HTTP基本认证

在HTTP中,HTTP基本认证(Basic Authentication)是一种允许网页浏览器或其他客户端程序以(用户名:口令) 请求资源的身份验证方式,不要求cookie,session identifier、login page等标记或载体。

-  所有浏览器据支持HTTP基本认证方式

-  基本身证原理不保证传输凭证的安全性,仅被based64编码,并没有encrypted或者hashed,一般部署在客户端和服务端互信的网络,在公网中应用BA认证通常与https结合

https://en.wikipedia.org/wiki/Basic_access_authentication

BA标准协议

BA认证协议的实施主要依靠约定的请求头/响应头, 典型的浏览器和服务器的BA认证流程:

① 浏览器请求应用了BA协议的网站,服务端响应一个401认证失败响应码,并写入WWW-Authenticate响应头,指示服务端支持BA协议

HTTP/1.1 401 Unauthorized

WWW-Authenticate: Basic realm="our site"     # WWW-Authenticate响应头包含一个realm域属性,指明HTTP基本认证的是这个资源集

或客户端在第一次请求时发送正确Authorization标头,从而避免被质询

②  客户端based64(用户名:口令),作为Authorization标头值 重新发送请求。

Authorization: Basic userid:password

所以在HTTP基本认证中认证范围与 realm有关(具体由服务端定义)

>  一般浏览器客户端对于www-Authenticate质询结果,会弹出口令输入窗.

BA编程实践

aspnetcore网站利用FileServerMiddleware 将路径映射到某文件资源, 现对该 文件资源访问路径应用 Http BA协议。

ASP.NET Core服务端实现BA认证:

①  实现服务端基本认证的认证过程、质询逻辑

②  实现基本身份认证交互中间件BasicAuthenticationMiddleware ,要求对HttpContext使用 BA.Scheme

③  ASP.NET Core 添加认证计划 , 为文件资源访问路径启用 BA中间件,注意使用UseWhen插入中间件

using System;

using System.Net.Http.Headers;

using System.Security.Claims;

using System.Text;

using System.Text.Encodings.Web;

using System.Threading.Tasks;

using Microsoft.AspNetCore.Authentication;

using Microsoft.Extensions.Logging;

using Microsoft.Extensions.Options;

namespace EqidManager.Services

{

    public static class BasicAuthenticationScheme

    {

        public const string DefaultScheme = "Basic";

    }

    public class BasicAuthenticationOption:AuthenticationSchemeOptions

    {

        public string Realm { get; set; }

        public string UserName { get; set; }

        public string UserPwd { get; set; }

    }

    public class BasicAuthenticationHandler : AuthenticationHandler<BasicAuthenticationOption>

    {

        private readonly BasicAuthenticationOption authOptions;

        public BasicAuthenticationHandler(

            IOptionsMonitor<BasicAuthenticationOption> options,

            ILoggerFactory logger,

            UrlEncoder encoder,

            ISystemClock clock)

            : base(options, logger, encoder, clock)

        {

            authOptions = options.CurrentValue;

        }

        /// <summary>

        /// 认证

        /// </summary>

        /// <returns></returns>

        protected override async Task<AuthenticateResult> HandleAuthenticateAsync()

        {

            if (!Request.Headers.ContainsKey("Authorization"))

                return AuthenticateResult.Fail("Missing Authorization Header");

            string username, password;

            try

            {

                var authHeader = AuthenticationHeaderValue.Parse(Request.Headers["Authorization"]);

                var credentialBytes = Convert.FromBase64String(authHeader.Parameter);

                var credentials = Encoding.UTF8.GetString(credentialBytes).Split(':');

                 username = credentials[];

                 password = credentials[];

                 var isValidUser= IsAuthorized(username,password);

                if(isValidUser== false)

                {

                    return AuthenticateResult.Fail("Invalid username or password");

                }

            }

            catch

            {

                return AuthenticateResult.Fail("Invalid Authorization Header");

            }

            var claims = new[] {

                new Claim(ClaimTypes.NameIdentifier,username),

                new Claim(ClaimTypes.Name,username),

            };

            var identity = new ClaimsIdentity(claims, Scheme.Name);

            var principal = new ClaimsPrincipal(identity);

            var ticket = new AuthenticationTicket(principal, Scheme.Name);

            return await Task.FromResult(AuthenticateResult.Success(ticket));

        }

        /// <summary>

        /// 质询

        /// </summary>

        /// <param name="properties"></param>

        /// <returns></returns>

        protected override async Task HandleChallengeAsync(AuthenticationProperties properties)

        {

            Response.Headers["WWW-Authenticate"] = $"Basic realm=\"{Options.Realm}\"";

            await base.HandleChallengeAsync(properties);

