2. 程式人生 > >自己開發實現OAuth做webapi認證

自己開發實現OAuth做webapi認證

阿新 發佈:2019-01-28

一、作為認證伺服器,首先需要提供一個可以通過appid/appsecret來獲取token這樣的一個介面,於是便有了以下程式碼。

複製程式碼 
    public class AuthController : ApiController
    {
        [HttpGet]
        public HttpResponseMessage Token(string appid = "", string appsecret = "")
        {
            ApiResponseEntity rep;
            var isv = AppManage.Instance.GetAppISV(appid, appsecret);
            
 
if (isv != null)
            {
                string token = TokenManage.Instance.CreateToken(appid);

                rep = new ApiResponseEntity
                {
                    Status = InterfaceStatus.Success,
                    BizData = new
                    {
                        AccessToken 
 
= token
                    }
                };
            }
            else
            {
                rep = new ApiResponseEntity()
                {
                    Status = InterfaceStatus.Parm_Missing,
                    Message = "param error"
                };
            }
            
 
return rep.ToHttpResponseMessage();
        }
}
複製程式碼

建立token的演算法可以自行實現,我是將新生成的Guid做了一下md5處理,程式碼如下:

public string CreateToken(string appid)
        {
            string token = Guid.NewGuid().ToString().ToMd5();
            Set(token, appid);
            return token;
        }

上文可以看到,在生成token了以後,就一個SetToken,就是將token儲存在快取裡面,並設定了一定時間的生存週期,程式碼如下:

public void Set(string token, string appid)
        {
            var config = ServerConfigManage.Instance.GetServerConfig();
            string key = string.Format(RedisCacheKey.App_Token, token);
            RedisNetHelper.Set<string>(key, appid, DateTime.Now.AddSeconds(config.TokenSurvivalTime));
        }

為什麼要用token做key,是因為token的變更會導致isv token驗證失效,但是用token做key就可以在存活週期內,這個key都可以使用,避免了多執行緒獲取token,或是其他原因導致的token失效。作為認證伺服器,還需要提供一個RefreshToken這樣的介面,用來給重新整理token的存活週期,程式碼相似這裡就不再贅述。

二、在Api做驗證的時候,就需要開始對Token進行驗證了,程式碼如下:

複製程式碼 
 public class OAuthHandler : DelegatingHandler
    {
        protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
        {
            ApiResponseEntity repEntity = null;
            string appid = "";
            string ip = RequestHelper.GetWebClientIp();
            if (!OAuthValidate.IpValidate(ip))
            {
                repEntity = new ApiResponseEntity
                {
                    Status = InterfaceStatus.IllegalIp,
                    Message = "ip access limit"
                };
            }
            else
            {
                string token = "";
                string url = request.RequestUri.AbsoluteUri;
                var routeData = request.GetRouteData();
                string controller = routeData.Values["controller"].ToString().ToLower();
                string action = routeData.Values["action"].ToString().ToLower();
                if (controller.Equals("auth") && action.Equals("token"))
                {
                    return base.SendAsync(request, cancellationToken);
                }

                if (request.Method == HttpMethod.Get)
                {
                    var query = request.RequestUri.ParseQueryString();
                    token = query["token"];
                }

                if (token == null || token.Length == 0)
                {
                    repEntity = new ApiResponseEntity
                    {
                        Status = InterfaceStatus.Token_Faild,
                        Message = "token invalid"
                    };
                }
                else
                {
                    appid = TokenManage.Instance.Get(token);
                    if (appid == null || appid.Length == 0)
                    {
                        repEntity = new ApiResponseEntity
                        {
                            Status = InterfaceStatus.Token_Faild,
                            Message = "token invalid"
                        };
                    }
                    else
                    {
                        if (!OAuthValidate.ApiValidate
                            (
                            string.Format("{0}/{1}", controller, action),
                            appid
                            ))
                        {
                            repEntity = new ApiResponseEntity
                            {
                                Status = InterfaceStatus.No_Access,
                                Message = "api access limit"
                            };
                        }
                    }
                }
            }

            if (repEntity != null)
            {
                var tsc = new TaskCompletionSource<HttpResponseMessage>();
                tsc.SetResult(repEntity.ToHttpResponseMessage());
                return tsc.Task;
            }
            else
            {
                return base.SendAsync(request, cancellationToken);
            }
        }
    }
複製程式碼

使用比較傳統的方式,繼承於DelegatingHandler,然後進行處理,首先是做的IP驗證,然後再進行token有效期驗證,最後再進行Api的許可權呼叫驗證。驗證的程式碼如下:

