Question

我想在没有https的IIS上运行的web.api应用程序中使用客户端身份验证证书。这可以通过WCF实现，但似乎用web.api是不可能的。下面的文章明确指出了这一点，但我想理解为什么不能这样做。

http://southworks.com/blog/2014/06/16/enabling-ssl-client-certificates-in-asp-net-web-api/

注意：我理解为什么在生产中永远不应该这样做。要求是在SSL不可用的测试环境中运行服务。

由于

Answer 1

是的，如果您让应用程序验证证书而不是IIS，则可以。

确保将客户端证书设置为“接受”＆＃39;在SSL设置下的IIS中。这将确保证书传递到应用程序。＆＃39;要求SSL＆＃39;不需要勾选。

然后，您可以在代码中实现自己的证书验证。例如： http://leastprivilege.com/2013/11/11/client-certificate-authentication-middleware-for-katana

public class ClientCertificateAuthenticationHandler :
  AuthenticationHandler<ClientCertificateAuthenticationOptions>
{
    protected override Task<AuthenticationTicket> AuthenticateCoreAsync()
    {
        var cert = Context.Get<X509Certificate2>(“ssl.ClientCertificate”);


        if (cert == null)
        {
            return Task.FromResult<AuthenticationTicket>(null);
        }

        try
        {
            Options.Validator.Validate(cert);
        }

        catch
        {
            return Task.FromResult<AuthenticationTicket>(null);
        }

        var claims = GetClaimsFromCertificate(
          cert, cert.Issuer, Options.CreateExtendedClaimSet);

        var identity = new ClaimsIdentity(Options.AuthenticationType);

        identity.AddClaims(claims);

        var ticket = new AuthenticationTicket(
          identity, new AuthenticationProperties());

        return Task.FromResult<AuthenticationTicket>(ticket);
    }
}

ASP.NET web.api。我可以使用没有https的客户端身份验证证书吗

1 个答案: