2. 程式人生 > >c# WebApi之身份驗證:Basic基礎認證

c# WebApi之身份驗證:Basic基礎認證

阿新 發佈:2019-01-01

WebApi相關文章:

為什麼需要身份認證

身份認證是為了提高介面訪問的安全性,如果沒有身份驗證,那麼任何匿名使用者只要知道伺服器的url,就可以隨意訪問伺服器,從而訪問或者操作資料庫,這會是很恐怖的事。

什麼是Basic基礎認證

Basic基礎認證是一種簡單的使用者名稱、密碼驗證過程,它的主要原理是加密使用者資訊,生成票據,每次需要身份驗證時將票據帶過來驗證,實現步驟為:

  1. 使用者登入,登入成功後將生成的票據返回到前端;
  2. 前端登入成功後,收到票據資訊,跳轉到主頁面,並且吧票據一併帶過去,存入Session;
  3. 在需要請求頁面,把票據資訊加入到請求的Head裡面,將票據資訊隨著請求一起傳送到服務端去;
  4. 在WebApi服務裡面定義一個類,繼承AuthorizeAttribute類,然後重寫父類的OnAuthorization方法,在OnAuthorization方法裡面取到當前http請求的Head,從Head裡面取到我們前端傳過來的票據資訊。解密票據資訊,從解密的資訊裡面得到使用者名稱和密碼,然後驗證使用者名稱和密碼是否正確。如果正確,表示驗證通過,否則返回自定義錯誤資訊。

Basic基礎認證的程式碼示例:

首先新建兩個專案:Web測試站點、WebApi站點
這裡寫圖片描述

1.1、在Web測試站點,新增一個登入頁面:

<div style="text-align:center;"
 
>
        <div>使用者名稱:<input type="text" id="txt_username" /></div>
        <div>密  碼:<input type="password" id="txt_password" /></div>
        <div><input type="button" value="登入" id="btn_login" class="btn-default" /></div>
    </div>

登入請求的ajax:

 $(function () {
    $("#btn_login").click(function () {
        $.ajax({
            type: "get",
            url: "http://localhost:61593/api/account/login",
            data: { strUser: $("#txt_username").val(), strPwd: $("#txt_password").val() },
            success: function (data, status) {
                if (status == "success") {
                    if (!data.bRes) {
                        alert("登入失敗");
                        return;
                    }
                    alert("登入成功");
                    //登入成功之後將使用者名稱和使用者票據帶到主介面
                    window.location = "/Home/Index?UserName=" + data.UserName + "&Ticket=" + data.Ticket;

                }
            },
            error: function (e) {
            },
            complete: function () {

            }

        });
    });
});

1.2、對應的WebApi站點的,登入的Api介面:

/// <summary>
/// 使用者登入
/// </summary>
/// <param name="strUser"></param>
/// <param name="strPwd"></param>
/// <returns></returns>
[HttpGet]
public object Login(string strUser, string strPwd)
{
    if (!ValidateUser(strUser, strPwd))
    {
        return new { bRes = false };
    }
    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateTime.Now,
                    DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", strUser, strPwd),
                    FormsAuthentication.FormsCookiePath);
    //返回登入結果、使用者資訊、使用者驗證票據資訊
    var oUser = new UserInfo { bRes = true, UserName = strUser, Password = strPwd, Ticket = FormsAuthentication.Encrypt(ticket) };
    //將身份資訊儲存在session中,驗證當前請求是否是有效請求
    HttpContext.Current.Session[strUser] = oUser;
    return oUser;
}

//校驗使用者名稱密碼(正式環境中應該是資料庫校驗)
private bool ValidateUser(string strUser, string strPwd)
{
    if (strUser == "admin" && strPwd == "123456")
    {
        return true;
    }
    else
    {
        return false;
    }
}

自定義UserInfo實體:

public class UserInfo
{
    public bool bRes { get; set; }
    public string UserName { get; set; }
    public string Password { get; set; }
    public string Ticket { get; set; }
}

新建的WebApi需要配置一下路由,開啟App_Start資料夾下的WebApiConfig.cs檔案,新增一條路由資訊:

public static void Register(HttpConfiguration config)
{
    //解決跨域訪問問題
    config.EnableCors(new EnableCorsAttribute("*", "*", "*"));

