HTTP Message Handler

Web Api 2 认证与授权 中讲解了几种实现机制,本篇就详细讲解 Message Handler 的实现方式

关于 Message Handler 在 request 到 response 过程所处于的位置,可以参考这里 HTTP Message Handlers

Authentication Message Handler

先看一段实现的代码,然后再做讲解,完整代码可以在 Github 上参考,WebApi2.Authentication

 using System;

 using System.Net;

 using System.Net.Http;

 using System.Security.Claims;

 using System.Threading;

 using System.Threading.Tasks;

 // WebPrint.Framework reference https://github.com/LeafDuan/WebPrint/tree/master/WebPrint.Framework

 using WebPrint.Framework;

 namespace Server.Helper

 {

     // references

     // http://www.codeproject.com/Articles/630986/Cross-Platform-Authentication-With-ASP-NET-Web-API

     // http://dgandalf.github.io/WebApiTokenAuthBootstrap/

     public class AuthenticationMessageHandler : DelegatingHandler

     {

         protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request,

             CancellationToken cancellationToken)

         {

             if (request.Headers.Authorization == null)

             {

                 var reply = request.CreateResponse(HttpStatusCode.Unauthorized, "Missing authorization token.");

                 return Task.FromResult(reply);

             }

             try

             {

                 var encryptedToken = request.Headers.Authorization.Parameter;

                 var token = Token.Decrypt(encryptedToken);

                 //bool isValidUser

                 var isIpMathes = token.ClientIp.EqualTo(request.GetClinetIp());

                 if (!isIpMathes)

                 {

                     var reply = request.CreateResponse(HttpStatusCode.Unauthorized, "Invalid authorization token");

                     return Task.FromResult(reply);

                 }

                 var principal = new ClaimsPrincipal(new ClaimsIdentity(new[]

                 {

                     new Claim(ClaimTypes.Name, token.UserId.ToString())

                 }, "Basic"));

                 // authorize attribute

                 request.GetRequestContext().Principal = principal;

             }

             catch (Exception ex)

             {

                 var reply = request.CreateErrorResponse(HttpStatusCode.Unauthorized, ex.Message);

                 return Task.FromResult(reply);

             }

             return base.SendAsync(request, cancellationToken);

         }

     }

 }

实现也是很简单,通过继承 DelegatingHandler 重写 SendAsync 方法实现,整个流程需要的步骤如下:

1 登录,通过 api/auth 接收登录信息,验证后生成一个 token

2 每次请求判断  request.Headers.Authorization 参数,看是否携带 token (Http Client 将步骤 1 中的 token 设置到 request.Headers.Authorization)

3 解析 token,设置请求上下文的 Principal 用于 Authorize 属性使用

基本过程就差不多这三部曲,其中关于 token 的验证,如是否超时,是否重复,可自行想办法去实现

Web Api Config

大家都知道 Message Handler 在 pipeline 里是在 controller 之前运行,因此请求所有的 Api Controller 都会先执行 handler,因此针对登录,需要给予额外的照顾,允许匿名访问,实现方法:handler 可以是全局的,也可以是 per router 的,因此此处通过后一种方式实现:

 using System.Linq;

 using System.Net.Http.Formatting;

 using System.Web.Http;

 using System.Web.Http.Dispatcher;

 using Newtonsoft.Json;

 using Server.Helper;

 namespace Server

 {

     public static class WebApiConfig

     {

         public static void Register(HttpConfiguration config)

         {

             config.MapHttpAttributeRoutes();

             config.Routes.MapHttpRoute(

                 name: "Authentication",

                 routeTemplate: "api/auth",

                 defaults: new {controller = "account"}

                 );

             config.Routes.MapHttpRoute(

                 name: "DefaultApi",

                 routeTemplate: "api/{controller}/{id}",

                 defaults: new {id = RouteParameter.Optional},

                 constraints: null,

                 handler: new AuthenticationMessageHandler {InnerHandler = new HttpControllerDispatcher(config)}

                 );

             var jsonFormatter = config.Formatters.OfType<JsonMediaTypeFormatter>().First();

             jsonFormatter.SerializerSettings.ReferenceLoopHandling = ReferenceLoopHandling.Ignore;

             jsonFormatter.SerializerSettings.ContractResolver = new NHibernateContractResolver();

         }

     }

 }

总结

最近匆匆忙忙使用托管在 Owin Self Host 上的 Web Api 2,遇到问题颇多,很多也是匆匆忙忙解决的,这里也就匆匆忙忙做一个分享。

Web Api 2 认证与授权 2的更多相关文章

  1. 关于 Web Api 2 认证与授权

    认证与授权 认证与授权,Authentication and Authorize,这个是两个不同的事.认证是对访问身份进行确认,如验证用户名和密码,而授权是在认证之后,判断是否具有权限进行某操作,如 ...

