorizationServerOptions
{
TokenEndpointPath = new PathString("/Token"),
Provider = new ApplicationOAuthProvider(PublicClientId),
AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
//在生产模式下设 AllowInsecureHttp = false
AllowInsecureHttp = true
};
- 生成 token 的地址为:http://localhost:port/token;
- 为 token 设置了失效时间为14天,失效后,再次访问受限的请求时为得到未授权的相应.
关于Bearer Token
token 是在服务器上生成,并加密,然后再发送到客户端;客户端访问受限资源时需要将 token 发送到服务器端,服务器端再将 token 进行解密;对于客户端来说这个 token 是无法被破解的; 对于服务器来说,token 就是一个用户的唯一标识符,任何人只要拥有了 token,就能获取用户的权限。
所以对于安全需求高的场景,为防止 token 被劫持,请对 api 的请求用 SSL/TSL 对 http 进行加密。
Reference
http://blog.wangtuyao.com/post/2014/10/29/working-with-web-api-and-asp-net-identity.html
网友评论