asp.net-mvc – 使用REST API进行身份验证

例如,您可以使用基本身份验证来传输用户名和密码,或者使用某些加密访问令牌(不是非常RESTful)添加自定义身份验证标头.您还可以实现OAuth,其中请求者将为每个请求提供访问令牌.

我编写了一个自定义AuthorizeAttribute来在您的代码中执行身份验证,这为您提供了很多控制.或者,您可以使用控制器基类并覆盖OnAuthorization方法.

API不应提供密码质询：在Web应用程序中,未经授权的请求通常会将用户重定向到登录页面.在API中,请求将仅返回错误代码.现在,客户端应用程序的工作是通过对话框挑战用户(如果适用).在移动应用中,您可能希望显示一个对话框.在具有OAuth的Web应用程序中,您可能希望重定向到身份验证服务器.

如果你想测试你的REST API,我建议你使用REST Console for Google Chrome和cURL.前者对初学者来说更容易,并且有一个很好的GUI,而cURL可以提供更高的保真度和更多的协议.

编辑

一个有点迂腐的说明：一些API,甚至是相当大的提供商的API,例如Twitter,不时返回401状态代码,通常省略(强制性)WWW-Authenticate标头,因为他们不打算挑战客户端.