Javascript请求JSON导致ASP.NET MVC 3使用Forms Authentication

Question

我有一个MVC 3 REST API，它有一个简单的控制器：ApiController。有一个在ApiController方法Foo，需要一些字符串信息，并返回JSON结果：

public class ApiController : Controller 
{ 
    [HttpPost] 
    public JsonResult Foo(string input) 
    { 
     ... 
    } 
} 

我想有一些用户输入的数据jQuery的方法调用Foo和显示结果。

这里的问题是我想检查用户是否被允许访问Foo。在ASP.NET MVC 3中，最好的方法是什么？我认为答案是使用SSL和基本身份验证，但我不知道会是什么样子。另外，我是否必须推出我自己的密码哈希/盐渍或有一些方法来使用表单身份验证？

编辑：请注意，我正在尝试创建第三方开发人员可以使用的API。例如，如果有人编写了用于扫描Gmail的Replive风格浏览器插件，则将文本发送到Foo，并将其显示在浏览器中。

另外，我相信只是使用Forms Authentication将以纯文本发送用户名/密码信息，对吧？我不知道如何实施SSL来防止这种情况。

Answer 1

您可以使用FormsAuthentication和[Authorize]属性。所以你可能有一个AccountController LogOn行动，只能通过HTTPS访问。该控制器将允许客户端进行身份验证并获得其将用于访问API可以重复使用的身份验证Cookie：

public class AccountController: Controller 
{ 
    [HttpPost] 
    [RequireHttps] 
    public ActionResult LogOn(string username, string password) 
    { 
     // TODO: verify the credentials and emit an authentication cookie if valid 
     // return some result (JSON?) to indicate whether the operation succeeded or 
     // not 
    } 
} 

那么所有剩下的就是装修，你想用[Authorize]属性，以确保您的其他控制器操作：

public class ApiController : Controller 
{ 
    [HttpPost] 
    [Authorize] 
    public JsonResult Foo(string input) 
    { 
     ... 
    } 
} 

因此，现在客户端需要先调用LogOn操作并在响应中获取相应的身份验证Cookie，随后将对您的API进行调用。

Answer 2

你应该可以使用[Authorize]属性来做你想要的。请参阅MSDN上的以下详细信息和示例：http://msdn.microsoft.com/en-us/library/system.web.mvc.authorizeattribute.aspx

您可以授权特定用户或特定角色中的用户。

创建新（非空）ASP.NET MVC项目时提供的默认基于表单的身份验证将使您能够授权用户。