Web API 基於ASP.NET Identity的Basic Authentication

　　今天給大家分享在Web API下，如何利用ASP.NET Identity實現基本認證（Basic Authentication），在博客園子搜索了一圈Web API的基本認證，基本都是做的Forms認證，很少有Claims認證（聲明式認證），而我們在用ASP.NET Identity實現登錄，認證，授權的時候采用的是Claims認證。

　　在Web API2.0中認證接口為IAuthenticationFilter，我們只需實現該接口就行。創建BasicAuthenticationAttribute抽象基類，實現IAuthenticationFilter接口：

public abstract class BasicAuthenticationAttribute : Attribute, IAuthenticationFilter 
    {
        protected abstract Task<IPrincipal> AuthenticateAsync(string userName, string password, HttpAuthenticationContext context,
            CancellationToken cancellationToken);
        public async Task AuthenticateAsync(HttpAuthenticationContext context, CancellationToken cancellationToken)
        {
            context.Principal = null;
            AuthenticationHeaderValue authenticationHeader = context.Request.Headers.Authorization;
            if (authenticationHeader != null && authenticationHeader.Scheme == "Basic")
            {
                if (!string.IsNullOrEmpty(authenticationHeader.Parameter))
                {
                    Tuple<string, string> data = GetUserNameAndPassword(authenticationHeader.Parameter);
                    context.Principal = await AuthenticateAsync(data.Item1, data.Item2,context, cancellationToken);
                }
            }

            if (context.Principal == null)
            {
                context.ErrorResult = new UnauthorizedResult(new[] {new AuthenticationHeaderValue("Basic")},
                    context.Request);
            }
        }
        public Task ChallengeAsync(HttpAuthenticationChallengeContext context, CancellationToken cancellationToken)
        {
            return Task.FromResult(0);
        }
        public bool AllowMultiple
        {
            get { return false; }
        }
        private Tuple<string, string> GetUserNameAndPassword(string authenticationParameter)
        {
            if (!string.IsNullOrEmpty(authenticationParameter))
            {
                var data = Encoding.ASCII.GetString(Convert.FromBase64String(authenticationParameter)).Split(':');
                return new Tuple<string, string>(data[0], data[1]);
            }
            return null;
        }
    }

其中Task<IPrincipal> AuthenticateAsync(string userName, string password, HttpAuthenticationContext context, CancellationToken cancellationToken)方法為抽象方法，用戶可以重載實現自己的認證方式，Forms認證，Windows認證，Claims認證等等都可以。

 AuthenticationHeaderValue authenticationHeader= context.Request.Headers.Authorization用於獲取HTTP請求頭部的認證信息。

 authenticationHeader.Scheme == "Basic"用於指定認證模式為基本認證。

authenticationHeader.Parameter用戶獲取用戶加密過后的用戶名和密碼。

如果認證不為空，且是Basic認證，頭部參數不為空，則調用認證的具體代碼，如果認證不通過，則調用HTTP認證上下文的ErroResult屬性：

 context.ErrorResult = new UnauthorizedResult(new[] {new AuthenticationHeaderValue("Basic")},context.Request);設置了該屬性，瀏覽器則自動彈出用戶登錄的窗口。要想瀏覽器自動彈出登錄窗口，必須在WebApiConfig配置類中指定令牌身份驗證，即調用如下代碼：config.Filters.Add(new HostAuthenticationFilter(OAuthDefaults.AuthenticationType))；否則無法彈出登錄窗體。

Task ChallengeAsync(HttpAuthenticationChallengeContext context, CancellationToken cancellationToken)方法在認證通過成功和失敗后都會調用此方法，你可以在這里實現自己想要的邏輯，比如設置context.ErrorResult屬性，在這里就不做處理了，因為AuthenticateAsync方法已經做了處理了。

GetUserNameAndPassword方法用於處理加密過后的用戶名和密碼。

接下來就是實現自己的認證邏輯了，這里采用Asp.net Identity的Claims認證。

 public class IdentityBasicAuthenticationAttribute : BasicAuthenticationAttribute
    {
        protected override async Task<IPrincipal> AuthenticateAsync(string userName, string password,
            HttpAuthenticationContext context, CancellationToken cancellationToken)
        {
            IPrincipal principal = null;
            var userManager = context.Request.GetOwinContext().GetUserManager<AppUserManager>();
            var user = await userManager.FindAsync(userName, password);
            if (user != null)
            {
                ClaimsIdentity identity =
                    await userManager.CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie);
                ClaimsPrincipal claimsPrincipal = new ClaimsPrincipal(identity);
                principal = claimsPrincipal;
            }
            return principal;
        }
    }

var userManager = context.Request.GetOwinContext().GetUserManager<AppUserManager>()用於當前的用戶管理器，用戶的增刪改查操作都依賴於此對象。

var user = await userManager.FindAsync(userName, password)用戶根據用戶名和密碼找到用戶。

ClaimsIdentity identity = await userManager.CreateIdentityAsync(user, DefaultAuthenticationTypes.ApplicationCookie)創建用戶，然后 通過ClaimsPrincipal claimsPrincipal = new ClaimsPrincipal(identity)創建聲明，並且返回認證類型。

至於如何創建UserManager，如何通過Entityframwork來生成Asp.net Identity用戶，角色和認證相關表，這里就不多說了，園子里面多的去了。

記得在登錄代碼中把用戶名和密碼加密后放到Cookie中，登陸后，在訪問某個需要認證的Action時候記得在HTTP請求頭部中寫入Cookie信息，這樣認證的Filter才能取到用戶信息，登錄創建Cookie代碼片段如下：

            CookieHeaderValue cookie = new CookieHeaderValue("userToken", authorization)
                    {
                        Path = "/",
                        Domain = Request.RequestUri.Host,
                        Expires = DateTimeOffset.Now.AddDays(7)
                    };
                    responseMessage.Headers.AddCookies(new[] {cookie});

 客戶短AJax調用需要驗證的Action方法如下：

    function ajaxOp(url, type, data) {
        $.ajax({
            url: url,
            type: type,
            data: data,
            beforeSend: function(xhr) {
                xhr.setRequestHeader('Authorization', 'Basic ' + $.cookie("userToken"));
            }
        });
    }

 其中  beforeSend: function(xhr) {xhr.setRequestHeader('Authorization', 'Basic ' + $.cookie("userToken"))屬性設置用於獲取Cookie信息放到請求頭部。

需要調用的Action記得加上  [IdentityBasicAuthentication]特性。

好了，就到這里吧。