【Web API2】ASP.NET Web API Security
2016-07-05 18:15
465 查看
实现安全的方式既可以是host提供,也可以框架提供。
1,HTTP Module 方式,工作在IIS上,所以web api要托管在IIS上才行。其作用于HTTP管道的最前端,所以这种方式影响的是全局,对每一个请求都要拦截,因此弹性不足。
2,OWIN Middleware,Owin是新一代Asp.Net Web开发架构,有着非常简单的规范定义,目标是用于解耦Web Server和Web Application.,不再依赖System.Web,Middleware也是属于请求拦截器,类似HTTP Module,会拦截所有的请求,影响全局。其作用于OWIN pipeline(因此需要满足OWIN标准的web服务器支持),Web API 2框架也支持这种方式。中间件的好处是可在不同框架中通用,例如MVC,同时OWIN解耦了web服务器(IIS),因此中间件可以在自托管或者非IIS上使用。当然也支持微软自家的IIS,前提是(IIS-integrated) ASP.NET pipeline。
中间件的注册
要忽略host level的中间件,可以使用如下方法
这里的host其实是一个进程,owin程序的载体,目前有三种(IIS/ASP.NET,[b]Custom Host,[b]OwinHost.exe[/b][/b]),Server的作用是open a network socket, listen for requests, and send them through the pipeline of OWIN components specified by the user。目前server有两种实现Microsoft.Owin.Host.SystemWeb和[b]Microsoft.Owin.Host.HttpListener[/b]
参考:http://www.asp.net/aspnet/overview/owin-and-katana/an-overview-of-project-katana
owin托管在IIS中(需要Microsoft.Owin.Host.SystemWeb.dll支持)
3,Message Handler方式,前两种都是属于host提供的方式,而Message Handler是web api框架提供的。他不依赖host或者server。但是它的作用粒度还是不够细,只能作用于全局或者特定的路由。
作用范围实例:
4,Filter方式,这类似MVC过滤器概念。同样是由web api框架提供的,不依赖host或者server,可以作用于全局、控制器、Action级别。
请求顺序是:先经过认证过滤器(authentication filters),再经过授权过滤器(authorization filters)
设计认证过滤器的原则是:仅负责验证凭据(only responsibility of validating the credential)
如果凭证不存在,则忽略(不处理匿名请求),如果存在但是验证失败,则返回unauthorized(context.ErrorResult=UnauthorizedResult)
如果存在并验证通过,则设置context.Principal,这个属性是IPrincipal的实现,是基于角色的的访问控制,而不是Claims-based的
全局作用范围注册方法:
注意示例中的继承关系
ClaimsAuthorizeAttribute继承自System.Web.Http.AuthorizeAttribute
AuthorizeAttribute继承自System.Web.Http.Filters.AuthorizationFilterAttribute
5,以上几种方式混合使用时,对于IIS,请求管道中顺序如下所示:
1,HTTP Module 方式,工作在IIS上,所以web api要托管在IIS上才行。其作用于HTTP管道的最前端,所以这种方式影响的是全局,对每一个请求都要拦截,因此弹性不足。
2,OWIN Middleware,Owin是新一代Asp.Net Web开发架构,有着非常简单的规范定义,目标是用于解耦Web Server和Web Application.,不再依赖System.Web,Middleware也是属于请求拦截器,类似HTTP Module,会拦截所有的请求,影响全局。其作用于OWIN pipeline(因此需要满足OWIN标准的web服务器支持),Web API 2框架也支持这种方式。中间件的好处是可在不同框架中通用,例如MVC,同时OWIN解耦了web服务器(IIS),因此中间件可以在自托管或者非IIS上使用。当然也支持微软自家的IIS,前提是(IIS-integrated) ASP.NET pipeline。
中间件的注册
using Owin;
public class Startup
{
public void Configuration(IAppBuilder app)
{
app.Use<AuthenticationMiddleware>();
app.Use<CacheMiddleware>();
}
}要忽略host level的中间件,可以使用如下方法
public static class WebApiConfig
{
public static void Register(HttpConfiguration config)
{
// Web API configuration and services
// Web API routes
config.MapHttpAttributeRoutes();
config.Routes.MapHttpRoute(
name: "DefaultApi",
routeTemplate: "api/{controller}/{id}",
defaults: new { id = RouteParameter.Optional }
);
config.SuppressDefaultHostAuthentication();//忽略host默认的认证方式
}
