2. 程式人生 > >ASP.NET Core中使用自定義驗證屬性控制訪問許可權

ASP.NET Core中使用自定義驗證屬性控制訪問許可權

阿新 發佈:2018-12-16

在應用中,有時我們需要對訪問的客戶端進行有效性驗證,只有提供有效憑證(AccessToken)的終端應用能訪問我們的受控站點(如WebAPI站點),此時我們可以通過驗證屬性的方法來解決。

一、public class Startup的配置:

//啟用跨域訪問(不同埠也是跨域) services.AddCors(options => { options.AddPolicy("AllowOriginOtherBis", builder => builder.WithOrigins("https://1.16.9.12:4432", "https://pc12.ato.biz:4432", "https://localhost:44384", "https://1.16.9.12:4432", "https://pc12.ato.biz:4432").AllowAnyMethod().AllowAnyHeader()); });

//啟用自定義屬性以便對控制器或Action進行[TerminalApp()]定義。

services.AddSingleton<IAuthorizationHandler, TerminalAppAuthorizationHandler>(); services.AddAuthorization(options => { options.AddPolicy("TerminalApp", policyBuilder => { policyBuilder.Requirements.Add(new TerminalAppAuthorizationRequirement()); }); });

二、public void Configure(IApplicationBuilder app, IHostingEnvironment env)中的配置:

app.UseHttpsRedirection();  //使用Https傳輸 app.UseCors("AllowOriginOtherBis"); //根據定義啟用跨域設定

三、示例WebApi專案結構:

四、主要程式碼(我採用的從資料庫進行驗證):

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = true
 
)]
    internal class TerminalAppAttribute : AuthorizeAttribute
    {
        public string AppID { get; }

        /// <summary>
        /// 指定客戶端訪問API
        /// </summary>
        /// <param name="appID"></param>
        public TerminalAppAttribute(string appID="") : base("TerminalApp")
        {
            AppID = appID;
        }
    }
TerminalAppAttribute.cs 
    public abstract class AttributeAuthorizationHandler<TRequirement, TAttribute> : AuthorizationHandler<TRequirement> where TRequirement : IAuthorizationRequirement where TAttribute : Attribute
    {
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, TRequirement requirement)
        {
            var attributes = new List<TAttribute>();

            if ((context.Resource as AuthorizationFilterContext)?.ActionDescriptor is ControllerActionDescriptor action)
            {
                attributes.AddRange(GetAttributes(action.ControllerTypeInfo.UnderlyingSystemType));
                attributes.AddRange(GetAttributes(action.MethodInfo));
            }

            return HandleRequirementAsync(context, requirement, attributes);
        }

        protected abstract Task HandleRequirementAsync(AuthorizationHandlerContext context, TRequirement requirement, IEnumerable<TAttribute> attributes);

        private static IEnumerable<TAttribute> GetAttributes(MemberInfo memberInfo)
        {
            return memberInfo.GetCustomAttributes(typeof(TAttribute), false).Cast<TAttribute>();
        }
    }

    internal class TerminalAppAuthorizationHandler : AttributeAuthorizationHandler<TerminalAppAuthorizationRequirement,TerminalAppAttribute>
    {
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, TerminalAppAuthorizationRequirement requirement, IEnumerable<TerminalAppAttribute> attributes)
        {
            object errorMsg = string.Empty;
            //如果取不到身份驗證資訊,並且不允許匿名訪問,則返回未驗證403
            if (context.Resource is AuthorizationFilterContext filterContext &&
filterContext.ActionDescriptor is ControllerActionDescriptor descriptor)
            {
                //先判斷是否是匿名訪問,
                if (descriptor != null)
                {
                    var actionAttributes = descriptor.MethodInfo.GetCustomAttributes(inherit: true);
                    bool isAnonymous = actionAttributes.Any(a => a is AllowAnonymousAttribute);
                    //非匿名的方法,連結中新增accesstoken值
                    if (isAnonymous)
                    {
                        context.Succeed(requirement);
                        return Task.CompletedTask;
                    }
                    else
                    {
                        //url獲取access_token
                        //從AuthorizationHandlerContext轉成HttpContext,以便取出表求資訊
                        var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext;
                        //var questUrl = httpContext.Request.Path.Value.ToLower();
                        string requestAppID = httpContext.Request.Headers["appid"];
                        string requestAccessToken = httpContext.Request.Headers["access_token"];
                        if ((!string.IsNullOrEmpty(requestAppID)) && (!string.IsNullOrEmpty(requestAccessToken)))
                        {
                            if (attributes != null)
                            {
                                //當不指定具體的客戶端AppID僅運用驗證屬性時預設所有客戶端都接受
                                if (attributes.ToArray().ToString()=="") 
                                {
                                    //任意一個在資料庫列表中的App都可以執行,否則先判斷提交的APPID與需要ID是否相符
                                    bool mat = false;
                                    foreach (var terminalAppAttribute in attributes)
                                    {
                                        if (terminalAppAttribute.AppID == requestAppID)
                                        {
                                            mat = true;
                                            break;
                                        }
                                    }
                                    if (!mat)
                                    {
                                        errorMsg = ReturnStd.NotAuthorize("客戶端應用未在服務端登記或未被授權運用當前功能.");
                                        return HandleBlockedAsync(context, requirement, errorMsg);
                                    }
                                }
                            }