    // Web API 路由
    config.MapHttpAttributeRoutes();
    config.Routes.MapHttpRoute(
        name: "DefaultApi1",
        routeTemplate: "api/{controller}/{action}/{id}",
        defaults: new { id = RouteParameter.Optional }
    );
}

2.1、在Web測試站點新增一個用於跳轉測試的index主頁面

<html>
<head>
    <meta name="viewport" content="width=device-width" />
    <title>Index</title>
    <script src="~/Scripts/jquery-1.10.2.min.js"></script>
</head>
<body>
    測試結果:
    <div id="div_test">
        hello world
    </div>
    當前登入使用者:
    <div id="username">
        @ViewBag.UserName
    </div>
</body>
</html>

ajax請求:

<script>
    var ApiUrl = "http://localhost:61593/";
    $(function () {
        $.ajax({
            type: "get",
            url: ApiUrl + "api/Account/GetAllData",
            data: {},
            beforeSend:function(XHR){                XHR.setRequestHeader('Authorization','BasicAuth @ViewBag.Ticket')
            },
            success: function (data, status) {
                if (status == "success") {
                    $("#div_test").html(data);
                }
            },
            error: function (e) {
                $("#div_test").html("Error");
            }
        });
    });
</script>

這裡需要注意在beforeSend方法裡面,向請求的報文頭裡面增加票據資訊,用於把Ticket資訊一同帶到伺服器:
XHR.setRequestHeader(‘Authorization’,’BasicAuth @ViewBag.Ticket’)
這裡寫圖片描述

2.2、index頁面的action,接收傳遞過來的票據資料,存入Session

public ActionResult Index(string UserName, string Ticket)
{
    if (UserName != null)
    {
        Session["UserName"] = UserName;
    }
    if (Ticket != null)
    {
        Session["Ticket"] = Ticket;
    }

    ViewBag.UserName = Session["UserName"];
    ViewBag.Ticket = Session["Ticket"];
    return View();
}

2.3、對應的Api介面:

public class AccountController : ApiController
{
    /// <summary>
    /// 得到所有資料
    /// </summary>
    /// <returns>返回資料</returns>
    [HttpGet]
    [RequestAuthorize]
    public string GetAllData()
    {
        return "Success";
    }
}

WebAip預設是沒有開啟Session,需要手動開啟:
在WebApi站點,開啟Global.asax檔案,重寫Init()方法

public override void Init()
{
    this.PostAuthenticateRequest += (sender, e) => HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required);
    base.Init();
}

或者:

public override void Init()
{
    PostAuthenticateRequest += MvcApplication_PostAuthenticateRequest;
    base.Init();
}

void MvcApplication_PostAuthenticateRequest(object sender, EventArgs e)
{
    HttpContext.Current.SetSessionStateBehavior(
        SessionStateBehavior.Required);
}

3.1、WebApi身份驗證部分(重點)
在WebApi站點,新增一個RequestAuthorizeAttribute.cs檔案,繼承AuthorizeAttribute,自定義此特性用於介面的身份驗證:

 /// <summary>
/// 自定義此特性用於介面的身份驗證
/// </summary>
public class RequestAuthorizeAttribute : AuthorizeAttribute
{
    //重寫基類的驗證方式,加入我們自定義的Ticket驗證
    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        //從http請求的頭裡面獲取身份驗證資訊,驗證是否是請求發起方的ticket
        var authorization = actionContext.Request.Headers.Authorization;
        if ((authorization != null) && (authorization.Parameter != null))
        {
            //解密使用者ticket,並校驗使用者名稱密碼是否匹配
            var encryptTicket = authorization.Parameter;
            if (ValidateTicket(encryptTicket))
            {
                base.IsAuthorized(actionContext);
            }
            else
            {
                HandleUnauthorizedRequest(actionContext);
            }
        }
        //如果取不到身份驗證資訊,並且不允許匿名訪問,則返回未驗證401
        else
        {
            var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
            bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
            if (isAnonymous) base.OnAuthorization(actionContext);
            else HandleUnauthorizedRequest(actionContext);
        }
    }

    protected override void HandleUnauthorizedRequest(HttpActionContext actioncontext)
    {
        base.HandleUnauthorizedRequest(actioncontext);

        var response = actioncontext.Response = actioncontext.Response ?? new HttpResponseMessage();
        response.StatusCode = HttpStatusCode.Forbidden;
        var content = new
        {
            code = -1,
            success = false,
            errs = new[] { "服務端拒絕訪問:你沒有許可權,或者掉線了" }
        };
        response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json");
    }

