ASP.NET 웹 API의 사용자 인증

이 주제는 매우 혼란 스러웠습니다. 나는 HTTP 응용 프로그램의 신인이지만 어딘가에서 JSON 데이터를 사용하는 iPhone 클라이언트를 개발해야합니다. MS에서 Web API를 선택하는 것은 쉬운 것처럼 보였지만 사용자 인증과 관련하여 상당히 실망 스럽습니다.

몇 시간의 인터넷 검색 후 로그인 화면에서 사용자 Authorize속성 을 사용하는 ApiController방법에 이르기까지 사용자를 인증하는 방법에 대한 명확한 예를 찾을 수 없었던 방법에 놀랐습니다 .

이것은 질문이 아니라 이것을 정확히 수행하는 방법에 대한 예입니다. 다음 페이지를 살펴 보았습니다.

• ASP.NET 웹 API를 안전하게 만들기
• ASP.NET 웹 API를 사용한 기본 인증

이들은 승인되지 않은 요청을 처리하는 방법을 설명하지만 LoginController사용자 자격 증명을 요청하고 유효성을 검사하는 것과 같은 것을 명확하게 보여주지는 않습니다 .

좋은 간단한 예를 쓰거나 올바른 방향으로 나를 가리켜 줄 사람이 있습니까?

감사.

몇 시간의 인터넷 검색 후 로그인 화면에서 ApiController 메소드의 Authorize 속성을 사용하여 사용자 권한을 인증하는 방법에 대한 명확한 예를 찾지 못한 방법에 놀랐습니다.

이 두 가지 개념에 대해 혼란스러워하기 때문입니다.

• 인증은 시스템이 사용자를 안전하게 식별 할 수있는 메커니즘입니다. 인증 시스템은 다음과 같은 질문에 대한 답변을 제공합니다.

  • 사용자는 누구입니까?
  • 사용자는 실제로 자신을 대표하는 사람입니까?

• 권한 부여는 시스템이 특정 인증 된 사용자가 시스템에서 제어하는 ​​보안 리소스에 대해 어느 수준의 액세스 권한을 가져야하는지 결정하는 메커니즘입니다. 예를 들어, 데이터베이스 관리 시스템은 특정 개인에게 데이터베이스에서 정보를 검색 할 수 있지만 데이터베이스에 저장된 데이터를 변경하는 기능은 제공하지 않고 다른 개인에게는 데이터를 변경하는 기능을 제공하도록 설계 될 수 있습니다. 인증 시스템은 다음과 같은 질문에 대한 답변을 제공합니다.

  • 사용자 X는 자원 R에 액세스 할 권한이 있습니까?
  • 사용자 X에게 P 작업을 수행 할 권한이 있습니까?
  • 사용자 X는 자원 R에 대해 P 작업을 수행 할 권한이 있습니까?

AuthorizeMVC 의 속성은 다음과 같은 액세스 규칙을 적용하는 데 사용됩니다.

 [System.Web.Http.Authorize(Roles = "Admin, Super User")]
 public ActionResult AdministratorsOnly()
 {
     return View();
 }

위 규칙 에 따라 관리자 및 수퍼 유저 역할의 사용자 만 메소드에 액세스 할 수 있습니다

이 규칙은 location요소를 사용하여 web.config 파일에서 설정할 수도 있습니다 . 예:

  <location path="Home/AdministratorsOnly">
    <system.web>
      <authorization>
        <allow roles="Administrators"/>
        <deny users="*"/>
      </authorization>
    </system.web>
  </location>

그러나 이러한 권한 부여 규칙을 실행하기 전에 현재 웹 사이트에 대한 인증을 받아야 합니다 .

이것들은 무단 요청을 처리하는 방법을 설명하지만 LoginController와 같은 것을 보여 주거나 사용자 자격 증명을 요청하고 유효성을 검사하는 것과 같은 것을 분명히 보여주지는 않습니다.

여기에서 문제를 두 가지로 나눌 수 있습니다.

• 동일한 웹 애플리케이션에서 웹 API 서비스를 사용할 때 사용자를 인증하십시오.

  ASP.Net 의 인증에 의존하기 때문에 가장 간단한 방법입니다.

  이것은 간단한 예입니다.

