写在前面:

如果webapi接口没有身份认证,那么所有知道接口url的用户都可以随意访问接口,从而查询或者修改数据库,

那么问题就来了,如果我们不想让所有人都调用我们的接口,那么就需要加上一层验证,只让那些带着正确票据信息的请求来访问webapi接口

跟mvc一样,webapi大多通过附加Authorize特性来实现验证票据信息进行授权,在做这些之前我们先了解一下这个所谓的Authorize的特性:

首先我们需要用的webApi下的授权筛选AuthorizeAttribute为System.Web.Http.AuthorizeAttribute, 而不是Mvc下用的System.Web.Mvc.AuthorizeAttribute,这点要分清楚

那么就来说一下AuthorizeAttribute类

1,AuthorizeAttribute类有一个IsAuthorized方法,用来指示指定的访问是否通过授权, 我们通过该方法为访问请求进行授权

2,AuthorizeAttribute类中的OnAuthorization方法是一个可以进行重写的方法,该方法的作用就是验证身份票据是否通过,如果验证通过,我们便通过IsAuthorized方法为该请求进行授权,如果不通过则通过HandleUnauthorizedRequest方法处理授权失败的请求

3,上面说到通过HandleUnauthorizedRequest处理授权失败的请求,那么HandleUnauthorizedRequest这个方法便是我们可以重写的处理授权失败的请求进行的操作

想必看到这里,大家应该明白了我们用这种方式进行身份票据认证的大概流程,那么我们接下来说一下具体实现的方法:

首先在webapi项目中我们新建一个类,去继承AuthorizeAttribute,重写我们上面说到的OnAuthorizationHandleUnauthorizedRequest方法:

public class ZyTestAuthorize : AuthorizeAttribute

    {

        /// <summary>

        /// 重写基类的验证方式,加入ticket验证

        /// </summary>

        /// <param name="actionContext"></param>

        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)

        {

            //获取身份票据

            var authorization = actionContext.Request.Headers.Authorization;

            if ((authorization != null) && (authorization.Parameter != null))

            {

                //解密用户ticket,并校验是否正确

                var encryptTicket = authorization.Parameter;

                if (ValidateTicket(encryptTicket))

                {

                    base.IsAuthorized(actionContext);//为此请求授权

                }

                else

                {

                    HandleUnauthorizedRequest(actionContext);

                }

            }

            //如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401

            else

            {

                var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();

                bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);

                if (isAnonymous) base.OnAuthorization(actionContext);

                else HandleUnauthorizedRequest(actionContext);

            }

        }

        /// <summary>

        /// 校验票据是否正确

        /// </summary>

        /// <param name="encryptToken"></param>

        /// <returns></returns>

        private bool ValidateTicket(string encryptToken)

        {

            bool flag = false;

            try

            {

                //从数据库取出对应票据 判断是否对应 切是否在有效期内

                //--------------省略此处数据库判断------------

                //如果验证通过 返回true

                return true;

            }

            catch (Exception ex) { }

            return flag;

        }

        /// <summary>

        /// 重写处理授权失败方法

        /// </summary>

        /// <param name="filterContext"></param>

        protected override void HandleUnauthorizedRequest(HttpActionContext filterContext)

        {

            base.HandleUnauthorizedRequest(filterContext);

            var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage();

            response.StatusCode = HttpStatusCode.Forbidden;

            //Result类 可自行创建,具体为返回的content信息

            var content = new Result

            {

                success = false,

                errs = new[] { "未得授权,禁止访问" }

            };

            response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json");

        }

    }

接下来需要在我们的具体的webapi接口上添加我们刚刚写好的类的特性:

    [ZyTestAuthorize]

    public class ZyTestController : ApiController

    {

        [AllowAnonymous]

        public string Get()

        {

            return "23333";

        }

        [HttpPost]

        public ResultDataModel Post([FromBody] TestModel model)

        {

            ResultDataModel rm = new ResultDataModel();

            rm.code = "code";

            rm.datas = JsonConvert.SerializeObject(model);

            rm.msg = "msg";

            return rm;

        }

    }

以上这些便是添加身份票据验证的具体实现  

但是我们发现上面这个示例的webapi接口中除了我们刚才写的ZyTestAuthorize这个类的特性还有一个AllowAnonymous特性,这个特性是用来干什么的呢

有些时候 我们的webapi中其中的某些接口是不想添加身份验证的,那么AllowAnonymous特性就是解决这个问题的,在方法上添加该特性,则会绕过身份验证可直接进行访问

以上便是我们今天所要说的webapi身份认证的具体实现方式,下面我们看一下js的具体调用方式:

$("#btnTest").click(function () {

        var model = { name: "name", value: "val" };//post数据

        var token = "233333";//身份票据

        $.ajax({

            url: "http://localhost:2643/ZyTest",

            type: "POST",

            data: model,

            //在beforeSend方法中设置身份票据

            beforeSend: function (request) {

                request.setRequestHeader('Authorization', 'Bearer ' + token);

            },

            success: function (json) {

                alert("ok");

                $("#lbTest").text(json);

            },

            error: function (a, b) {

                alert("error:" + JSON.stringify(a));

            }

        });

    });

使用C#在后台调用的一种方式:

使用await为了接收到返回结果,ObjectContent需要引用System.Net.Http.Formatting

    private async void ZyTest()

        {

            TestModel m = new TestModel();

            m.Name = "zy";

            m.Value = "alex";

            var c = new HttpClient();

            c.BaseAddress = new Uri("http://localhost:2643");

            c.DefaultRequestHeaders.Add("Authorization", "Bearer " + token);

