在前一篇文章ASP.NET Web API（一）：使用初探，GET和POST資料中，我們初步接觸了微軟的REST API: Web API。

我們在接觸了Web API的後就立馬發現了有安全驗證的需求，所以這篇文章我們先來討論下安全驗證一個最簡單的方法：使用HTTP基本認證。

HTTP基本認證原理

在HTTP協議進行通訊的過程中，HTTP協議定義了基本認證過程以允許HTTP伺服器對WEB瀏覽器進行使用者身份認證的方法，當一個客戶端向HTTP伺服器進行資料請求時，如果客戶端未被認證，則HTTP伺服器將通過基本認證過程對客戶端的使用者名稱及密碼進行驗證，以決定使用者是否合法。

其基本的實現方式是：

客戶端在使用者輸入使用者名稱及密碼後，將使用者名稱及密碼以BASE64加密，加密後的密文將附加於請求資訊中，如當用戶名為Parry，密碼為123456時，客戶端將使用者名稱和密碼用":"合併，並將合併後的字串用BASE64加密，並於每次請求資料時，將密文附加於請求頭（Request Header）中。

HTTP伺服器在每次收到請求包後，根據協議取得客戶端附加的使用者資訊（BASE64加密的使用者名稱和密碼），解開請求包，對使用者名稱及密碼進行驗證，如果使用者名稱及密碼正確，則根據客戶端請求，返回客戶端所需要的資料；否則，返回錯誤程式碼或重新要求客戶端提供使用者名稱及密碼。

Web API使用HTTP基本認證進行安全驗證

我們還是基於前一篇文章的示例進行測試。

首先我們基於System.Web.Http.AuthorizeAttribute類實現一個HTTP基本認證的類，並實現兩個方法：OnAuthorization和HandleUnauthorizedRequest。

新增一個類HTTPBasicAuthorizeAttribute，繼承於System.Web.Http.AuthorizeAttribute，先來實現OnAuthorization。

public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
 {
     if (actionContext.Request.Headers.Authorization != null)
     {
         string userInfo = Encoding.Default.GetString(Convert.FromBase64String(actionContext.Request.Headers.Authorization.Parameter));
         //使用者驗證邏輯
         if (string.Equals(userInfo, string.Format("{0}:{1}", "Parry", "123456")))
         {
             IsAuthorized(actionContext);
         }
         else
         {
             HandleUnauthorizedRequest(actionContext);
         }
     }
     else
     {
         HandleUnauthorizedRequest(actionContext);
     }
 }

actionContext.Request.Headers.Authorization.Parameter就是Client BASE64後的字串，我們對其進行反編碼後，為了測試方便只進行簡單的使用者驗證，這裡你可以引入自己系統的驗證邏輯。

同時還要實現HandleUnauthorizedRequest以實現驗證失敗時繼續提示驗證，程式碼如下：

protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
{
    var challengeMessage = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
    challengeMessage.Headers.Add("WWW-Authenticate", "Basic");
    throw new System.Web.Http.HttpResponseException(challengeMessage);
}

完成了此類後，只要在需要啟用HTTP基本認證的Controller的類加上此屬性即可，就像下面這樣。

我們現在來測試驗證過程。

當我們再來請求此API時，就會提示需要輸入使用者名稱和密碼。

這時使用Fiddler進行抓包檢視HTTP Header，就會發現了WWW-Authenticate的頭。

在提供了正確的使用者名稱和密碼後，我們發現HTTP已將Parry:123456進行BASE64編碼後的密文新增在了Request Header裡面。

提交後成功地請求到了資料，如果輸入的驗證資訊不正確，還是返回HTTP Status Code為401的未驗證狀態以繼續驗證。

輸入正確的使用者資訊後請求到的資料。

HTTP基本認證的優缺點

優點是邏輯簡單明瞭、設定簡單。

缺點顯而易見，即使是BASE64後也是可見的明文，很容易被破解、非法利用，使用HTTPS是一個解決方案。

還有就是HTTP是無狀態的，同一客戶端每次都需要驗證。

針對這種情況，我們下一篇文章討論下第二種驗證方式：摘要認證（digest authentication）。

原始碼下載

原始碼下載

作者：Parry
出處：http://www.cnblogs.com/parry/