承認の復習

ところで、認証の前に ASP.NET MVC における承認のほうを片付けておきましょう。ASP.NET MVC では web.config の タグ以外に、AuthorizeAttribute 属性によって タグと同じようにユーザまたはロールによってアクセス許可を行うことができます。

// このコントローラのすべてのアクションの承認には、Administrators ロールが必要
[Authorize(Roles="Administrators")]
public class MyController : Controller
{
    // このアクションメソッドは、user1 または user2 でのみ承認される
    [Authorize(Users="user1,user2")]
    public ActionResult Action1()
    {
        /* ... */
    }
}

ASP.NET MVC では特定のアクションメソッドにルーティングされる URL が複数ありえるため、web.config の タグを適切にメンテナンスするよりも属性によって宣言しておくほうがお手軽なのでオススメですね。同様の理由で、今回の認証についても属性でやってしまおうと考えるわけです。*1

やるべきこと

冒頭に書いているように、ASP.NET MVC では ASP.NET の機能をそのまま使っていることが多い設計となっており、AuthorizeAttribute も ASP.NET の標準的な動作……つまり、ユーザ認証結果が HttpContext.User に格納されていることを期待しています。このため、作成する Basic 認証の仕組みでは AuthorizeAttribute による承認の仕組みに先立って、認証結果に従ったユーザを HttpContext.User に設定する必要があります。AuthorizeAttribute はアクションフィルタで最も最初に実行される承認フィルタに属するフィルタですが、ASP.NET MVC ではフィルタ属性に Order というプロパティがあって実行順序を設定することができるようになっており、このプロパティを設定することで「認証フィルタ→承認フィルタ」という順序を踏ませることができます。

認証の前に

認証から承認へのルート以外に必要なことがあります。それは、ユーザ エージェントへ認証の要求を行うことです。ASP.NET MVC では、アクションの実行が確定してからレスポンスの確定が行われるルートが大きく３つあります。*2 例外発生時のルート(c)は別にして、残りの２ルートで認証の要求が必要な場合に、適切なレスポンスを生成しなければなりません。
出力フィルタを通るルート(a)では、出力フィルタを用いてレスポンスの入れ替えが可能ですが、問題になるのは承認フィルタからのエラールート(b)です。承認フィルタの実行では、Order が未指定*3のフィルタが最初に実行され、その後に指定された Order の小さいものから大きいものへと実行されていきます。AuthorizeAttribute は、ユーザ認証が行われていない場合*4や、認証結果で得られたユーザの権限が十分ではなくアクセス承認ができない場合*5には、HttpUnauthorizedRequest を返すようになっています。これは、一般的な認証設定であれば冒頭の図のフローの末尾にあるような IIS や ASP.NET の HttpModule によって処理され、適切な認証要求に変換されます。しかし、今回はその機能を利用できない*6ため、これらのシチュエーションで適切な認証要求を作成する必要があります。
この２つの処理についての実装を考えると、ASP.NET MVC 側で認証と承認を行う場合には、

• ユーザ認証に必要な情報が提示されていない場合
  • 認証フェーズと承認フェーズ、どちらでも検出できる
  • authentication mode が Windows や Forms の場合、認証フェーズでは匿名アクセスとして扱う
  • 承認フェーズを実装した AuthorizeAttribute には、すでに実装済みだが認証要求は発生しない
• ユーザ権限が不足している場合
  • 承認フェーズでしか検出できない
  • 承認フェーズを実装した AuthorizeAtribute には、すでに実装済みだが認証要求は発生しない
  • 認証要求を行わず、アクセス不可を返す場合も多い

このような状況になっていると思います。以上を踏まえて実装を行っていきたいと思います。