  Web.config

  <authentication mode="Forms">
    <forms
      protection="All"
      slidingExpiration="true"
      loginUrl="account/login"
      cookieless="UseCookies"
      enableCrossAppRedirects="false"
      name="cookieName"
    />
  </authentication>

  사용자는 계정 / 로그인 경로 로 리디렉션되며 사용자 자격 증명을 요청하는 사용자 지정 컨트롤을 렌더링 한 후 다음을 사용하여 인증 쿠키를 설정합니다.

      if (ModelState.IsValid)
      {
          if (Membership.ValidateUser(model.UserName, model.Password))
          {
              FormsAuthentication.SetAuthCookie(model.UserName, model.RememberMe);
              return RedirectToAction("Index", "Home");
          }
          else
          {
              ModelState.AddModelError("", "The user name or password provided is incorrect.");
          }
      }
  
      // If we got this far, something failed, redisplay form
      return View(model);

• 크로스 플랫폼 인증

  이 경우는 웹 응용 프로그램 내에서만 웹 API 서비스를 노출 하는 경우 서비스를 소비하는 다른 클라이언트가 있고 클라이언트는 다른 웹 응용 프로그램 또는 .Net 응용 프로그램 (Win Forms, WPF, 콘솔, Windows 서비스, 기타)

  예를 들어, 동일한 네트워크 도메인 (인트라넷 내)의 다른 웹 응용 프로그램에서 웹 API 서비스를 사용한다고 가정합니다.이 경우 ASP.Net에서 제공하는 Windows 인증에 의존 할 수 있습니다.

  <authentication mode="Windows" />

  서비스가 인터넷에 노출되면 인증 된 토큰을 각 웹 API 서비스에 전달해야합니다.

  자세한 내용은 다음 기사를 참조하십시오.

  • http://stevescodingblog.co.uk/basic-authentication-with-asp-net-webapi/

  • http://codebetter.com/johnvpetersen/2012/04/02/making-your-asp-net-web-apis-secure/

당신이에 대해 인증하려면 사용자 이름과 암호 및 인증 쿠키 않고 는 MVC4 권한 부여의 속성은 상자 밖으로 작동하지 않습니다. 그러나 기본 인증 헤더를 승인하기 위해 컨트롤러에 다음 헬퍼 메소드를 추가 할 수 있습니다. 컨트롤러 메소드의 시작 부분에서 호출하십시오.

void EnsureAuthenticated(string role)
{
    string[] parts = UTF8Encoding.UTF8.GetString(Convert.FromBase64String(Request.Headers.Authorization.Parameter)).Split(':');
    if (parts.Length != 2 || !Membership.ValidateUser(parts[0], parts[1]))
        throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "No account with that username and password"));
    if (role != null && !Roles.IsUserInRole(parts[0], role))
        throw new HttpResponseException(Request.CreateErrorResponse(HttpStatusCode.Unauthorized, "An administrator account is required"));
}

클라이언트 측에서이 헬퍼 HttpClient는 인증 헤더를 사용하여를 작성합니다 .

static HttpClient CreateBasicAuthenticationHttpClient(string userName, string password)
{
    var client = new HttpClient();
    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("Basic", Convert.ToBase64String(UTF8Encoding.UTF8.GetBytes(userName + ':' + password)));
    return client;
}

MVC5 / Web API 프로젝트를 진행 중이며 Web Api 메서드에 대한 권한을 얻을 수 있어야했습니다. 인덱스보기가 처음로드되면 자동으로 생성되는 것으로 생각되는 '토큰'웹 API 메소드를 호출합니다.

토큰을 얻기위한 클라이언트 측 코드 (CoffeeScript)는 다음과 같습니다.

getAuthenticationToken = (username, password) ->
    dataToSend = "username=" + username + "&password=" + password
    dataToSend += "&grant_type=password"
    $.post("/token", dataToSend).success saveAccessToken

성공하면 다음을 호출하여 인증 토큰을 로컬로 저장합니다.

saveAccessToken = (response) ->
    window.authenticationToken = response.access_token

그런 다음 [Authorize] 태그가있는 웹 API 메소드에 대해 Ajax 호출을해야하는 경우 Ajax 호출에 다음 헤더를 추가하기 만하면됩니다.

{ "Authorization": "Bearer " + window.authenticationToken }