Microsoft MVC 4、APIControllerと適切なRESTfulログインWebサービス

Question

Microsoft ASP.NET MVC 4 ApiControllerを使用して、簡単なRESTful Webサービス（GETのみ）を作成しました。

今、私はサービスの認証システムを実装する正しい方法を探しています。 FormsAuthenticationを組み込みにしたくないのは知っています.WSを使っているすべてのアプリケーションに一意のログインページを持たせたくないからです。さらに、RESTfulなパラダイムを壊し、リダイレクトを強制し、クライアントに適切な401ステータスコードを通知しません。

だから私は私のweb.configから次の行を削除無効FormsAuthenticationを持っている：

<authentication mode="Forms"> 
    <forms loginUrl="~/Account/Login" timeout="2880" /> 
</authentication> 

と、次の追加：

<modules runAllManagedModulesForAllRequests="true"> 
    <remove name="FormsAuthentication" /> 
</modules> 

を私はすでに、ユーザーのログインを管理するためのApiControllerを持って、その基本的にチェック資格は自分のデータベースに対して返され、ユーザーが返されます。資格情報が有効でない場合は401が返されます。

MembershipとAuthorization APIを実装する必要があることを読んだことがありますが、最初からやり直すのに役立つものは何も見つかりませんでした。 アイデアはありますか？データベース上でクッキーや認証コードを管理する必要がありますか、それとも私のためにはFormsAuthenticationと同じクラスですか？

Answer 1

私は解決策を見つけました。私は基本的にMicrosoftによってexampleに示された回避策を使用しました。

1. App_Startという名前のフォルダを作成します。
2. twoclassesを適切な名前空間に置きます。
3. FormsAuthenticationと追加された要求/応答処理システムが残りの処理を行います。

私は401応答では "コンテンツはここに移動" 好きではなかったので、私はOnEndRequest方法をこのように編集しました：

private void OnEndRequest(object source, EventArgs args) 
    { 
     var context = (HttpApplication)source; 
     var response = context.Response; 

     if (context.Context.Items.Contains("__WEBAPI:Authentication-Fixup")) 
     { 
      response.StatusCode = (int)context.Context.Items[FixupKey]; 
      response.RedirectLocation = null; 
      // Clear the page content, since I don't want the "Content moved here." body 
      response.ClearContent(); 
     } 
    } 

参考文献：

• http://netmvc.blogspot.it/2012/03/aspnet-mvc-4-webapi-authorization.html
を

Answer 2

認証を処理するためにcustom message handlerを書くことができます。 Dominick Baierは、詳細を掘り下げた優秀なseries of blog postsを書いた。

Answer 3

これをチェックアウトするproject on github。 ASP.NET Web APIにセキュリティを追加するための例がいくつか用意されています。サポートされているセキュリティモデルの1つは基本認証です。これはあなたの質問に記述されているようです。