                            //如果未指定attributes,則表示任何一個終端服務都可以呼叫服務, 在驗證區域驗證終端提供的ID是否匹配資料庫記錄
                            string valRst = ValidateToken(requestAppID, requestAccessToken);
                            if (string.IsNullOrEmpty(valRst))
                            {
                                context.Succeed(requirement);
                                return Task.CompletedTask;
                            }
                            else
                            {
                                errorMsg = ReturnStd.NotAuthorize("AccessToken驗證失敗(" + valRst + ")","91");
                                return HandleBlockedAsync(context, requirement, errorMsg);
                            }
                        }
                        else
                        {
                            errorMsg = ReturnStd.NotAuthorize("未提供AppID或Token."); 
                            return HandleBlockedAsync(context, requirement, errorMsg);
                            //return Task.CompletedTask;
                        }
                    }
                }
            }
            else
            {
                errorMsg = ReturnStd.NotAuthorize("FilterContext型別不匹配.");
                return HandleBlockedAsync(context, requirement, errorMsg);
            }

            errorMsg = ReturnStd.NotAuthorize("未知錯誤.");
            return HandleBlockedAsync(context,requirement, errorMsg);
        }


        //校驗票據(資料庫資料匹配)
        /// <summary>
        /// 驗證終端服務程式提供的AccessToken是否合法
        /// </summary>
        /// <param name="appID">終端APP的ID</param>
        /// <param name="accessToken">終端APP利用其自身AppKEY運算出來的AccessToken,與伺服器生成的進行比對</param>
        /// <returns></returns>
        private string ValidateToken(string appID,string accessToken)
        {
            try
            {
                DBContextMain dBContext = new DBContextMain();
                string appKeyOnServer = string.Empty;
                //從資料庫讀取AppID對應的KEY(此KEY為加解密演算法的AES_KEY
                AuthApp authApp = dBContext.AuthApps.FirstOrDefault(a => a.AppID == appID);
                if (authApp == null)
                {
                    return "客戶端應用沒有在雲端登記!";
                }
                else
                {
                    appKeyOnServer = authApp.APPKey;
                }
                if (string.IsNullOrEmpty(appKeyOnServer))
                {
                    return "客戶端應用基礎資訊有誤!"; 
                }

                string tmpToken = string.Empty;
                tmpToken = System.Net.WebUtility.UrlDecode(accessToken);//解碼相應的Token到原始字元(因其中可能會有+=等特殊字元,必須編碼後傳遞)
                tmpToken = OCrypto.AES16Decrypt(tmpToken, appKeyOnServer); //使用APPKEY解密並分析

                if (string.IsNullOrEmpty(tmpToken))
                {
                    return "客戶端提交的身份令牌運算為空!";
                }
                else
                {
                    try
                    {
                        //原始驗證碼為im_cloud_sv001-appid-ticks格式
                        //取出時間,與伺服器時間對比,超過10秒即拒絕服務
                        long tmpTime =Convert.ToInt64(tmpToken.Substring(tmpToken.LastIndexOf("-")+1));
                        //DateTime dt = DateTime.ParseExact(tmpTime, "yyyyMMddHHmmss", CultureInfo.CurrentCulture);
                        DateTime dt= new DateTime(tmpTime);
                        bool IsInTimeSpan = (Convert.ToDouble(ODateTime.DateDiffSeconds(dt, DateTime.Now)) <= 7200);
                        bool IsInternalApp = (tmpToken.IndexOf("im_cloud_sv001-") >= 0);
                        if (!IsInternalApp || !IsInTimeSpan)
                        {
                            return "令牌未被許可或已經失效!";
                        }
                        else
                        {
                            return string.Empty; //成功驗證
                        }
                    }
                    catch (Exception ex)
                    {
                        return "令牌解析出錯(" + ex.Message + ")";
                    }

                }
            }
            catch (Exception ex)
            {
                return "令牌解析出錯(" + ex.Message + ")";
            }
        }

        private Task HandleBlockedAsync(AuthorizationHandlerContext context, TerminalAppAuthorizationRequirement requirement, object errorMsg)
        {
            var authorizationFilterContext = context.Resource as AuthorizationFilterContext;
            authorizationFilterContext.Result = new JsonResult(errorMsg) { StatusCode = 202 };
            //設定為403會顯示不了自定義資訊,改為Accepted202,由客戶端處理
            context.Succeed(requirement);
            return Task.CompletedTask;
        }
    }
TerminalAppAuthorizationHandler.cs 
    internal class TerminalAppAuthorizationRequirement : IAuthorizationRequirement
    {
        public TerminalAppAuthorizationRequirement()
        {
        }
    }
TerminalAppAuthorizationRequirement.cs

