JSON에 대한 Javascript 요청은 ASP.NET MVC 3에서 폼 인증을 사용합니다.

Question

간단한 컨트롤러를 가진 MVC 3 REST API가 있습니다 : ApiController.

public class ApiController : Controller 
{ 
    [HttpPost] 
    public JsonResult Foo(string input) 
    { 
     ... 
    } 
} 

내가 어떤 사용자가 입력 한 데이터로 JQuery와 메소드 호출 푸를하고 결과를 표시 할하십시오 JSON 결과를 일부 문자열 정보를 받아 반환 ApiController의 방법 Foo이있다.

여기서 catch는 사용자가 Foo에 대한 액세스가 허용되는지 확인하고자하는 것입니다. ASP.NET MVC 3에서이 문제를 해결하는 가장 좋은 방법은 무엇입니까? 그 대답은 SSL과 기본 인증을 사용하는 것이라고 생각하지만, 나는 그것이 어떻게 생겼는지 전혀 모른다. 또한, 내 자신의 암호 해싱/소금을 굴려야 만합니까 또는 폼 인증을 사용하는 몇 가지 방법이 있습니까?

편집 : 제 3의 개발자가 사용할 수있는 API를 만들려고합니다. 예를 들어 Gmail을 검색하고 텍스트를 Foo로 보내고 브라우저에 표시하는 Rapportive 스타일 브라우저 플러그인을 작성하는 경우

또한 양식 인증을 사용하면 일반 텍스트로 사용자 이름/암호 정보가 전송 될 것입니다. 이 문제를 방지하기 위해 SSL을 구현하는 방법을 잘 모르겠습니다.

Answer 1

FormsAuthentication 및 [Authorize] 특성을 사용할 수 있습니다. 따라서 HTTPS를 통해서만 액세스 할 수있는 LogOn 작업을 사용하여 AccountController을 가질 수 있습니다.

public class AccountController: Controller 
{ 
    [HttpPost] 
    [RequireHttps] 
    public ActionResult LogOn(string username, string password) 
    { 
     // TODO: verify the credentials and emit an authentication cookie if valid 
     // return some result (JSON?) to indicate whether the operation succeeded or 
     // not 
    } 
} 

후 남아있는 모든 당신이 [Authorize] 속성을 보호하려는 다른 컨트롤러 액션을 장식하는 것입니다 :이 컨트롤러는 클라이언트가 인증하고 API에 액세스하기 위해 재사용 될 것이다 인증 쿠키를 얻을 수

을

public class ApiController : Controller 
{ 
    [HttpPost] 
    [Authorize] 
    public JsonResult Foo(string input) 
    { 
     ... 
    } 
} 

이제 클라이언트는 먼저 LogOn 작업을 호출하고 해당 인증 쿠키를 응답에서 가져와야합니다.이 인증 쿠키는 후속 API 호출을 통해 전송됩니다.

Answer 2

여기서 원하는 것을 수행하려면 [Authorize] 속성을 사용할 수 있어야합니다. MSDN의 다음 세부 정보 및 예를 참조하십시오. http://msdn.microsoft.com/en-us/library/system.web.mvc.authorizeattribute.aspx

특정 역할 또는 특정 역할의 사용자에게 권한을 부여 할 수 있습니다.

새 (비어 있지 않은) ASP.NET MVC 프로젝트를 만들 때 제공되는 기본 폼 기반 인증을 사용하면 사용자를 인증 할 수 있습니다.