  2. Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再叙述废话. 序言 对于所谓的认证说到底 ...

  3. Web APi之认证(Authentication)两种实现方式后续【三】(十五)

    前言 之前一直在找工作中,过程也是令人着实的心塞,最后还是稳定了下来,博客也停止更新快一个月了,学如逆水行舟,不进则退,之前学的东西没怎么用,也忘记了一点,不过至少由于是切身研究,本质以及原理上的脉络 ...

  4. 转 Web APi之认证(Authentication)两种实现方式【二】(十三)

    前言 上一节我们详细讲解了认证及其基本信息,这一节我们通过两种不同方式来实现认证,并且分析如何合理的利用这两种方式,文中涉及到的基础知识,请参看上一篇文中,就不再废叙述废话. 序言 对于所谓的认证说到 ...

  5. Web APi之认证

    Web APi之认证(Authentication)两种实现方式后续[三](十五)   前言 之前一直在找工作中,过程也是令人着实的心塞,最后还是稳定了下来,博客也停止更新快一个月了,学如逆水行舟,不 ...

  6. Shiro集成web环境[Springboot]-认证与授权

    Shiro集成web环境[Springboot]--认证与授权 在登录页面提交登陆数据后,发起请求也被ShiroFilter拦截,状态码为302 <form action="${pag ...

  7. [转]Web APi之认证(Authentication)及授权(Authorization)【一】(十二)

    本文转自:http://www.cnblogs.com/CreateMyself/p/4856133.html 前言 无论是ASP.NET MVC还是Web API框架,在从请求到响应这一过程中对于请 ...

  8. Web APi之认证(Authentication)及授权(Authorization)【一】(十二)

    前言 无论是ASP.NET MVC还是Web API框架,在从请求到响应这一过程中对于请求信息的认证以及认证成功过后对于访问页面的授权是极其重要的,用两节来重点来讲述这二者,这一节首先讲述一下关于这二 ...

  9. 033.Kubernetes集群安全-API Server认证及授权

    一 Kubernetes集群安全 1.1 安全机制 Kubernetes通过一系列机制来实现集群的安全控制,其中包括API Server的认证授权.准入控制机制及保护敏感信息的Secret机制等.集群 ...

随机推荐

  1. 求值器本质--eval&apply

    最近跟着(How to Write a (Lisp) Interpreter (in Python))使用python实现了一个简易的scheme解释器.不得不说使用python这类动态语言实现不要太 ...

  2. V4 V7 V13支持包的区别(转)

    三者均为支持包,可以让低版本系统使用高版本特性,支持最小版本有差异 V4支持1.6以上 V7支持2.1以上 V13支持3.2以上 V7依赖V4 转自:

  3. CRM销售管理功能

    联系项目project:-------是一个大的项目,比如通知开会之类 每个坐席需要分配自己的联系任务,每个联系任务,有自己的完成未完成状态.同时关联着通话记录等 销售计划----销售项目 销售流程: ...

  4. awk技巧 nginx access.log

    1.1 介绍 awk其名称得自于它的创始人 Alfred Aho .Peter Weinberger 和 Brian Kernighan 姓氏的首个字母.实际上 AWK 的确拥有自己的语言: AWK ...

  5. python基础入门学习2

    python 整体注释:选中所有然后CTRL+? 运算符 + - * /   **  %  // 布尔值 true 真  False 假 !=不等于 <>不等于 算数运算,赋值运算,比较运 ...

  6. python基础入门学习1

    python比较 -python执行效率低,开发效率高. -JAVA执行效率高,开发效率低. python种类多:比如Jpython Cpython pypy(这是Cpython开发的python) ...

  7. Alley Bird 跳跳鸟源码

    <跳跳鸟Alley Bird>是一款敏捷小游戏.<跳跳鸟Alley Bird>采用了点击屏幕操作玩法,非常简单易上手,同时游戏内容也趣味性十足.<跳跳鸟Alley Bir ...

  8. 微信小程序开发——使用promise封装异步请求

    前言: 有在学vue的网友问如何封装网络请求,这里以正在写的小程序为例,做一个小程序的请求封装. 关于小程序发起 HTTPS 网络请求的Api,详情可以参考官方文档:wx.request(Object ...

  9. 关于客户端调用后台事件__doPostBack函数的使用

    1.   动态添加生成的控件:Asp.net开发网站,最喜欢用的就是使用服务器控件,在后台进行数据操作了,你无需再去管get还是post提交,也不用去理会form,只需在后台服务器控件的事件中就可以对 ...

  10. postman接口测试实例

    牛刀小试项目 抽奖项目