Asp.net WebApi的授權安全機制 Basic認證

1：Home/index.cshtml下面的Html程式碼

<div>
        <input  value="1點選先登陸" type="button" id="btnLogin"/><br />
        <input value="2再點選授權後呼叫介面" type="button" id="btnAuthenrazation" /><br />
 </div>

2：Home/index 下面的HomeController

[skipLogAttribute]
public ActionResult Index()
{
return View();
}

3: Ajax的模擬程式碼，先登入，後獲取授權，再帶上Ticket，後臺過濾器校驗ok雜可以請求對應的介面

<script type="text/javascript">
$(function () {
var ticket = "";
$("#btnLogin").click(function () { //---登陸的操作
$.ajax({
url: "http://localhost:8899/api/values",
data: { "uid": "zrf", "pwd": "123" },
type: "get",
success: function (res) {
if (res.result) {
ticket = res.ticket;
alert("授權成功"+res.ticket);
}
},
dataType:"json"
})
});

//----拿到了Ticket(後臺過濾器會判斷是否有過授權，以及授權ok才可以呼叫對應的介面)
$("#btnAuthenrazation").click(function () {
$.ajax({
url: "http://localhost:8899/api/values",
data: { },
type: "get",
beforeSend: function (xhr) {
xhr.setRequestHeader('Authorization', 'BasicAuth ' + ticket);//--請求其他的介面都需要帶上Ticket的
},
success: function (res) {
alert("ok")
}
})
});
})

//帶上Ticket來訪問WebApi介面
$("#btnWithTicket").click(function () {
$.ajax({
url: "http://localhost:8899/api/values",
data: {"id":110},
type: "get",
beforeSend: function (xhr) {
xhr.setRequestHeader('Authorization', 'BasicAuth ' + ticket);//--請求其他的介面都需要帶上Ticket的
},
success: function (res) {
if (res.result) {
alert("呼叫成功" + res.data);
}
}
})
})

4: 建立的一個測試的 WebApiController 如ValuesController:ApiController

namespace WebApplication1.Controllers
{
using System.Web.Security;
using WebApplication1.Filters;
public class ValuesController : ApiController
{

[HttpGet]
[skipLog]
public dynamic Login(string uid, string pwd)
{
dynamic result = null;
if ("zrf".Equals(uid) && pwd.Equals("123"))
{
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, "account", DateTime.Now, DateTime.Now.AddSeconds(10), true, $"uid={uid},pwd={pwd}");
result = new { result = true, ticket = FormsAuthentication.Encrypt(ticket) };
}
else {
result = new { result = false, ticket = ""};
}
return result;
}
// GET api/<controller>
[skipLogAttribute]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
// GET api/<controller>/5
[CustomerAuthenrazationFilter]
public dynamic Get(int id)
{
return new { result = true, id = id };
}
}
}

5:授權過濾器：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;

namespace WebApplication1.Filters
{
    using System.Net.Http.Headers;
    using System.Web.Http.Controllers;
    using System.Web.Http.Filters;
    using System.Web.Security;
    using System.Web.Http;
    using System.Net;

    public class CustomerAuthenrazationFilterAttribute : AuthorizationFilterAttribute
    {
        public override void OnAuthorization(HttpActionContext actionContext)
        {
            skipLogAttribute skiplogin = actionContext.ActionDescriptor.GetCustomAttributes<skipLogAttribute>().FirstOrDefault();
            if (skiplogin!=null)
            {
                return;
            }
        
            AuthenticationHeaderValue headevalue = actionContext.Request.Headers.Authorization;
            if (headevalue != null)
            {
                string Msg = string.Empty;
                if (ValidateTicket(headevalue.Parameter,out Msg))
                {
                    return;
                }
                else
                {
                    this.HandlerUnAuthorization(Msg);
                }
            }
            else {
                this.HandlerUnAuthorization("請先獲取登陸授權的Ticket");
            }
        }
        private void HandlerUnAuthorization(string Msg)
        {
            throw new Exception(Msg);
        }

        private bool ValidateTicket(string parameter,out string Msg)
        {
            Msg = string.Empty;
            if (!string.IsNullOrWhiteSpace(parameter))
            {
                FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(parameter);
                if (ticket != null)
                {
                    if (ticket.Expired)
                    {
                        Msg = "介面時間已經過期，請重新登陸授權！";
                        return false;
                    }
                    if (string.Equals($"uid=zrf,pwd=123", ticket.UserData))// $"uid={accountID},pwd={pwd}"
                    {
                        Msg = "授權成功！";
                        return true;
                    }
                    else {
                        Msg = "授權失敗，請重新登陸授權！";
                        return false;
                    }
                }
            }
            return false;
        }
    }
}

