Asp.Net web api基于自定义Filter的安全认证

对第三方开放的接口，处于安全的考虑需要对其进行安全认证，是否是合法的请求。目前在项目中也遇到这种情况，提供的接口因为涉及到客户铭感数据，所以在调用的时候，不能直接暴露，需要有一个认证的机制。所以对接口安全认证的方式，进行了调研，这里提供一个自定义安全认证的Filter例子。

在mvc中，如果需要对某个页面如果用户不登录则无法访问，我们的做法可能是校验session或者使用特性[Authorize]

    [Authorize]    public class UserController : Controller
    {        // GET: User
        public ActionResult Index()
        {            //if (Session["user"]==null)            
        //{            //    return RedirectToAction("login");            
        //}
            return View();
        }
    }

在mvc中，这种认证方式基于windows或者form认证。但在提供web api给移动端app调用的时候，windows或者form认证就不太合适了。但我们可以自定义一种filter对当前访问的用户进行认证。

自定义Filter特性

    /// 

    /// 基于http basic认证    /// 
    public class CustomerBasicAuthrizeAttribute : AuthorizationFilterAttribute
    {        //重写OnAuthorization 方法

        public override void onAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {            //如果action带有允许匿名访问的特性，则直接返回，不再进行安全认证
            if (actionContext.ActionDescriptor.GetCustomAttributes().Any())
            {                return;
            }            if (actionContext.Request.Headers.Authorization != null)
            {                if (actionContext.Request.Headers.Authorization.Scheme != "Basic")
                {
                    actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                        new HttpException("no token"));
                }                else
                {                    string base64Para = actionContext.Request.Headers.Authorization.Parameter;                    
                //解码base64字符串
                    byte[] buffer = Convert.Frombase64String(base64Para);                    
                    string decodebase64 = Encoding.UTF8.GetString(buffer);                    
                    if (!string.IsNullOrEmpty(decodebase64))
                    {                        string[] paras = decodebase64.Split(':');                        
                    if (paras.Length > 0)
                        {                            string userName = paras[0];                            string pwd = paras[1];                            if (userName == "wolfy" && pwd == "123456")
                            {
                            }                            else
                            {
                                actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                                    new HttpException("userName or pwd is error."));
                            }
                        }                        else
                        {
                            actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                                new HttpException("no token"));
                        }

                    }                    else
                    {
                        actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                            new HttpException("no token"));
                    }
                }

            }            else
            {
                actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                   
                 new HttpException("no Authorization header"));
            }            base.onAuthorization(actionContext);
        }
    }

使用postman测试

认证成功

第三方调用的时候，可以为其生成一对appname和appsecret放在供客户端进行使用。客户端使用的时候在请求头的Authorization中添加base64字符串就可以了。对于basic对应的值，是base64字符串，如果感觉还不安全可以尝试使用SSL方式。