    //校驗使用者名稱密碼(正式環境中應該是資料庫校驗)
    private bool ValidateTicket(string encryptTicket)
    {
        //解密Ticket
        var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData;

        //從Ticket裡面獲取使用者名稱和密碼
        var index = strTicket.IndexOf("&");
        string strUser = strTicket.Substring(0, index);
        string strPwd = strTicket.Substring(index + 1);

        if (strUser == "admin" && strPwd == "123456")
        {
            return true;
        }
        else
        {
            return false;
        }
    }
}

3.2、使用的時候只需要在控制器前面加上自定義的身份驗證[RequestAuthorize]

/// <summary>
/// 得到所有資料
/// </summary>
/// <returns>返回資料</returns>
[HttpGet]
[RequestAuthorize]
public string GetAllData()
{
    return "Success";
}

這裡寫圖片描述

這裡寫圖片描述

這裡寫圖片描述

如果不攜帶票據或者票據無效,服務端拒絕訪問:
這裡寫圖片描述

如果在控制器加了身份驗證,有些請求又不想使用驗證,可以在方法上面新增特性標註[AllowAnonymous]

[RequestAuthorize]
public class AccountController : ApiController
{
    /// <summary>
    /// 得到所有資料
    /// </summary>
    /// <returns>返回資料</returns>
    [HttpGet]
    public string GetAllData()
    {
        return "Success";
    }

    [AllowAnonymous]
    public string getData()
    {
        return "data";
    }
}

相關推薦

c# WebApi身份驗證Basic基礎認證

WebApi相關文章: 為什麼需要身份認證 身份認證是為了提高介面訪問的安全性,如果沒有身份驗證,那麼任何匿名使用者只要知道伺服器的url,就可以隨意訪問伺服器,從而訪問或者操作資料庫,這會是很恐怖的事。 什麼是Basic基礎認證 Basic基礎

C#進階系列——WebApi 身份認證解決方案Basic基礎認證

str 常見 bre 這一 dex ace timeout ticket 結合 閱讀目錄 一、為什麽需要身份認證 二、Basic基礎認證的原理解析 1、常見的認證方式 2、Basic基礎認證原理 三、Basic基礎認證的代碼示例 1、登錄過程 2、/Home/I

c# WebApi解決跨域問題Cors

error: avi 域名 1.10 settings dev ger gin .dll 什麽是跨域問題 出於安全考慮,瀏覽器會限制腳本中發起的跨站請求,瀏覽器要求JavaScript或Cookie只能訪問同域下的內容。由於這個原因,我們不同站點之間的數據訪問會被

spring boot 項目登錄模塊身份驗證

ots security log space 求和 pri boot ace 數據 最近領導安排做一個微餐廳項目,需要做幾個網頁來管理數據,首先要寫一個登錄模塊,主要關註登錄成功後session中數據的存放與校驗,以及攔截器。 在網上找了挺多,找到了一篇比較簡單易懂的htt

Shiro學習身份驗證

druid 進行 out 總結 文件 sele path iss .get 身份驗證,即在應用中誰能證明他就是他本人。一般提供如他們的身份ID一些標識信息來表明他就是他本人,如提供身份證,用戶名/密碼來證明。 在shiro中,用戶需要提供principals (身份)和cr

C#學習設計模式工廠模式

缺陷 進行 type 系列 concrete 改變 cnblogs static 優劣   最近研究一下設計模式中工廠模式的應用,在此記錄如下:   什麽是工廠模式?   工廠模式屬於設計模式中的創造型設計模式的一種。它的主要作用是協助我們創建對象,為創建對象提供最佳的方式

