最近，在整理3S比赛项目代码的时候，和老师讨论到数据库安全的问题，之前写的WebApi服务是没有加任何验证的，也就是说，任何人只要知道了接口的url，都能够模拟http请求去访问我们的服务接口，在该项目中仅仅写了get方法，可以匿名获取到数据。再加上put、deleta、post方法即可去增删改查数据库，在实际项目的应用过程中是不可取的。

由于之前3S项目的数据都是模拟数据，不是工业现场的真实数据，写一个简单的演示demo其WebApi不加任何验证也没什么不妥，不过最近实验室要给山西的氧化铝工厂做一个生产过程移动监控的APP，设计到工业数据的安全性问题，需要解决WebApi的身份验证问题。经过简单的了解学习，Asp.Net Identity的引入为Asp.Net应用程序提供了一套统一的身份验证机制。

认证流程

这是一张Identity官方教程的图，认证的流程如下：

1.用户在客户端中输入账户和密码；
2.客户端将账户密码发送到授权服务器中；
3.授权服务器根据用户信息来生成一个token；
4.客户端在http请求头中携带token访问受限资源.

创建解决方案

1.使用Visual Studio（博主用的是VS2013）创建一个WebApi项目；
2.更改身份验证，选择“个人用户账户”。

如果此时不进行身份注册认证直接采用匿名方式模拟http请求去访问我们的服务接口，发现是无法访问的。

注册用户

默认的 WebApi 模板中，已经为我们创建了一些常用的 api 了，比如注册：

获取Token

使用刚刚注册好的账户和密码，发出如下请求：

返回请求的内容：

{
  "access_token": "c_-F2k8exhBRc3FV8WQvU6ga796TXOSZhHDNn9-JzDYeTbJ3Zctf3AGXd53yoQdNoruJPetMqqQOKzyqR1t3YSplLxreDiQgNCCueZ5AsGP7PVLvaBe3s_5M0FZ8H-0pnLt0mW2QH5sB7DJ7zMuesQJ0q5euvfuK4VuYMkQ1vN_BHr0WHg9M4X7lPVU9D9tbP9M9tjQoyblx4-8_wjjpFYUSlwYgdWDoAQwhRSdWENWtmP2_D3iYPpxqSrrwsdud3XYMPCjMXI-vrcuu_OWDcBPKFBYmu8_Hfo21uC_1G7ZvYq0YhcJSa28lMA4a4dx_1gW1l9SD86VuMv6NbZ5Da5h1X0y2ETO2Pv26U-4Lfs6OjycvwYyBH4Pul5vDMQO0BNVkQaQLxloav6JlNPSCbIdnMssHxNuuP778u5-yddbl58KuL4FI1JdfmSq9_Kg08YjkjfauQKUgu5LBcB778A0mQqyTOMzUdRqz_ZRbw9c",
  "token_type": "bearer",
  "expires_in": 1209599,
  "userName": "1@qq.com",
  ".issued": "Sat, 02 Jul 2016 06:05:34 GMT",
  ".expires": "Sat, 16 Jul 2016 06:05:34 GMT"
}

其中，access_token, token_type, expires_in 属性是 OAuth2 协议中定义的属性；其他属性是可以自定义的，可以在 ApplicationOAuthProvider 的 TokenEndpoint 方法中进行自定义操作.

访问受限制资源

将获取的的 access_token 值放到 http 的请求中，生成如下请求，进行对受限资源的访问：

Webapi的认证

StartUp

默认的 Startup.Auth.cs 文件中，启用了三种身份认证的方式，Asp.Net Identity 集成了 Owin 可以使用app.UserXXX 使用所需要的认证方式.

1. 使用基于 Cookie 的传统表单验证；
2. 使用第三方扩展登录；
3. 使用基于 BearerToken 的登录方式，这也是本使用的方式；（ BearerToken 与常见的第三方 Oauth 方式类似，但这是一种不记名的方式，也就是客户端无需提供 ClientId，ClientSecret）

OAuthBearerTokens

构造函数中 OAuthAuthorizationServerOptions 提供了一下配置：

  // 针对基于 OAuth 的流配置应用程序
            PublicClientId = "self";
            OAuthOptions = new OAuthAuthorizationServerOptions
            {
                TokenEndpointPath = new PathString("/Token"),
                Provider = new ApplicationOAuthProvider(PublicClientId),
                AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
                AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
                //在生产模式下设 AllowInsecureHttp = false
                AllowInsecureHttp = true
            };

1. 生成 token 的地址为：http://localhost:port/token；
2. 为 token 设置了失效时间为14天，失效后，再次访问受限的请求时为得到未授权的相应.

关于Bearer Token

token 是在服务器上生成，并加密，然后再发送到客户端；客户端访问受限资源时需要将 token 发送到服务器端，服务器端再将 token 进行解密；对于客户端来说这个 token 是无法被破解的； 对于服务器来说，token 就是一个用户的唯一标识符，任何人只要拥有了 token，就能获取用户的权限。

所以对于安全需求高的场景，为防止 token 被劫持，请对 api 的请求用 SSL/TSL 对 http 进行加密。

Reference

http://blog.wangtuyao.com/post/2014/10/29/working-with-web-api-and-asp-net-identity.html