Это может показаться базовым вопросом и вернуться к протоколу Http 101. Но мне трудно понять, как работает базовая аутентификация. Я внедряю службу Windows, и мне нужно, чтобы она была безопасной. Я хотел бы получить имя пользователя и пароль и аутентифицировать пользователя в пользовательском хранилище пользователей. Я также хочу минимизировать количество вызовов для входа в систему, поскольку вызов для входа представляет собой вызов на наш сервер SQL. То, что я начал до сих пор, выглядит примерно так:
В моем представлении функция UserAuthorized должна выполнить мой пользовательский вызов входа в систему. Но я не хочу делать это каждый раз. Поддерживает ли базовая аутентификация, если вы вошли в систему, или есть безопасное решение для потока кэширования, которое я должен изучить.
О, да, я также хотел бы сделать так, чтобы, когда пользователь аутентифицировался, а объект создавался и поддерживался в потоке, чтобы слушатель обращался к последующим обратным вызовам для пользователя / соединения. Но поскольку ListenerCallback является статическим, я не уверен, как это можно сделать.
Заранее спасибо за любую помощь, я действительно ценю это и StackOverflow.
public void ThreadProc() {
string uriPrefix = ConfigurationManager.AppSettings["ListenerPrefix"];
HttpListener listener = new HttpListener();
listener.Prefixes.Add(uriPrefix);
listener.AuthenticationSchemes = AuthenticationSchemes.Basic;
listener.Start();
Console.WriteLine("Start listening on " + uriPrefix);
Console.WriteLine("Press Control-C to stop listener...");
while (listening) {
IAsyncResult result = listener.BeginGetContext(new AsyncCallback(ListenerCallback), listener);
result.AsyncWaitHandle.WaitOne();
}
}
public static void ListenerCallback(IAsyncResult result) {
HttpListener listener = (HttpListener)result.AsyncState;
HttpListenerContext context = listener.EndGetContext(result);
WebDavEngine engine = new WebDavEngine(context.User);
context.Response.SendChunked = false;
FileLogger.Level = LogLevel.Debug;
engine.IgnoreExceptions = false;
if (UserAutorized(context)) {
try {
engine.Run(context, listener.Prefixes);
engine.CommitTransaction();
} catch {
engine.RollBackTransaction();
} finally {
engine.CloseConnection();
}
} else
context.Response.StatusCode = 401;
if (context.Response.StatusCode == 401)
ShowLoginDialog(context, context.Response);
try {
context.Response.Close();
} catch {
// client closed connection before the content was sent
}
}
private static bool UserAutorized(HttpListenerContext context) {
HttpListenerBasicIdentity identity = (HttpListenerBasicIdentity)context.User.Identity;
if (!identity.IsAuthenticated) {
string username = identity.Name;
// workaround for Windows Vista Basic authentication. User name may be submitted in the following format: Machine\User.
int ind = username.LastIndexOf('\\');
if (ind > 0)
username = username.Remove(0, ind + 1);
Console.WriteLine("Trying Authentication since identity is NOT authenticated");
return false;
} else {
Console.WriteLine("identity.IsAuthenticated: " + identity.IsAuthenticated.ToString());
return identity.IsAuthenticated;
}
}
РЕДАКТИРОВАТЬ: +1 для одного документа, который действительно открыл мне глаза на каприз схемы аутентификации и как они работают. Если я не ошибаюсь, похоже, что схема дайджеста может поддерживать «сеанс» или, по крайней мере, истечение срока действия, чтобы повторить мою пользовательскую аутентификацию.