Effective C++筆記十五inline函式的裡裡外外

1.inline函式簡介 inline函式是由inline關鍵字來定義,引入inline函式的主要原因是用它替代C中複雜易錯不易維護的巨集函式。 2.編譯器對inline函式的處理辦法 inline對於編譯器而言,在編譯階段完成對inline函式的處理。將呼叫動作替換為函式的本體。但是它只是一種

基於 Token 的身份驗證JSON Web Token

最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等, 比起傳統的身份驗證方法,Token 擴充套件性更強

CTF知識補充網路基礎淺談(一)

開始做CTF題目的時候發現有太多的知識需要補救了,接下來就講講網路的一些基礎知識。因為是自學,肯定會不全面,大家看看就行,有不同見解的也可以在下方評論。 計算機網路體系結構的形成 在此之前,人們已經提出並設計出了計算機體系結構,從系統的角度去定義計算機的構成和

effective c++乾貨條款04確定物件被使用前已先被初始化

1. 總是用成員初始化列初始化成員變數。 int x; //在某些情況下,x可能被初始化為0,也可能不被初始化,出現隨機值 class MyClass { private: int x; int y; }; ... MyClass p; //在某些情況下,x

effective c++乾貨條款05瞭解C++預設編寫並呼叫哪些函式

如果你寫了一個空類: class EmptyClass { }; 當你寫下以下程式碼時: EmptyClass a; //編譯器會自動為你建立一個建構函式,一個解構函式 EmptyClass b();//編譯器會自動為你建立一個拷貝建構函式 EmptyClass c =

effective c++乾貨條款06若不想使用編譯器自動生成的函式,就該明確拒絕

假如你建立了一個類用來表示世界上的每一個人: class aPerson { //... }; 每一個人都是獨一無二的,所以為一個人做一個副本顯得有悖倫理道德,那麼我們就應該禁止拷貝構造和copy assignment操作(統稱為copying 函式)。 不幸的

effective c++乾貨條款07為多型基類宣告virtual解構函式

1. 避免記憶體洩漏 首先,我們實現一個多型: class CPeople { public: CPeople(){} virtual ~CPeople(){} }; class CChinese:public CPeople { public:

effective c++乾貨條款13以物件管理資源

對於c++來說,一般所指的資源就是動態分配的記憶體,其實資源還包括互斥鎖,網路套接字等。 如果我們定義了一個物件: class Bird { //... }; 在一個函式中,如果我們new了一個Brid物件: void Fun() { Bird *bi

《Kotlin實戰》學習筆記第二章Kotlin基礎

一、基本要素:函式和變數 1、Hello,world fun main(args: Array<Stirng>) { println("Hello, world!") } 關鍵字

.Net WebAPI JWT身份驗證

一、開發環境 VS2017  enterprise win10 Pro 64 .net 4.6.2 二、開發過程 1、使用VS2017 建立.netframework專案,選擇WebApi 2、從Nuget包中搜索並安裝JWT 3、在Models中建

WebApi 增加身份驗證 (OAuth 2.0方式)

1,在Webapi專案下新增如下引用:Microsoft.AspNet.WebApi.OwinOwinMicrosoft.Owin.Host.SystemWebMicrosoft.Owin.Security.OAuthMicrosoft.Owin.Security.CookiesMicrosoft.AspNe

c# WebApi介面返回型別詳解

WebApi相關文章: Webapi的介面返回值主要有四種類型 void無返回值 IHttpActionResult HttpResponseMessage 自定義型別 void無返回值 大家都知道void宣告的是一個無返回值的方法,宣告一個api

VSCode+.Net Core 2.0 WebAPI JWT身份驗證

一、使用VSCode 建立WebApi 1、在官網下載 VSCode以及dotnet-sdk-2.1的安裝包(本人為windows64) 2、安裝包安裝完成後,啟動VSCode,使用dotnet 命令 dotnet new webapi 建立一個webAPi專案 二、a

java 域伺服器 驗證 到與伺服器端用域使用者進行身份驗證

try {               UniAddress dc = UniAddress.getByName("192.168.10.229");               jcifs.smb.NtlmPasswordAuthentication auth =new