rest – ASP.NET Web API身份验证选项

以下是我迄今为止尝试的限制/事项： –

>我不想使用OAuth;对于用户群有限的私有应用程序我不能指望最终用户在现有提供商上拥有他们的帐户,并且没有可以实现我自己的帐户
>我已经有一个功能齐全的HMAC-SHA256实现,可以正常使用标头中传递的数据;但这在IE中不起作用,因为IE8 / 9中的CORS已损坏,并且不允许您发送标头
>我需要跨域,因为消费应用程序在API的不同域上,但不能使用jsonp,因为它不允许您使用标头
>我想避免使用基于令牌(仅)的方法,因为这可以重播并通过状态来违反REST

此时我已经退出HMAC-SHA256方法,该方法使用URL或查询字符串/ post来提供哈希和其他变量.

将这些变量放在URL中似乎很脏,将它们放在查询字符串/帖子中是一件痛苦的事.

我成功地使用JQuery $.ajaxSetup beforeSend选项生成哈希并将其附加到标题,但正如我所提到的,你不能使用IE8 / 9的标题.

现在我不得不求助于$.ajaxPrefilter因为我无法在beforeSend中更改ajax数据,并且不能只在$.ajaxSetup中扩展数据,因为我需要根据ajax的类型动态计算哈希值查询.
$.ajaxPrefilter也是一个问题,因为没有干净/简单的方法以方法无关的方式添加所需的变量…即它必须是用于GET的查询字符串和用于POST的formdata

我必须遗漏一些东西,因为我找不到一个解决方案： –
a)支持跨域
a)不是MVC和JQuery方面的大规模黑客攻击
c)实际上是安全的
d)与IE8 / 9一起使用

必须有人在那里正确地做这件事……

编辑

为了澄清,API方面的身份验证机制很好……无论我验证请求的哪种方式,我生成一个GenericPrincipal并在API中使用它(这个的优点是另一个帖子,但它确实允许我使用MVC中的标准授权机制,我更倾向于自己编写…而不是我的API上的其他开发人员学习和维护)

问题主要在于从客户端向API传输身份验证信息： –
– 它不能依赖服务器/ API状态.所以我不能在一次调用中传递用户名/密码,获取令牌然后继续使用该令牌(打开重放攻击)
– 任何需要使用请求标头的东西都出来了,因为IE像其他浏览器一样使用XDR而不是XHR,并且它不支持自定义标头(我知道IE10支持XHR,但实际上我需要IE8支持)
– 我想我已经卡住了生成一个HMAC并将其传递到某个地方的URL(路径或查询字符串),但这似乎是一个黑客,因为我正在使用不是为此而设计的部分请求
– 如果我使用路径有很多混乱的解析,因为至少我必须传递用户名,时间戳和哈希与每个请求;这些需要以某种方式分隔,我几乎无法控制在其余网址中使用的分隔符
– 如果我使用数据(querystring / formdata)我需要根据我正在使用的方法(POST / PUT / etc的formdata和GET的查询字符串)更改我发送验证详细信息的位置,我也是使用这些变量对应用层数据空间进行压缩

尽管很糟糕,查询字符串/ formdata似乎是最好的选择;但是现在我必须弄清楚如何在每个请求上捕获这些.我可以使用MessageHandler或Filter,但都不提供访问formdata的方便方法.

我知道我可以自己编写所有的解析和处理内容(看起来我会这样)但重点是我无法相信已经没有解决方案了.这就像我有(1)支持IE,(2)安全和(3)干净的代码,我只能选择两个.