Autenticação de usuário na API da Web do ASP.NET

Este tópico tem sido incrivelmente confuso para mim. Sou iniciante em aplicativos HTTP, mas preciso desenvolver um cliente do iPhone que consuma dados JSON de algum lugar. Eu escolhi a Web API da MS porque parecia bastante fácil, mas quando se trata de autenticar usuários, as coisas ficam bastante frustrantes.

Surpreende-me como não consegui encontrar um exemplo claro de como autenticar um usuário desde a tela de login até usar o Authorizeatributo nos meus ApiControllermétodos após várias horas pesquisando no Google.

Esta não é uma pergunta, mas uma solicitação de um exemplo de como fazer isso exatamente. Eu olhei para as seguintes páginas:

• Protegendo a API da Web do ASP.NET
• Autenticação básica com a API da Web do ASP.NET

Embora eles expliquem como lidar com solicitações não autorizadas, elas não demonstram claramente algo parecido com LoginControlleralgo assim para solicitar credenciais do usuário e validá-las.

Alguém disposto a escrever um bom exemplo simples ou me indicar a direção certa, por favor?

Obrigado.

Surpreende-me como não consegui encontrar um exemplo claro de como autenticar um usuário desde a tela de login até o uso do atributo Authorize nos meus métodos ApiController após várias horas pesquisando no Google.

Isso ocorre porque você está ficando confuso com esses dois conceitos:

• A autenticação é o mecanismo pelo qual os sistemas podem identificar com segurança seus usuários. Os sistemas de autenticação fornecem respostas para as perguntas:

  • Quem é o usuário?
  • O usuário é realmente quem ele / ela representa?

• Autorização é o mecanismo pelo qual um sistema determina qual nível de acesso um usuário autenticado específico deve ter para proteger recursos controlados pelo sistema. Por exemplo, um sistema de gerenciamento de banco de dados pode ser projetado para fornecer a certos indivíduos especificados a capacidade de recuperar informações de um banco de dados, mas não a capacidade de alterar dados armazenados no banco de dados, enquanto oferece a outros indivíduos a capacidade de alterar dados. Os sistemas de autorização fornecem respostas para as perguntas:

  • O usuário X está autorizado a acessar o recurso R?
  • O usuário X está autorizado a executar a operação P?
  • O usuário X está autorizado a executar a operação P no recurso R?

O Authorizeatributo no MVC é usado para aplicar regras de acesso, por exemplo:

 [System.Web.Http.Authorize(Roles = "Admin, Super User")]
 public ActionResult AdministratorsOnly()
 {
     return View();
 }

A regra acima permitirá que apenas usuários nas funções de administrador e superusuário acessem o método

Essas regras também podem ser definidas no arquivo web.config, usando o locationelemento Exemplo:

  <location path="Home/AdministratorsOnly">
    <system.web>
      <authorization>
        <allow roles="Administrators"/>
        <deny users="*"/>
      </authorization>
    </system.web>
  </location>

No entanto, antes que essas regras de autorização sejam executadas, você deve estar autenticado no site atual .

Embora eles expliquem como lidar com solicitações não autorizadas, elas não demonstram claramente algo como um LoginController ou algo parecido para solicitar credenciais de usuário e validá-las.

A partir daqui, poderíamos dividir o problema em dois:

• Autenticar usuários ao consumir os serviços de API da Web no mesmo aplicativo da Web

  Essa seria a abordagem mais simples, porque você confiaria na autenticação no ASP.Net

  Este é um exemplo simples:

  Web.config

  <authentication mode="Forms">
    <forms
      protection="All"
      slidingExpiration="true"
      loginUrl="account/login"
      cookieless="UseCookies"
      enableCrossAppRedirects="false"
      name="cookieName"
    />
  </authentication>
  

  Os usuários serão redirecionados para a rota da conta / login , onde você processaria controles personalizados para solicitar credenciais do usuário e, em seguida, você definiria o cookie de autenticação usando:

      if (ModelState.IsValid)
      {
          if (Membership.ValidateUser(model.UserName, model.Password))
          {
              FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
              return RedirectToAction("Index", "Home");
          }
          else
          {
              ModelState.AddModelError("", "The user name or password provided is incorrect.");
          }
      }
  
      // If we got this far, something failed, redisplay form
      return View(model);
  

• Autenticação multiplataforma

  Nesse caso, você estaria apenas expondo os serviços de API da Web no aplicativo Web; portanto, você teria outro cliente consumindo os serviços, o cliente poderia ser outro aplicativo da Web ou qualquer aplicativo .Net (Win Forms, WPF, console, serviço do Windows, etc)

  Por exemplo, suponha que você consumirá o serviço de API da Web de outro aplicativo Web no mesmo domínio de rede (dentro de uma intranet); nesse caso, você poderá confiar na autenticação do Windows fornecida pelo ASP.Net.

  <authentication mode="Windows" />

  Se seus serviços estiverem expostos na Internet, você precisará passar os tokens autenticados para cada serviço de API da Web.

  Para mais informações, consulte os seguintes artigos:

  • http://stevescodingblog.co.uk/basic-authentication-with-asp-net-webapi/

  • http://codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/

Se você deseja se autenticar com um nome de usuário e senha e sem um cookie de autorização , o atributo MVC4 Authorize não funcionará imediatamente . No entanto, você pode adicionar o seguinte método auxiliar ao seu controlador para aceitar cabeçalhos de autenticação básica. Chame desde o início dos métodos do seu controlador.

void EnsureAuthenticated(string role)
{
    string[] parts = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(Request.Headers.Authorization.Parameter)).Split(':');
    if (parts.Length != 2 || !Membership.ValidateUser(parts[0], parts[1]))
        throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "No account with that username and password"));
    if (role != null && !Roles.IsUserInRole(parts[0], role))
        throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "An administrator account is required"));
}

Do lado do cliente, esse auxiliar cria um HttpClientcom o cabeçalho de autenticação no lugar:

static HttpClient CreateBasicAuthenticationHttpClient(string userName, string password)
{
    var client = new HttpClient();
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", Convert.ToBase64String(UTF8Encoding.UTF8.GetBytes(userName + ':' + password)));
    return client;
}

Estou trabalhando em um projeto de MVC5 / API da Web e precisava obter autorização para os métodos da API da Web. Quando minha exibição de índice é carregada pela primeira vez, faço uma chamada para o método da API da Web 'token' que acredito ser criado automaticamente.

O código do lado do cliente (CoffeeScript) para obter o token é:

getAuthenticationToken = (username, password) ->
    dataToSend = "username=" + username + "&password=" + password
    dataToSend += "&grant_type=password"
    $.post("/token", dataToSend).success saveAccessToken

Se for bem-sucedido, o seguinte é chamado, o que salva o token de autenticação localmente:

saveAccessToken = (response) ->
    window.authenticationToken = response.access_token

Então, se eu precisar fazer uma chamada do Ajax para um método de API da Web que tenha a tag [Authorize], basta adicionar o seguinte cabeçalho à minha chamada do Ajax:

{ "Authorization": "Bearer " + window.authenticationToken }