}这里的host其实是一个进程,owin程序的载体,目前有三种(IIS/ASP.NET,[b]Custom Host,[b]OwinHost.exe[/b][/b]),Server的作用是open a network socket, listen for requests, and send them through the pipeline of OWIN components specified by the user。目前server有两种实现Microsoft.Owin.Host.SystemWeb和[b]Microsoft.Owin.Host.HttpListener[/b]
参考:http://www.asp.net/aspnet/overview/owin-and-katana/an-overview-of-project-katana
owin托管在IIS中(需要Microsoft.Owin.Host.SystemWeb.dll支持)
3,Message Handler方式,前两种都是属于host提供的方式,而Message Handler是web api框架提供的。他不依赖host或者server。但是它的作用粒度还是不够细,只能作用于全局或者特定的路由。
作用范围实例:
public static class WebApiConfig
{
public static void Register(HttpConfiguration config)
{
config.Routes.MapHttpRoute(
name: "Route1",
routeTemplate: "api/{controller}/{id}",
defaults: new { id = RouteParameter.Optional }
);
config.Routes.MapHttpRoute(
name: "Route2",
routeTemplate: "api2/{controller}/{id}",
defaults: new { id = RouteParameter.Optional },
constraints: null,
handler: new MessageHandler2() // per-route message handler,特定路由
);
config.MessageHandlers.Add(new MessageHandler1()); // global message handler,全局
}
}4,Filter方式,这类似MVC过滤器概念。同样是由web api框架提供的,不依赖host或者server,可以作用于全局、控制器、Action级别。
请求顺序是:先经过认证过滤器(authentication filters),再经过授权过滤器(authorization filters)
设计认证过滤器的原则是:仅负责验证凭据(only responsibility of validating the credential)
如果凭证不存在,则忽略(不处理匿名请求),如果存在但是验证失败,则返回unauthorized(context.ErrorResult=UnauthorizedResult)
如果存在并验证通过,则设置context.Principal,这个属性是IPrincipal的实现,是基于角色的的访问控制,而不是Claims-based的
全局作用范围注册方法:
public static void Register(HttpConfiguration config)
{
config.Routes.MapHttpRoute(
name: “DefaultApi”,
routeTemplate: “api/{controller}/{id}”,
defaults: new { id = RouteParameter.Optional }
);
// add global authorization filter
config.Filters.Add(new ClaimsAuthorizeAttribute());
}注意示例中的继承关系
ClaimsAuthorizeAttribute继承自System.Web.Http.AuthorizeAttribute
AuthorizeAttribute继承自System.Web.Http.Filters.AuthorizationFilterAttribute
5,以上几种方式混合使用时,对于IIS,请求管道中顺序如下所示:
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 基于.Net Framework 4.0 Web API开发(3):ASP.NET Web APIs 异常的统一处理Attribute 和统一写Log 的Attribute的实现
- 未将对象引用设置到对象实例(转)
- ASP.NET MVC Html.BeginForm
- asp.net spring.net+mvc 和j2ee spring mvc的思考
- 微信公众号token的asp.net脚本
- 搭建你的Spring.Net+Nhibernate+Asp.Net Mvc 框架 (六)写在后面的话
- 搭建你的Spring.Net+Nhibernate+Asp.Net Mvc 框架 (五)测试你的成果
- 搭建你的Spring.Net+Nhibernate+Asp.Net Mvc 框架 (四)配置全攻略
- 搭建你的Spring.Net+Nhibernate+Asp.Net Mvc 框架 (三)实现数据库接口层和业务逻辑层
- 搭建你的Spring.Net+Nhibernate+Asp.Net Mvc 框架 (二)创建你的项目
- 让整个table居于页面正中,(上下左右居中)。
- 搭建你的Spring.Net+Nhibernate+Asp.Net Mvc 框架 (一)搭建你的环境
- ASP.NET Core 介绍
- ASP.NET Core 介绍
- asp.net : 拒绝频繁的IP访问
- 使用jasperreports-5.6.0.jar导致的问题
- ASP.NET的缓存机制
- Android AOP 之AspectJ(一)
- asp.net Core开启全新的时代,用视频来告诉你,学习就是这么SO easy。
- 『ExtJS』表单(二)表单行为与Asp.NET页面的消息回复