6：自定義的特性，用來跳過許可權的驗證

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;

namespace WebApplication1.Filters
{
public class skipLogAttribute:Attribute
{
}
}

7：在WebApiConfig 檔案中來註冊一個全域性的授權過濾器

namespace WebApplication1.App_Start
{
using System.Web.Mvc;
public static class WebApiConfig
{
public static void Register(HttpConfiguration config)
{
// Web API 配置和服務

// Web API 路由
config.MapHttpAttributeRoutes();
config.Filters.Add(new Filters.CustomerAuthenrazationFilterAttribute());
}
}
}

8：最後上兩張測試的截圖：　

最後，這個案例只是起到拋磚引玉的作用，大家還可以做得更加的細緻及合理

如下：

我們還可以加上隨機字串:A;

時間戳:B(時間精確到秒，方便後續判斷，可過期);

唯一的uid C;

pwd D（根據uid來查詢資料庫並獲取到pwd）,;

獲取自定義的簽名Sign:（如：uid+A+B+C+D 這4個值再MD5一下，防篡改），這樣就和微信那套機制就差不多了！嘻嘻！

規則我們自己來定，歡迎大家提出有建議性的回覆，謝謝

Asp.net WebApi的授權安全機制 Basic認證

1：Home/index.cshtml下面的Html程式碼 <div> <input value="1點選先登陸" type="button" id="btnLogin"/><br /> <input value="2再點選授權後

Kubernetes 的安全機制 APIServer 認證、授權、准入控制_Kubernetes中文社群

本文講解 kubernetes 的安全機制。主要會按照這幾個部分來講解：APIServer 認證、授權、准入控制等。我們都知道 kubenetes 預設在兩個埠提供服務：一個是基於 https 安全埠 6443，另一個是基於 http 的非安全埠 8080。其中非安全埠 8080 限制只能本

ASP.NET WebApi 基於分散式Session方式實現Token簽名認證(釋出版)

一、課程介紹明人不說暗話,跟著阿笨一起學玩WebApi！開發提供資料的WebApi服務，最重要的是資料的安全性。那麼對於我們來說，如何確保資料的安全將會是需要思考的問題。在ASP.NETWebService服務中可以通過SoapHead驗證機制來實現，那麼在ASP.NET WebApi中我們應該如何保

ASP.NET WebApi 基於JWT實現Token簽名認證(釋出版)

一、前言明人不說暗話,跟著阿笨一起玩WebApi！開發提供資料的WebApi服務，最重要的是資料的安全性。那麼對於我們來說，如何確保資料的安全將會是需要思考的問題。在ASP.NET WebService服務中可以通過SoapHead驗證機制來實現，那麼在ASP.NET WebApi中我們應該如何保證我

ASP.NET WebApi 基於OAuth2.0實現Token簽名認證

oauth2 oauth 如何 nsh class 應用 post請求實現最重要的一、課程介紹明人不說暗話,跟著阿笨一起玩WebApi！開發提供數據的WebApi服務，最重要的是數據的安全性。那麽對於我們來說，如何確保數據的安全將是我們需要思考的問題。為了保護

ASP.NET Core 3.0 gRPC 身份認證和授權

一.開頭聊騷本文算是對於 ASP.NET Core 3.0 gRPC 研究性學習的最後一篇了，以後在實際使用中，可能會發一些經驗之文。本文主要講 ASP.NET Core 本身的認證授權和gRPC接入，認證方式採用目前主流的 JWT 結合 IdentityServer4。二.服務端配置我們首先需要在服

