如何使用 ASP.NET 5 MVC 6 保护 Web API

我有一个很好的 ASP.NET 5 / MVC 6 应用程序正在运行。本质上，出于此目的，它只是您在启动新项目时获得的普通示例应用程序，以保持简单。到目前为止我可以：

• 注册用户
• Login
• Logout
• 保护页面（强制登录等）

现在，我想要的是为应用程序提供一个 API 机制来登录并获取身份验证令牌。具体来说，我正在开发两款移动应用程序进行测试，一款使用 Angular / Cordova，一款使用 Xamarin。

我到处寻找，但似乎还找不到一个例子来说明如何实现这项工作。到目前为止，我找到的每个示例都假设用户将通过正常的 Web 表单/发布周期登录，然后被带到加载 Angular 的页面，并且身份验证令牌已经在浏览器中。

MVC 控制器的 AccountController.cs 文件中的相关代码如下。我最终想要的是等效的功能，但来自纯 API 调用，允许 Angular / Xamarin 向其发送用户名/密码并取回身份验证令牌或失败。

    // POST: /Account/Login
    [HttpPost]
    [AllowAnonymous]
    [ValidateAntiForgeryToken]
    public async Task<IActionResult> Login(LoginViewModel model, string returnUrl = null)
    {
        ViewBag.ReturnUrl = returnUrl;
        if (ModelState.IsValid)
        {
            // This doesn't count login failures towards account lockout
            // To enable password failures to trigger account lockout, set shouldLockout: true
            var result = await SignInManager.PasswordSignInAsync(model.Email, model.Password, model.RememberMe, shouldLockout: false);
            if (result.Succeeded)
            {
                return RedirectToLocal(returnUrl);
            }
            if (result.RequiresTwoFactor)
            {
                return RedirectToAction("SendCode", new { ReturnUrl = returnUrl, RememberMe = model.RememberMe });
            }
            if (result.IsLockedOut)
            {
                return View("Lockout");
            }
            else
            {
                ModelState.AddModelError(string.Empty, "Invalid login attempt.");
                return View(model);
            }
        }

        // If we got this far, something failed, redisplay form
        return View(model);
    }

使用 ASP.NET MVC 6 保护 Web API 的推荐方法是什么？

我认为保护 WebApi2 的推荐方法是通过授权服务器。授权服务器负责生成令牌。但基于this https://github.com/aspnet/Security/issues/83，作为 Katana3 一部分的基于 OAuth2 的授权服务器已从 Asp.Net 5 中删除。

我假设您的应用程序还不是实时应用程序，因为 ASP.NET 5 和 MVC 6 尚未处于最终发布阶段。因此，如果您可以更改身份/身份验证过程，您可以使用 Thinktecture 的身份服务器3 https://identityserver.github.io/Documentation/.

多米尼克·拜尔 (Dominick Baier) 在博客中介绍了ASP.NET 5 和 MVC 6 的安全状况 http://leastprivilege.com/2015/07/22/the-state-of-security-in-asp-net-5-and-mvc-6-oauth-2-0-openid-connect-and-identityserver/IdSvr3 就派上用场了。该博客有一个指向示例 API 控制器的 Github 存储库的链接，还有一个 API 客户端。它还具有 MVC Web 应用程序的示例。它可以与 Asp.Net Identity 一起使用。 https://github.com/IdentityServer/IdentityServer3.AspNetIdentity

UPDATE:

如果这对你不起作用，你可以尝试AspNet.Security.OpenIdConnect.Server https://github.com/aspnet-contrib/AspNet.Security.OpenIdConnect.Server。请注意，它在 Github 上有未解决的问题，因此您在使用它时可能会遇到问题。还要注意它的依赖性，特别是azureadwebstacknightly.

请注意，ASP.NET 5 和 MVC 6 可能处于稳定的测试版本中，但它们仍处于测试阶段beta发布。它仍然可能改变。

此外，IdSvr3 v2.0 可能是最终版本，但它是由单独的团队开发的。而且它才发布两周前，所以恕我直言，像大多数软件一样，您可能会遇到可能错过测试的事情。请注意ASP.NET团队 https://twitter.com/aspnet， 上星期，tweeted https://twitter.com/aspnet/status/634650921507549184关于 IdSvr3 (v2.0) 版本，看来他们正在认可它。