五、相應的Token驗證程式碼:

    [AutoValidateAntiforgeryToken]  //在本控制器內自動啟用跨站攻擊防護
    [Route("api/get_accesstoken")]
    public class GetAccessTokenController : Controller
    {
        //尚未限制訪問頻率
        //返回{"access_token":"ACCESS_TOKEN","expires_in":7200} 有效期2個小時
        //錯誤時返回{"errcode":40013,"errmsg":"invalid appid"}
        [AllowAnonymous]
        public ActionResult<string> Get()
        {
            try
            {
                string tmpToken = string.Empty;

                string appID = HttpContext.Request.Headers["appid"];
                string appKey = HttpContext.Request.Headers["appkey"];

                if ((appID.Length < 5) || appKey.Length != 32)
                {
                    return "{'errcode':10000,'errmsg':'appid或appkey未提供'}";
                }
                //token採用im_cloud_sv001-appid-ticks數字
                long timeTk = DateTime.Now.Ticks; //輸出毫微秒:633603924670937500
                                                  //DateTime dt = new DateTime(timeTk);//可以還原時間

                string plToken = "im_cloud1-" + appID + "-" + timeTk;
                tmpToken = OCrypto.AES16Encrypt(plToken, appKey); //使用APPKEY加密

                tmpToken = System.Net.WebUtility.UrlEncode(tmpToken);
                //編碼相應的Token(因其中可能會有+=等特殊字元,必須編碼後傳遞)
                tmpToken = "{'access_token':'" + tmpToken + "','expires_in':7200}";
                return tmpToken;
            }
            catch (Exception ex)
            {
                return "{'errcode':10001,'errmsg':'" + ex.Message +"'}";
            }
        }
    }
GetAccessTokenController.cs

六、這樣,在我們需要控制的地方加上

[TerminalApp()] 即可,這樣所有授權的App都能訪問,當然,也可以使用[TerminalApp(“app01”)]限定某一個ID為app01的應用訪問。
    [Area("SYS")]        // 路由: api/sys/user
    [Produces("application/json")]
    [TerminalApp()]  
    public class UserController : Controller
{
//
}

相關推薦

ASP.NET Core使用定義驗證屬性控制訪問許可權

在應用中,有時我們需要對訪問的客戶端進行有效性驗證,只有提供有效憑證(AccessToken)的終端應用能訪問我們的受控站點(如WebAPI站點),此時我們可以通過驗證屬性的方法來解決。 一、public class Startup的配置: //啟用跨域訪問(不同埠也是跨域) serv

ASP.NET Core - 實現定義WebApi模型驗證

  Framework時代     在Framework時代,我們一般進行引數驗證的時候,以下程式碼是非常常見的 [HttpPost] public async Task<JsonResult> SaveNewCustomerAsnyc(AddCustom

Asp.Net Core 通過定義中間件防止圖片盜鏈的實例(轉)

訪問 沒有 static padding task start leg 自我 header 一、原理 要實現防盜鏈,我們就必須先理解盜鏈的實現原理,提到防盜鏈的實現原理就不得不從HTTP協議說起,在HTTP協議中,有一個表頭字段叫referer,采用URL的格式來表示從哪兒

ASP.NET Core Identity定義資料庫結構和完全使用Dapper而非EntityFramework Core

前言 原本本節內容是不存在的,出於有幾個人問到了我:我想使用ASP.NET Core Identity,但是我又不想使用預設生成的資料庫表,想自定義一套,我想要使用ASP.NE Core Identity又不想使用EntityFramework Core。真難伺候,哈哈,不過我認為這個問題提出的非常有價值,

asp.net core razor定義taghelper

又一個新的名詞(taghelper),通過taghelper是可以操作html標籤、條件輸出、更是自由新增內外元素。當然也內建了挺多的asp-開頭的taghelper。 下面文章中也簡單的帶大家實現一個taghelper; 建立自定義html元素 建立一個類ButtonTagHelper tagName為

ASP.NET Core AutoWrapper 定義響應輸出

## 前言 AutoWrapper是一個簡單可自定義全域性異常處理程式和ASP.NET Core API響應的包裝。他使用ASP.NET Core middleware攔截傳入的HTTP請求,並將最後的結果使用統一的格式來自動包裝起來.目的主要是讓我們更多的關注業務特定的程式碼要求,並讓包裝器自動處理HTT