【ASP.NET Core學習】使用JWT認證授權

# 概述 --- 認證授權是很多系統的基本功能 , 在以前PC的時代 , 通常是基於cookies-session這樣的方式實現認證授權 , 在那個時候通常系統的使用者量都不會很大, 所以這種方式也一直很好執行, 隨著現在都軟體使用者量越來越大, 系統架構也從以前垂直擴充套件(增加伺服器效能) -> 水平擴充

ASP.Net WebAPI與Ajax進行跨域數據交互時Cookies數據的傳遞

調整 ucc header set 定義 div ren ext domain 前言最近公司項目進行架構調整，由原來的三層架構改進升級到微服務架構（準確的說是服務化，還沒完全做到微的程度，顆粒度沒那麽細），遵循RESTFull規範，使前後端完全分離，實現大前端思想。由於是

ASP.NET MVC5路由系統機制詳細講解

提交 eas 找文件網址自動調用提取 ges pri stat 請求一個ASP.NET mvc的網站和以前的web form是有區別的，ASP.NET MVC框架內部給我們提供了路由機制，當IIS接受到一個請求時，會先看是否請求了一個靜態資源（.html,css,js

asp.net MVC 常見安全問題及解決方案

container coo baidu his ring article 調試工具並且 part asp.net MVC 常見安全問題及解決方案一．CSRF （Cross-site request forgery跨站請求偽造，也被稱為“one click attack”或

Asp.net WebApi 生成SwaggerUI文檔

包含新建 eba 屬性 strong 解析 cnblogs pre har 我們為什麽需要文檔好的文檔能夠讓前後端開發溝通更輕松 Swagger ui 文檔的優點可在線測試的，方便前後端調試使用步驟新建WebApi 項目

基於ASP.NET WebAPI OWIN實現Self-Host項目實戰

hosting 知識工作 develop plist 簡單 eba 直接 sock 引用寄宿ASP.NET Web API 不一定需要IIS 的支持，我們可以采用Self Host 的方式使用任意類型的應用程序（控制臺、Windows Forms 應用、WPF 應

Host ASP.NET WebApi in Owin

public define nuget get log 文檔 getname hang null 什麽是OWIN　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　Owin其實是微軟為了解耦.Net Web app對IIS的依賴而制定

ASP.NET WebAPI 項目示例（增刪改查）

request ctr 構建設備每一個 text 平臺開發發送數據 1.WebApi是什麽 ASP.NET Web API 是一種框架，用於輕松構建可以由多種客戶端（包括瀏覽器和移動設備）訪問的 HTTP 服務。ASP.NET Web API 是一種用於在

ASP.NET WebAPI使用Swagger生成測試文檔

domain lease resources 警告 term model trim tno star ASP.NET WebAPI使用Swagger生成測試文檔 SwaggerUI是一個簡單的Restful API測試和文檔工具。簡單、漂亮、易用(官方demo)。通過讀取J

ASP.NET WebApi總結之自定義權限驗證

use bar cor 介紹 string roles 獲得 ext status 在.NET中有兩個AuthorizeAttribute類，一個定義在System.Web.Http命名空間下 #region 程序集 System.Web.Http, Version=5.

深入理解asp.net裏的HttpModule機制

img 決定來講 sessions test 需要 mce 應該 cat 轉自http://jeffwongishandsome.cnblogs.com/ 1、asp.net的HTTP請求處理過程說明：（1）、客戶端瀏覽器向服務器發出一個http請求，此請求會被ineti

初識Asp.Net WebApi

name json.js ria username newton mes zhang gpo int using System;using System.Collections.Generic;using System.Linq;using System.Net.Http;

asp.net WebApi 使用總結

請求 result supported 靈活 ssa port 方法 blank web 如果想讓服務端直接返回json或者xml的話，可以考慮使用webservice、wcf，或者webapi。webservice基於xml，效率較慢，wcf雖然可以返回json，但是配置

Asp.Net WebApi Swagger終極搭建

private spl config AD pri scrip str 復制 schema 關於為什麽用Swagger 　　目前稍微有點規模的公司，已經從原先的瀑布流開發到了敏捷開發，實現前後端分離，為此後端工程師只關註寫好Api即可，那程序員最討厭的就是寫Api文檔了，

Asp.net WebApi的授權安全機制 Basic認證

相關推薦