Как запрашивать аутентификацию для каждого запроса в WEB API?

Question

[stcmd04236]

Добрый день! Сделал кастомную аутентификацию web api. Все. Работает. Но вот есть большая проблема. Мне нужно чтобы сервер на каждом запросе спрашивал аутентификационные данные. Дело в куках и сессиях но как их отключить?

Или я что то не понял на счет аутентификации? Вообщем вот что хочу сделать:

Сервер должен проверить каждый запрос и выполнить аутентификацию на основе токена и секретного ключа пользователя. В заголовке запроса отправляется хеш отправляемых данных который создан с использованием секретного ключа. И тут надо проверить заголовок каждый раз. Как это делать?

Или создать фильтр авторизации и на этом проверить заголовки (так как эти фильтры вызывается для запроса каждый раз)? Но не совсем правильный подход.

Answer 1

[Станислав Макаров]

1. Аутентификация выполняется однократно. Это довольно сложный, потенциально многоэтапный процесс. Делать аутентификацию при каждом запросе - 100% неверное решение, этим просто невозможно будет пользоваться.
2. Т.к. аутентификация выполняется однократно, то в качестве метки для всех запросов от некоторого аутентифицированного юзера используется некий токен. Это может быть ID сессии, приходящий в куках, это может быть и JWT, посылаемый в хереде Authorization. Вот этот токен и нужно проверять каждый раз. Суть этого токена в том, что он а) так или иначе временный (хотя может продлеваться тем или иным образом); б) не связан с конкретным методом аутентификации. Т.е. он представляет собой конкретную успешно проведенную аутентификацию. С некоторой натяжкой это можно назвать "сессией". Проверять этот токен ГОРАЗДО легче, чем делать новую аутентификацию - либо просто нужно найти сессию в списке (ну и проверить IP на всякий случай) в случае ID сессии, либо проверить валидность подписи в случае JWT токена. Как это делать - зависит от конкретной реализации этого токена, если скажете что используете - попробую подсказать, что надо проверять.
3. Насчёт фильтров авторизации - уточните версию ASP.NET, тогда поглядим.

Answer 2

[stcmd04236]

Станислав Макаров Спасибо за объяснения.

2. Не JWT но почти одинаково.
3. Версия .net 4.5.1

Мне нужно создать сервис REST API и одно из требований это отсутствие состояний www.restapitutorial.ru. По этому чтобы определит пользователя передаю токен сформированный следующим образом:

Создаем массив из сегментов и параметров url. Сортируем по алфавиту. Создаем строку из этого массива. Добавляем к нему хеш секретного ключа. Добавляем текущее время в формате unix. И передаем его в заголовке Аuthorization вместе с UUID пользователя.

var token = url + secureKeyHash + currentTime;
var authorization = uuid + ":" + token;

Сервер проверят есть ли пользователь с таким uuid. Если есть тогда берет хеш секретного ключа пользователя. Создает токен таким же образом и сверяет с токеном из заголовка.

Все это сделал. Создал глобальный фильтр аутентификации. Только вот сессии и куки мешают.

Comments

[Станислав Макаров]

Что значит сессии и куки мешают? Каким образом вы ими пользуетесь? Как вы сейчас к контроллеру добавляете авторизацию?

[stcmd04236]

Станислав Макаров: В авторизации проверяю только уровень пользователя. Использую стандартную. [Authorize(Roles="admin,user")]

[stcmd04236]

Станислав Макаров: Или заголовки надо проверять в авторизации? Тогда не будет никаких проблем с заголовками но тогда это никак не отличается от аутентификации.

[Станислав Макаров]

stcmd04236 вы используете OWIN в вашем приложении? И какие классы вы добавляли/наследовали для реализации кастомной аутентификации?

[stcmd04236]

Станислав Макаров: Нет. Не использую OWIN. Сделал фильтр аутентификации. Наследовал от IAuthenicationFilter.