进阶之路—WebAPI的Basic基础认证

之前的文章中，我们熟悉了 WebAPI 同时也了解到，在现在很多公司的项目中已经项目的架构已经有很多不仅仅是建造 MVC 项目了，在很多时候，人们更喜欢建立一个自带 WebAPI  的项目用以代替 MVC 项目，但是在 WebAPI 中，用户权限的认证是比较麻烦的，倘若不设置权限认证，对网站来讲又是不安全的。

WebAPI 的用户权限认证的方式大致可以分为4种，今天我们就来一起探索一下当前比较流行的一种认证方式 Basic 基础认证。

本次的讲解代码源自于网络文章：http://www.cnblogs.com/landeanfen/archive/2016/03/24/5287064.html

接下来，我们看一下程序的目录

项目目录

在新建的一个带 WebAPI 的 MVC 项目中，我创建了一些文件和控制器，还有两个模型。

BasicTestController： 是将被调用的接口功能，

HomeController： 系统自带的，我在里边写了两个 action 一个是登陆用的，一个是主页

MyWebAPITestController： 我在这里边写了登陆功能以及生成票据，返回对象的方法

ValidateUser： 里是登陆的时候用到的查询数据库代码

BasicVerification：是我自定义的一个特性，这个特性是负责判断用户认证的

接下来我们从头开始看代码

HomeController

只有两个 action ，我们首先打开网站默认进入的是 Login() 

js代码

前端代码

再起对应的页面中我嵌套了一段 JS 代码，并且画了两个文本框，一个按钮（丑的一匹），我来用我的理解解释一下 JS 代码片段，就是当你点击按钮的时候，以 Get 方式传一个 Ajax 请求到上面的地址中去，并且传入两个参数（文本框中的值），如果请求成功，就判断返回的对象的 bRes 属性，判断是否登陆成功，失败的话直接提示登陆失败并且返回登陆页面，成功的话提示登陆成功，并跳转到主页。

MyWebAPITestController中的Login action

我们来看一看上面的这段代码，这段代码主要的意义是：当点击完登陆按钮之后，跳转到这个方法，将传入的参数传到另一个验证用户登录方法中，之后生成票据（FormsAuthenticationTicket 生成票据的类，位于 System.Web.Security 命名空间中），最后将查询到的各种属性以及加密后的票据信息存到一个 UserInfo 对象中。（后面的 Session 存不存无所谓，不是重点，我们这个认证用不到 Session，而且在 WebAPI 中开启 Session 需要进行一些设置）。

VerificationUser中的ValidateUser方法

这个方法就是单纯的连接数据库查询登陆用户是否存在的方法，但是在实际的生产环境中这种方法我们是不会写在这里的。此时登陆成功的话，会跳转到程序的主页，也就是 Index 页面中

js代码

前端代码

上图的 JS 中，有一段代码：

XHR.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);

这段代码所表示的含义是在执行 Ajax 请求之前，会向请求的头文件中加入一段名为 Authorization 的"没有意义的"票据信息，这个票据信息就是之前我们生成的票据

在GetUser的请求头文件中的票据信息

接下来，我们看一下在程序中是怎么具体实现 Basic 认证的

BasicVerification中的解密票据信息

BasicVerification中的验证用户存在

上面个两张图是 Basic 验证的具体实现，这个类是我们自定义的一个特性契约，，只需要在想要进行验证的方法的类名上面添加上这个特性就可以了，要注意的是，这个特性必须要继承 AuthorizeAttribute 类（该类需要引用 System.Web.Http 命名空间），之后我们重写父类中的 OnAuthorization 方法：传入从 Http 获取的信息，并获取头信息里的 Authorization 信息，然后跳转到下面的校验用户名信息的方法中，在下面的方法中，先将传入的票据信息解密，然后通过解析字符串的方式取出里面的用户名和密码，然后上数据库中查询。最后返回一个 bool 类型结果拿到第一个方法中判断，如果为真就表示授权成功，反则表示授权失败。

另外说一点，在某些情况中，我们再写被调用的方法的时候，有的方法是不希望有用户验证的，这种情况下我们可以单独的为这个方法标识上      [ RequestAuthorize ] 特性，这样，在调用这个方法的时候就会自动跳过用户认证。