        }

        /// <summary>

        /// 认证失败

        /// </summary>

        /// <param name="properties"></param>

        /// <returns></returns>

        protected override async Task HandleForbiddenAsync(AuthenticationProperties properties)

        {

           await base.HandleForbiddenAsync(properties);

        }

        private bool IsAuthorized(string username, string password)

        {

            return username.Equals(authOptions.UserName, StringComparison.InvariantCultureIgnoreCase)

                   && password.Equals(authOptions.UserPwd);

        }

    }

}
// HTTP基本认证Middleware
 public static class BasicAuthentication

 {

        public static void UseBasicAuthentication(this IApplicationBuilder app)

        {

            app.UseMiddleware<BasicAuthenticationMiddleware>();

        }

 }

public class BasicAuthenticationMiddleware

{

     private readonly RequestDelegate _next;

     private readonly ILogger _logger;

     public BasicAuthenticationMiddleware(RequestDelegate next, ILoggerFactory LoggerFactory)

     {

        _next = next;
        _logger = LoggerFactory.CreateLogger<BasicAuthenticationMiddleware>();

     }

     public async Task Invoke(HttpContext httpContext, IAuthenticationService authenticationService)

     {

       var authenticated = await authenticationService.AuthenticateAsync(httpContext, BasicAuthenticationScheme.DefaultScheme);

       _logger.LogInformation("Access Status:" + authenticated.Succeeded);

       if (!authenticated.Succeeded)

       {

           await authenticationService.ChallengeAsync(httpContext, BasicAuthenticationScheme.DefaultScheme, new AuthenticationProperties { });

           return;

       }

       await _next(httpContext);

     }

}

Startup.cs 文件添加并启用HTTP基本认证

services.AddAuthentication(BasicAuthenticationScheme.DefaultScheme)

                .AddScheme<BasicAuthenticationOption, BasicAuthenticationHandler>(BasicAuthenticationScheme.DefaultScheme,null);
app.UseWhen(

            predicate:x => x.Request.Path.StartsWithSegments(new PathString(_protectedResourceOption.Path)),

            configuration:appBuilder => { appBuilder.UseBasicAuthentication(); }

    ); 

以上BA认证的服务端已经完成,现在可以在浏览器测试:

进一步思考?

浏览器在BA协议中行为: 编程实现BA客户端,要的同学可以直接拿去

    /// <summary>

    /// BA认证请求Handler

    /// </summary>

    public class BasicAuthenticationClientHandler : HttpClientHandler

    {

        public static string BAHeaderNames = "authorization";

        private RemoteBasicAuth _remoteAccount;

        public BasicAuthenticationClientHandler(RemoteBasicAuth remoteAccount)

        {

            _remoteAccount = remoteAccount;

            AllowAutoRedirect = false;

            UseCookies = true;

        }

        protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

        {

            var authorization = $"{_remoteAccount.UserName}:{_remoteAccount.Password}";

            var authorizationBased64 = "Basic " + Convert.ToBase64String(new ASCIIEncoding().GetBytes(authorization));

            request.Headers.Remove(BAHeaderNames);

            request.Headers.Add(BAHeaderNames, authorizationBased64);

            return base.SendAsync(request, cancellationToken);

        }

    }

  // 生成basic Authentication请求

            services.AddHttpClient("eqid-ba-request", x =>

                   x.BaseAddress = new Uri(_proxyOption.Scheme +"://"+ _proxyOption.Host+":"+_proxyOption.Port ) )

               .ConfigurePrimaryHttpMessageHandler(y => new BasicAuthenticationClientHandler(_remoteAccount){} )

               .SetHandlerLifetime(TimeSpan.FromMinutes());

仿BA认证协议中的浏览器行为

That's All .  BA认证是随处可见的基础认证协议,本文期待以最清晰的方式帮助你理解协议:

实现了基本认证协议服务端,客户端;

作者:JulianHuang
感谢您的认真阅读,如有问题请大胆斧正;觉得有用,请下方或加关注。本文欢迎转载,但请保留此段声明,且在文章页面明显位置注明本文的作者及原文链接。

ASP.NET Core编程实现基本身份认证的更多相关文章

  1. ASP.NET CORE中使用Cookie身份认证

    大家在使用ASP.NET的时候一定都用过FormsAuthentication做登录用户的身份认证,FormsAuthentication的核心就是Cookie,ASP.NET会将用户名存储在Cook ...