複製程式碼 
 public static bool IpValidate(string ip)
        {
            var config = ServerConfigManage.Instance.GetServerConfig();
            bool isPass = true;
            if (isPass && config.IsStartIpWhiteList)
            {
                isPass = config.IpWhiteList.Contains(ip);
            }
            if (isPass && config.IsStartIpBlackList)
            {
                isPass = !config.IpBlackList.Contains(ip);
            }
            return isPass;
        }

        public static bool ApiValidate(string api, string appid)
        {
            var config = ServerConfigManage.Instance.GetServerConfig();
            if (config.IsStartApiControl)
            {
                var apis = AppManage.Instance.GetAppApiResource(appid);
                return apis != null && apis.Contains(api);
            }
            return true;
        }
複製程式碼

GetServerConfig()是從DB/Cache裡面獲取伺服器的自定義配置,然後看是否開啟ip白名單/黑名單,下面的程式碼同理,是否開啟許可權驗證。

那認證伺服器到這裡實際上就結束了,關於isv申請appid/appsecret。然後使用者同意授權以後,儲存appid和user之間的關聯關係,就需要看客自行實現了。

另外有一個擴充套件程式碼這裡也提一下,就是關於ApiResponseEntity的返回值處理,程式碼如下:

複製程式碼 
public static HttpResponseMessage ToHttpResponseMessage(this ResponseEntity rep, bool isEncrypt = false)
        {
            return new HttpResponseMessage(HttpStatusCode.OK)
            {
                Content = new StringContent
                    (
                    isEncrypt
                    ? EncryptHelper.Base64Replace(EncryptHelper.AESEncryptBase64(JsonHelper.ToJson(rep), Config.ApiEncryptKey))
                    : JsonHelper.ToJson(rep), 
                    System.Text.Encoding.UTF8,
                    "application/json"
                    )
            };
        }
複製程式碼

相關推薦

自己開發實現OAuthwebapi認證

一、作為認證伺服器,首先需要提供一個可以通過appid/appsecret來獲取token這樣的一個介面,於是便有了以下程式碼。 public class AuthController : ApiController { [HttpG

拋開flash,自己開發實現C++ RTMP直播播放器

  眾所周知,RTMP是以flash為客戶端播放器的直播協議,主要應用在B/S形式的場景中。本人研究並用C++開發實現了RTMP直播流協議的播放器(延遲極低,內網可以做到百毫秒,目前已經實現PC端和Android端),結合之前做的RTMP直播採集端,可以將RTMP協議完全擴充套件到C/S形式

翻譯:WebApi 認證--用戶認證Oauth解析

類型 修改 必須 back import googl further set 包裝 The Web API v2用戶認證模板提供了流行的應用用戶認證場景,如.使用本地帳號的用戶名密碼認賬 (包括創建用戶、設置和修改密碼)以及使用第三方的認證方式,如facebook,goog

ASP.NET WebApi OWIN 實現 OAuth 2.0(自定義獲取 Token)

href timespan 獲取 edi prot cep b- med 2-0 相關文章:ASP.NET WebApi OWIN 實現 OAuth 2.0 之前的項目實現,Token 放在請求頭的 Headers 裏面,類似於這樣: Accept: application

自己開發了一款小說網站!師傅說這個專案外包可以拿3W?

    環境搭建說明: http://www.runoob.com/python3/python3-install.html 爬取資料 做一個小說網站,內容是必須的,首先我們爬取一本小說《星辰變》到資料庫。 建立一個簡單的資料庫表: CRE

自己開發簡單web伺服器一(C++開源庫websocketpp實現

簡要 Web伺服器主要處理的是HTTP請求(這裡忽略HTTPS),HTTP協議建立在TCP上。如果自己實現,無非就是網路程式設計(socket接受、傳送),資料解析(HTTP欄位解析),返回HTTP協議字串給客戶端等。說起來簡單,要做到跨平臺和高效,不得不介紹幾個有名的開源

3、《SSO CAS單點系列》之 自己動手實現一個屬於自己的SSO認證伺服器!

