Web API 身份认证解决方案：Basic基础认证

• 首先登陆的时候验证用户名、密码，如果登陆成功，则将用户名、密码按照一定的规则生成加密的票据信息Ticket，将票据信息返回到前端，(Web API是默认不开启Session的，需要进配置)

[HttpGet]
public object Login(string strUser, string strPwd){
    if (!ValidateUser(strUser, strPwd)){//校验用户名密码（正式环境中应该是数据库校验）
        return new { bRes = false };
    }
    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateTime.Now,DateTime.Now.AddHours(1), true, 
                            string.Format("{0}&{1}", strUser, strPwd),FormsAuthentication.FormsCookiePath);
    //返回登录结果、用户信息、用户验证票据信息
    var oUser = new UserInfo { bRes = true, UserName = strUser, Password = strPwd, Ticket = FormsAuthentication.Encrypt(ticket) };
    HttpContext.Current.Session[strUser] = oUser;//将身份信息保存在session中，验证当前请求是否是有效请求
    return oUser;
}
public class UserInfo{
    public bool bRes { get; set; }
    public string UserName { get; set; }
    public string Password { get; set; }
    public string Ticket { get; set; }
}

 

• 发送AngularJS请求的时候将票据信息加入到请求的Head里面，将票据信息随着请求一起发送到服务端去

$http.get("/GetAllChargingData", { headers: { 'Authorization': 'BasicAuth ' + $scope.Ticket } }).then(res => { }, () => {})

 

• 在WebApi服务里面定义一个类，继承AuthorizeAttribute类，然后重写父类的OnAuthorization方法，在OnAuthorization方法里面取到当前http请求的Head，从Head里面取到我们前端传过来的票据信息
• 解密票据信息，从解密的信息里面得到用户名和密码，然后验证用户名和密码是否正确；如果正确，表示验证通过，否则返回未验证的请求401

public class RequestAuthorizeAttribute: AuthorizeAttribute{
    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext){
        //从http请求的头里面获取身份验证信息，验证是否是请求发起方的ticket
        var authorization = actionContext.Request.Headers.Authorization;
        if ((authorization != null) && (authorization.Parameter != null)){
            //解密用户ticket,并校验用户名密码是否匹配
            var encryptTicket = authorization.Parameter;
            if (ValidateTicket(encryptTicket)){//校验用户名密码（正式环境中应该是数据库校验）
                base.IsAuthorized(actionContext);
            }else{
                HandleUnauthorizedRequest(actionContext);
            }
        }else{
            //如果取不到身份验证信息，并且不允许匿名访问，则返回未验证401
            var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
            bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
            if (isAnonymous) base.OnAuthorization(actionContext);
            else HandleUnauthorizedRequest(actionContext);
        }
}
private bool ValidateTicket(string encryptTicket){
    var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData;//解密Ticket
    var index = strTicket.IndexOf("&");//从Ticket里面获取用户名和密码
    string strUser = strTicket.Substring(0, index);
    string strPwd = strTicket.Substring(index + 1);
    if (strUser == "admin" && strPwd == "123456"){
        return true;
    }
    return false;
} 

• 在具体的Api接口或者控制器上增加自定义类的特性[RequestAuthorize]
• 如果某些方法不想使用验证，使得它可以让匿名用户访问，可以在方法的上面加特性标注[AllowAnonymous](申明该方法运行匿名访问)