  2. ASP.NET Core系列:JWT身份认证

    1. JWT概述 JSON Web Token(JWT)是目前流行的跨域身份验证解决方案. JWT的官网地址:https://jwt.io JWT的实现方式是将用户信息存储在客户端,服务端不进行保存. ...

  3. ASP.NET Core如何使用WSFederation身份认证集成ADFS

    如果要在ASP.NET Core项目中使用WSFederation身份认证,首先需要在项目中引入NuGet包: Microsoft.AspNetCore.Authentication.WsFedera ...

  4. 关于ASP.Net Core Web及API身份认证的解决方案

    6月15日,在端午节前的最后一个工作日,想起有段日子没有写过文章了,倒有些荒疏了.今借夏日蒸蒸之气,偷得浮生半日悠闲.闲话就说到这里吧,提前祝大家端午愉快(屈原听了该不高兴了:))!.NetCore自 ...

  5. 理解ASP.NET Core - 基于Cookie的身份认证(Authentication)

    注:本文隶属于<理解ASP.NET Core>系列文章,请查看置顶博客或点击此处查看全文目录 概述 通常,身份认证(Authentication)和授权(Authorization)都会放 ...

  6. ASP.NET Core的无状态身份认证框架IdentityServer4

    Identity Server 4是IdentityServer的最新版本,它是流行的OpenID Connect和OAuth Framework for .NET,为ASP.NET Core和.NE ...

  7. 理解ASP.NET Core - 基于JwtBearer的身份认证(Authentication)

    注:本文隶属于<理解ASP.NET Core>系列文章,请查看置顶博客或点击此处查看全文目录 在开始之前,如果你还不了解基于Cookie的身份认证,那么建议你先阅读<基于Cookie ...

  8. ASP.NET Core 3.0 gRPC 身份认证和授权

    一.开头聊骚 本文算是对于 ASP.NET Core 3.0 gRPC 研究性学习的最后一篇了,以后在实际使用中,可能会发一些经验之文.本文主要讲 ASP.NET Core 本身的认证授权和gRPC接 ...

  9. 【ASP.NET Core】运行原理[3]:认证

    本节将分析Authentication 源代码参考.NET Core 2.0.0 HttpAbstractions Security 目录 认证 AddAuthentication IAuthenti ...

随机推荐

  1. 项目中遇到Uncaught TypeError: Converting circular structure to JSON报错问题

    最近公司项目中出现一个报错Uncaught TypeError: Converting circular structure to JSON,,根据上述报错可以知道代码是运行到JSON.stringi ...

  2. ListView的异步载入(笔记,多线程和AsyncTask)

    异步载入最经常使用的两种方式: 多线程,线程池     AsyncTask 实例操作: 从一个站点上获取Json数据.然后将数据在ListView上显示. 1.创建item_layout布局 , 改动 ...

  3. 根据百度地图API获取指定地点的经纬度

    做项目时,遇到对地点获取地图中对应的经纬度,作一下笔记,以备以后直接使用 package com.hpzx.data; import java.io.BufferedReader; import ja ...

  4. 软考考点---CPU

    软考考点---CPU         中央处理器(CPU,Central Processing Unit)是一块超大规模的集成电路,是一台计算机的运算核心(Core)和控制核心( Control Un ...

  5. extjs中新建窗体时,给窗体添加背景图片不显示问题之一

    1.在extjs中新建窗体时,给窗体添加背景图片不显示,例如下面的代码. 不显示的原因:因为设置了  layout: 'fit', Ext.create('Ext.Window', { title: ...

  6. netty+Protobuf (整合一)

    netty+Protobuf 整合实战 疯狂创客圈 死磕Netty 亿级流量架构系列之12 [博客园 总入口 ] 本文说明 本篇是 netty+Protobuf 整合实战的 第一篇,完成一个 基于Ne ...

  7. go网关

    package main import ( "flag" "fmt" "io" "net" "os" ...

  8. aop学习总结二------使用cglib动态代理简单实现aop功能

    aop学习总结二------使用cglib动态代理简单实现aop功能 模拟业务需求: 1.拦截所有业务方法 2.判断用户是否有权限,有权限就允许用户执行业务方法,无权限不允许用户执行业务方法 (判断是 ...

  9. 【Effective C++】实现

    条款26:尽可能延后变量定义式的出现时间 有些对象,你可能过早的定义它,而在代码执行的过程中发生了导常,造成了开始定义的对象并没有被使用,而付出了构造成本来析构成本. 所以我们应该在定义对象时,尽可能 ...

  10. finalize方法

    什么是垃圾回收机制 不定时去堆内存中清理不可达对象.不可达的对象并不会马上就会直接回收, 垃圾收集器在一个Java程序中的执行是自动的,不能强制执行,即使程序员能明确地判断出有一块内存已经无用了,是应 ...