上篇《實現一個SSO認證伺服器是這樣的》中,我們詳細講述了實現SSO的基本思路,本篇我們按照這個思路,親自動手實現一個輕量級的SSO認證中心。除了認證中心,我們還要改造系統應用的登入登出部分,使之與認證中心互動,共同完成SSO。因此我們的實現分成兩大部分,一個是SSO Ser

ASP.NET WebApi OWIN 實現 OAuth 2.0

OAuth(開放授權)是一個開放標準,允許使用者讓第三方應用訪問該使用者在某一網站上儲存的私密的資源(如照片,視訊,聯絡人列表),而無需將使用者名稱和密碼提供給第三方應用。 OAuth 允許使用者提供一個令牌,而不是使用者名稱和密碼來訪問他們存放在特定服務提供者的資料。每一個令牌授權一個特定的網站(例如,視訊

自己開發簡單web伺服器二(Node.js實現

Node.js 剛接觸Node.js沒多久,試用了一下,輕輕鬆鬆幾行程式碼就可以實現一個簡單的HTTP伺服器,開發起來的確比其他語言快多了。 Node.js是一個開源的JavaScript庫,可以跨平臺執行在Windows、Linux、Mac上。JS解析庫用的是大名鼎鼎的G

開發效能測試工具——自己動手實現迭代功能

在用Jmeter進行效能測試時也許有人遇到過這樣的問題: 測試時TPS相當大,一臺,二臺負載機都找不到拐點,最後準備好多臺負載機才解決問題,而且管理這些機器時比較麻煩。 我們能不能解決這些問題呢?當然可以,我們可以自動動手來實現一個迭代器。之所以能夠高效,是因為我們去掉了

OAUTH、OPENID、SAML、CAS統一認證與授權的聯絡與區別

首先,SSO和許可權控制是兩回事: 1、CAS系統解決單點登入問題,對身份認證的具體方法不做要求。 2、Oauth、openID、SAML是身份身份認證授權的規範和標準,是解決認證授權問題的。 OpenID與Oauth協議的區別,可以從其標準定義的核心應用場景來分

白話系列之實現自己簡單的mvc式webapi框架

前言:此文為極簡mvc式的api框架,只當做入門api的解析方式,並且這裡也不算是mvc框架,因為沒有view層,畢竟現在大部分都屬於前後端分離,當然也可以提供view層,因為只是將view當做文字返回. github地址:https://github.com/BestHYC/WebAPISolution.g

使用Spring Security和OAuth2實現RESTful服務安全認證

schema repo gradle nbsp tps protect 一個 ndb lac 這篇教程是展示如何設置一個OAuth2服務來保護REST資源. 源代碼下載github. (https://github.com/iainporter/oauth2-provide

mktime很慢就自己實現一個吧

tdi ati 十分 ace += timestamp src clas [] mktime很慢就自己去實現一個吧

自己動手實現簡單權限控制

saweb 權限控制,很多項目會引入 shiro/spring-security。 shiro/spring-security 繼承 servlet-->filter抽象接口,運用合適的設計模式, 通過攔截客戶端請求,來實現各個角色對系統資源的訪問權限。 一時興起,有了自己實現權限控制的想法

自己根據網上資料的一個記事本,有些功能還不太完善。

sta 水平 sselect != 第一個 gui more jpa conf 這個記事本主要是在學習javaGUI及其基本知識後,參考網上資料做出。在制作過程中,同時也發現了java中lastIndex()方法存在不能準確刪選數據的情況,然後自己進行了修改。 以下是代碼部

受不了Android SDK文檔打開緩慢問題,自己開發簡易脫機瀏覽器。

write 瀏覽歷史 code int protected ppt 便在 1.0 bundle google android sdk離線文檔打開的時候特別慢,據說是要從谷歌官網拉取一些東西導致的。脫機瀏覽能夠解決該問題。PC端能夠使用firefox。 可是Android

微信開發實現一鍵撥號出現屏蔽問題的解決方案

實例 頁面 方案 網址 com 操作 增加 出現 微信 解決方法如下: 1、撥號的代碼還是不變,和原先的一樣, 2、打開撥號頁面要做下處理,在網址後面增加一個錨節點mp.weixin.qq.com。 實例如下: 如:<a href="tel:13111111111"&

設計模式: 自己手動實現一個觀察者設計模式

package rgs name gree 觀察者設計模式 forecast server 它的 upd 觀察者模式: 定義了對象之間的一對多依賴,這樣一來。當一個對象(被觀察者)改變狀態時,它的全部依賴者(觀察者)都會收到通知並自己主動更新。 在觀察者模式中,會

容器_JDK源碼分析_自己簡單實現ArrayList容器

cap 裏的 而已 編寫 add col ++ emp 為我 這幾天仔細研究下關於ArrayList容器的jdk源碼,感覺收獲頗多,以前自己只知道用它,但它裏面具體是怎樣實現的就完全不清楚了。於是自己嘗試模擬寫下java的ArrayList容器,簡