Microsoft MVC 4, APIController y un servicio web de inicio de sesión RESTful adecuado

Question

He creado un servicio web RESTful simple (solo GET, por ahora) utilizando Microsoft ASP.NET MVC 4 ApiController.

Ahora estoy buscando la forma correcta de implementar un sistema de autorización para el servicio. Sé que no quiero usar el FormsAuthentication incorporado, ya que no quiero tener una página de inicio de sesión única para todas las aplicaciones que usan mi WS; además, eso rompe el paradigma RESTful, forzando una redirección y no notificando al cliente con el código de estado apropiado 401.

Por eso ha desactivado FormsAuthentication borrar las siguientes líneas de mi web.config:

<authentication mode="Forms"> 
    <forms loginUrl="~/Account/Login" timeout="2880" /> 
</authentication> 

y añadiendo lo siguiente:

<modules runAllManagedModulesForAllRequests="true"> 
    <remove name="FormsAuthentication" /> 
</modules> 

Ya tengo una ApiController para gestionar el inicio de sesión del usuario, lo que básicamente cheques las credenciales en mi base de datos y devuelve el usuario o 401 si las credenciales no son válidas.

He leído que tengo que implementar la API Membership y Authorization, pero no encontré nada que me ayude desde el principio. ¿Tiene alguna idea? ¿Debo administrar cookies y authcodes en la base de datos o hay una clase similar al FormsAuthentication que lo hace por mí?

Answer 1

Encontré una solución, básicamente utilicé la solución que se muestra en el example de Microsoft.

1. Crea una carpeta llamada App_Start.
2. Ponga el twoclasses con los espacios de nombres adecuados.
3. FormsAuthentication y el sistema adicional de manejo de solicitud/respuesta harán el resto.

Dado que no me gusta el "Contenido trasladó aquí" en mi respuesta 401, he editado el método OnEndRequest esta manera:

private void OnEndRequest(object source, EventArgs args) 
    { 
     var context = (HttpApplication)source; 
     var response = context.Response; 

     if (context.Context.Items.Contains("__WEBAPI:Authentication-Fixup")) 
     { 
      response.StatusCode = (int)context.Context.Items[FixupKey]; 
      response.RedirectLocation = null; 
      // Clear the page content, since I don't want the "Content moved here." body 
      response.ClearContent(); 
     } 
    } 

Referencias:

• http://netmvc.blogspot.it/2012/03/aspnet-mvc-4-webapi-authorization.html

Answer 2

Puede escribir un custom message handler para gestionar la autenticación. Dominick Baier escribió en excelente series of blog posts que profundiza en los detalles.

Answer 3

Ver esto project on github. Han desarrollado algunas clases, con ejemplos, para agregar seguridad a ASP.NET Web API. Uno de los modelos de seguridad compatibles es la autenticación básica, que parece ser lo que está describiendo en su pregunta.