permitir que um usuário efetue login na API
Você precisa enviar um cookie válido de autenticação de formulários junto com a solicitação. Esse cookie geralmente é enviado pelo servidor ao se autenticar ( LogOn
ação) chamando o [FormsAuthentication.SetAuthCookie
método (consulte MSDN ).
Portanto, o cliente precisa executar 2 etapas:
- Envie uma solicitação HTTP para uma
LogOn
ação enviando o nome de usuário e a senha. Por sua vez, essa ação chamará o FormsAuthentication.SetAuthCookie
método (caso as credenciais sejam válidas), que por sua vez definirá o cookie de autenticação de formulários na resposta.
- Envie uma solicitação HTTP para uma
[Authorize]
ação protegida enviando o cookie de autenticação de formulários recuperado na primeira solicitação.
Vamos dar um exemplo. Suponha que você tenha 2 controladores de API definidos no seu aplicativo da web:
O primeiro responsável pelo tratamento da autenticação:
public class AccountController : ApiController
{
public bool Post(LogOnModel model)
{
if (model.Username == "john" && model.Password == "secret")
{
FormsAuthentication.SetAuthCookie(model.Username, false);
return true;
}
return false;
}
}
e o segundo contendo ações protegidas que somente usuários autorizados podem ver:
[Authorize]
public class UsersController : ApiController
{
public string Get()
{
return "This is a top secret material that only authorized users can see";
}
}
Agora, poderíamos escrever um aplicativo cliente consumindo essa API. Aqui está um exemplo trivial de aplicativo de console (verifique se você instalou os pacotes Microsoft.AspNet.WebApi.Client
e Microsoft.Net.Http
NuGet):
using System;
using System.Net.Http;
using System.Threading;
class Program
{
static void Main()
{
using (var httpClient = new HttpClient())
{
var response = httpClient.PostAsJsonAsync(
"http://localhost:26845/api/account",
new { username = "john", password = "secret" },
CancellationToken.None
).Result;
response.EnsureSuccessStatusCode();
bool success = response.Content.ReadAsAsync<bool>().Result;
if (success)
{
var secret = httpClient.GetStringAsync("http://localhost:26845/api/users");
Console.WriteLine(secret.Result);
}
else
{
Console.WriteLine("Sorry you provided wrong credentials");
}
}
}
}
E aqui está como as 2 solicitações HTTP são exibidas:
Pedido de autenticação:
POST /api/account HTTP/1.1
Content-Type: application/json; charset=utf-8
Host: localhost:26845
Content-Length: 39
Connection: Keep-Alive
{"username":"john","password":"secret"}
Resposta de autenticação:
HTTP/1.1 200 OK
Server: ASP.NET Development Server/10.0.0.0
Date: Wed, 13 Jun 2012 13:24:41 GMT
X-AspNet-Version: 4.0.30319
Set-Cookie: .ASPXAUTH=REMOVED FOR BREVITY; path=/; HttpOnly
Cache-Control: no-cache
Pragma: no-cache
Expires: -1
Content-Type: application/json; charset=utf-8
Content-Length: 4
Connection: Close
true
Solicitação de dados protegidos:
GET /api/users HTTP/1.1
Host: localhost:26845
Cookie: .ASPXAUTH=REMOVED FOR BREVITY
Resposta para dados protegidos:
HTTP/1.1 200 OK
Server: ASP.NET Development Server/10.0.0.0
Date: Wed, 13 Jun 2012 13:24:41 GMT
X-AspNet-Version: 4.0.30319
Cache-Control: no-cache
Pragma: no-cache
Expires: -1
Content-Type: application/json; charset=utf-8
Content-Length: 66
Connection: Close
"This is a top secret material that only authorized users can see"