從零搭建一個IdentityServer——聊聊Asp.net core的身份驗證與授權

  OpenIDConnect是一個身份驗證服務,而Oauth2.0是一個授權框架,在前面幾篇文章裡通過IdentityServer4實現了基於Oauth2.0的客戶端證書(Client_Credentials)、使用者名稱密碼(Password)的授權流程,同時也實現OpenIDConnect的授權碼(Au

asp.net core遇到需要定義數據包解密方法的時候

聲明 AD AR 但是 sof AC asp 參數聲明 request 最近將公司的項目用.netcore重寫, 服務的http外部接口部分收發消息是DES加解密的, 那麽在asp.net core mvc的action處理之前需要加入解密這個步驟. 我第一想到的是用f

Asp.Net Core IdentityServer4 授權中心之定義授權模式

## 一、前言 上一篇我分享了一篇關於 [Asp.Net Core 中IdentityServer4 授權中心之應用實戰](https://www.cnblogs.com/jlion/p/12447081.html) 的文章,其中有不少博友給我提了問題,其中有一個博友問我的一個場景,我給他解答的還不夠完美,

ASP.NET Core建立定義端點視覺化圖

在[上篇文章中](https://www.cnblogs.com/yilezhu/p/13336066.html),我為構建自定義端點視覺化圖奠定了基礎,正如我[在第一篇文章中](https://www.cnblogs.com/yilezhu/p/13301981.html)展示的那樣。該圖顯示了端點路由的不

ASP.NET Core 的 WebSocket 支持(轉MSDN)

ocs 接收 緩沖 任務 ica uget 本地服務器 tcp msdn 本文介紹 ASP.NET Core 中 WebSocket 的入門方法。 WebSocket (RFC 6455) 是一個協議,支持通過 TCP 連接建立持久的雙向信道。 它用於從快速實時通信中獲益的

ASP.NET Core使用IOC三部曲(一.使用ASP.NET Core帶的IOC容器)

https://www.cnblogs.com/GuZhenYin/p/8297145.html   今天我們主要講講如何使用自帶IOC容器,emm..雖然自帶的功能不是那麼強大,但是勝在輕量級..而且..不用引用別的庫.. 在新的ASP.NET Core中,大量的採用了依賴注

ASP.NET Core使用IOC三部曲(二.採用Autofac來替換IOC容器,並實現屬性注入)

https://www.cnblogs.com/GuZhenYin/p/8301500.html     上一篇我們說過ASP.NET Core中自帶的IOC容器是屬於輕量級的,功能並不是很多,只是提供了基礎功能而已.. 所以今天我們主要講講如何採用Autofac

ASP.NET Core 的 WebSocket 支援(轉MSDN)

本文介紹 ASP.NET Core 中 WebSocket 的入門方法。 WebSocket (RFC 6455) 是一個協議,支援通過 TCP 連線建立持久的雙向通道。 它用於從快速實時通訊中獲益的應用,如聊天、儀表板和遊戲應用。 如果不明白什麼是WebSocket可以參考這篇文章   系統

Asp.Net CoreJson序列化處理整理

忽略 化工 res ref 工具 使用 asp.net ctr ide 一、Asp.Net Core中的Json序列化處理使用的是Newtonsoft.Json,更多參考:C# Newtonsoft.Json JsonSerializerSettings配置序列化操作,C#

asp.net core負載均衡場景下http重定向https的問題

進行 urn 循環 == 是否 美的 err add ddr 上周欣喜地發現,微軟官方終於針對 asp.net core 在使用負載均衡的情況下從 http 強制重定向至 https 的問題提供了解決方法。 app.UseForwardedHeaders(new Fo

體驗 ASP.NET Core 的多語言支持(Localization)

lan expander -c blank 根據 body esp doc input 首先在 Startup 的 ConfigureServices 中添加 AddLocalization 與 AddViewLocalization 以及配置 RequestLocaliz

asp.net MVC Session統一驗證的方法

pla sta tails project ssi 一個 str urn string 驗證登錄狀態的方法有:1 進程外Session 2 方法過濾器(建一個類繼承ActionFilterAttribute)然後給需要驗證的方法或控制器加特性標簽 3 :新建一個Ba

ASP.NET MVC使用FluentValidation驗證實體

state route html 程序 app int pre ima add 1、FluentValidation介紹   FluentValidation是與ASP.NET DataAnnotataion Attribute驗證實體不同的數據驗證組件,提供了將實體與驗證

ASP.NET MVC下定義錯誤頁和展示錯誤頁的幾種方式

提供服務 one url attribute 運行 16px execute 釋放 namespace 在網站運行中,錯誤是不可避免的,錯誤頁的產生也是不可缺少的。 這幾天看了博友的很多文章,自己想總結下我從中學到的和實際中配置的。 首先,需要知道產生錯誤頁的來源,一種