优点是逻辑简单明了、设置简单。

缺点显而易见,即使是BASE64后也是可见的明文,很容易被破解、非法利用,使用HTTPS是一个解决方案。

还有就是HTTP是无状态的,同一客户端每次都需要验证。

实现:

客户端在用户输入用户名及密码后,将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中,如当用户名为Parry,密码为123456时,客户端将用户名和密码用":"合并,并将合并后的字符串用BASE64加密,并于每次请求数据时,将密文附加于请求头(Request Header)中。

HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。

自定义属性HTTPBasicAuthorize ,继承AuthorizeAttribute,并实现两个方法:OnAuthorization和HandleUnauthorizedRequest。

   public class HTTPBasicAuthorizeAttribute : System.Web.Http.AuthorizeAttribute

    {

        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)

        {

            if (actionContext.Request.Headers.Authorization != null)

            {

          //对客户端进行BASE64后的字符串再解码

                string userInfo = Encoding.Default.GetString(Convert.FromBase64String(actionContext.Request.Headers.Authorization.Parameter));

                //用户验证逻辑

                if (string.Equals(userInfo, string.Format("{0}:{1}", "Parry", "")))

                {

                    IsAuthorized(actionContext);

                }

                else

                {

                    HandleUnauthorizedRequest(actionContext);

                }

            }

            else

            {

                HandleUnauthorizedRequest(actionContext);

            }

        }

//或不重写OnAuthorization,对IsAuthorized方法重写

        protected override bool IsAuthorized(System.Web.Http.Controllers.HttpActionContext actionContext)

        {

            if (actionContext.Request.Method == HttpMethod.Options)

                return true;

            if (actionContext.Request.Headers.Authorization != null && actionContext.Request.Headers.Authorization.Parameter != null) {

             // System.Web.Security.FormsAuthentication.

               var userdata= System.Text.Encoding.Default.GetString(Convert.FromBase64String(actionContext.Request.Headers.Authorization.Parameter));

               if (userdata.Equals(String.Format("{0}:{1}", "tzy", ""))) {

                   return true;

                    //base.IsAuthorized(actionContext);

               }

            }

            return false;

           // return base.IsAuthorized(actionContext);

        }

        protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)

        {

            var challengeMessage = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);

            challengeMessage.Headers.Add("WWW-Authenticate", "Basic");

            throw new System.Web.Http.HttpResponseException(challengeMessage);

        }

    }

这些代码值得注意的地方及说明

1.  if (actionContext.Request.Method == HttpMethod.Options)   这个判断是在进行跨域访问时浏览器会发起一个Options请求去试探这个请求,但是他不会带着data参数和一些header参数,所以认证肯定没法通过导致无法继续进行,所以给他直接认证通过。(对非跨域的则没有影响)

2.对Authorization.Parameter 的解密,这里的解析跟登陆成功之后返回的Token 加密方式相同就行 这里采用的是Basic认证方式(简单的64位字符串)

3.HandleUnauthorizedRequest方法 这里因为是继承重写的AuthorizeAttribute,在IsAuthorized 返回False的时候会执行这个方法

这里是返回一个401的错误信息

4.challengeMessage.Headers.Add("WWW-Authenticate","Basic");   这句代码指示浏览器 认证方式为Basic 然后浏览器自动弹出一个登陆窗口并以basic 的方式 加密后每次通过header 传输到服务器进行认证然后得到授权

在需要验证的Controller的类加上[HTTPBasicAuthorize]属性,即可对当前控制器下的所有方法实现基本身份认证

然后我习惯更改一下api的路由  就改了一下routeTemplate 加入/{action}

public static void Register(HttpConfiguration config)

        {

            // Web API configuration and services

            // Web API routes

            config.MapHttpAttributeRoutes();

           // config.Filters.Add(new AuthorizeAttribute());

            config.Routes.MapHttpRoute(

                name: "DefaultApi",

                routeTemplate: "api/{controller}/{action}/{id}",

                defaults: new { id = RouteParameter.Optional }

            );

        }

如果以webapi里面有xml 方式返回,更改formatter 如下

protected void Application_Start()

        {

            GlobalConfiguration.Configure(WebApiConfig.Register);

            GlobalConfiguration.Configuration.Formatters.XmlFormatter.SupportedMediaTypes.Clear();

        }

https://www.cnblogs.com/leo_wl/p/3553385.html
Basic Authentication
具体做法:创建一个filter继承自AuthorizationFilterAttribute,重写OnAuthorization来实现我们的需求。
原理是:客户端在发送Http请求的时候在Header部分提供一个基于Base64编码的用户名和密码,形式为“username:password”,消息接收者(服务器)进行验证,通过后继续处理请求。
1.从请求Header中获取校验数据
2.判断验证信息类型为“basic”并包含base64编码
3.将base64编码转化为string,并提取用户名和密码
4.校验提供的验证信息是否与访问的资源信息相同(学生的详细信息只能由他自己访问)
5.去数据库校验用户名及密码
6.如果校验通过,则设置Thread的CurrentPrincipal,使本次接下来的请求都是通过校验的。
7.校验没通过,返回401(Unauthorized)并添加一个WWW-Authenticate响应头

最新文章

  1. Java Timer定时器时,每次重复执行了两次任务的解决方案
  2. ENTITYFRAMEWORKCORE 二使用配置文件来配置数据库链接
  3. Android -- 桌面悬浮,QQ管家火箭实现
  4. android常见问题(一)
  5. wireshark基本用法及过虑规则
  6. 【转】winform退出代码:Application.Exit和Environment.Exit(0)
  7. Python深复制浅复制or深拷贝浅拷贝
  8. 自己动手写CPU之第七阶段(7)——乘累加指令的实现
  9. sharepoint 2013创建外部内容类型并创建外部列表
  10. Weblogic常见故障常:JDBC Connection Pools
  11. linux C/C++开发环境搭建指南
  12. 原生js封装添加class,删除class
  13. 详解Ajax请求(三)——jQuery对Ajax的实现及serialize()函数对于表单域控件参数提交的使用技巧
  14. Anakia 转换xml文档为其他格式
  15. Xcode中使用数据(硬件)断点调试
  16. AppBoxFuture(四). 随需而变-Online Schema Change
  17. shell编程(一)之变量
  18. Brainfuck解析器(Python)
  19. jquery动态出操作select
  20. Git合并的代码 不提交服务器的方法

热门文章

  1. Linux信号类型说明
  2. 描述Linux下软链接和硬链接的区别(计时2分钟)
  3. stm32 加入 USE_STDPERIPH_DRIVER、STM32F10X_HD的原因
  4. xargs用法详解
  5. [转]ASP.NET MVC IOC 之AutoFac攻略
  6. [转]backbone.js 示例 todos
  7. java设计模式之装饰模式
  8. 网页缩放对 FLASH的影响
  9. Windows系统Stunnel客户端的配置
  10. curl命令