            HttpContent content = new ObjectContent<TestModel>(m, new System.Net.Http.Formatting.JsonMediaTypeFormatter());

            var response = await c.PostAsync("/ZyTest", content);

            string result = response.Content.ReadAsStringAsync().Result;

        }

以上。

本文是在工作需要的时候,网上搜集文章资料加上自己的浅薄见解所整理出来的,如果有错误或者不合理的地方,还请各位不吝赐教,在下必洗耳恭听。

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

后续补充:

如果需要在特定的api中获取当前用户的信息

var Authorization = Request.Headers.Authorization;

目前没找到更好的办法来实现 只能用上面句代码来获取当前请求的token信息 重新解析找到用户信息。

WebApi 通过身份票据进行认证授权的具体实现的更多相关文章

  1. ASP.NET Core WebAPI中使用JWT Bearer认证和授权

    目录 为什么是 JWT Bearer 什么是 JWT JWT 的优缺点 在 WebAPI 中使用 JWT 认证 刷新 Token 使用授权 简单授权 基于固定角色的授权 基于策略的授权 自定义策略授权 ...

  2. ASP.NET WEBAPI 的身份验证和授权

    定义 身份验证(Authentication):确定用户是谁. 授权(Authorization):确定用户能做什么,不能做什么. 身份验证 WebApi 假定身份验证发生在宿主程序称中.对于 web ...

  3. [认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)

    0 目录 认证授权系列:http://www.cnblogs.com/linianhui/category/929878.html 1 什么是OIDC? 看一下官方的介绍(http://openid. ...

  4. [认证授权] 5.OIDC(OpenId Connect)身份认证授权(扩展部分)

    在上一篇[认证授权] 4.OIDC(OpenId Connect)身份认证授权(核心部分)中解释了OIDC的核心部分的功能,即OIDC如何提供id token来用于认证.由于OIDC是一个协议族,如果 ...

  5. [认证授权] 5.OIDC(OpenId Connect)身份认证(扩展部分)

    在上一篇[认证授权] 4.OIDC(OpenId Connect)身份认证(核心部分)中解释了OIDC的核心部分的功能,即OIDC如何提供id token来用于认证.由于OIDC是一个协议族,如果只是 ...

  6. [认证授权] 4.OIDC(OpenId Connect)身份认证(核心部分)

    1 什么是OIDC? 看一下官方的介绍(http://openid.net/connect/): OpenID Connect 1.0 is a simple identity layer on to ...

  7. 一站式WebAPI与认证授权服务

    保护WEBAPI有哪些方法? 微软官方文档推荐了好几个: Azure Active Directory Azure Active Directory B2C (Azure AD B2C)] Ident ...

  8. asp.net core 3.1多种身份验证方案,cookie和jwt混合认证授权

    开发了一个公司内部系统,使用asp.net core 3.1.在开发用户认证授权使用的是简单的cookie认证方式,然后开发好了要写几个接口给其它系统调用数据.并且只是几个简单的接口不准备再重新部署一 ...

  9. 关于WEB Service&WCF&WebApi实现身份验证之WebApi篇

    之前先后总结并发表了关于WEB Service.WCF身份验证相关文章,如下: 关于WEB Service&WCF&WebApi实现身份验证之WEB Service篇. 关于WEB S ...

随机推荐

  1. 单项选择RadioButton和多项选择CheckBox的使用

     在Android中,可以通过RadioButton和RadioGroup的组合来实现单项选择的效果.而多项选择则是通过CheckBox来实现的. 1.单项选择RadioButton 我们知道,一 ...

  2. Android 进阶9:进程通信之 AIDL 解析

    读完本文你将了解: AIDL AIDL 生成文件分析 Stub Proxy AIDL 生成的内容小结 AIDL 的使用回顾 服务端 客户端 小结 手动写个 Binder 首先是定义跨进程接口实现 II ...

  3. How your script code be coverted into arm code and running on ios.

    Your script code is compiled into DLLs (assemblies) by the editor. When you build for iOS, these ass ...

  4. C++中strftime()的详细说明

    我们可以使用strftime()函数将时间格式化为我们想要的格式.它的原型如下: size_t strftime( char *strDest, size_t maxsize, const char  ...

  5. [转载]Lwip之IP/MAC地址冲突检测

    from: http://blog.csdn.net/tianjueyiyi/article/details/51097447 LWIP是个轻量级的TCP/IP协议栈,之所以说轻量级,是因为作者将主体 ...

  6. ACM学习历程—HihoCoder1309任务分配(排序 && 贪心)

    http://hihocoder.com/problemset/problem/1309 题目大意是给定n个任务的起始时间,求问最少需要多少台机器. 有一个贪心的策略就是,如果说对于一个任务结束,必然 ...

  7. gatsbyjs 使用

    1. 安装 npm install --global gatsby-cli 2. 使用 // 创建项目 gatsby new dalong cd dalong // 启动 gatsby develop ...

  8. 系列文章--SharePoint 2013 开发教程

    做了SharePoint有三年了,大家经常会问到,你的SharePoint是怎么学的,想想自己的水平,也不过是初级开发罢了.因为,SharePoint开发需要接触的东西太多了,Windows操作系统. ...

  9. C# 反射之SqlDatareader转换为Model实体.

    虽说反射的效率比较低,但是在当今的时代,盛行的大数据,以及高并发的产生,硬件的产能正在逐渐的提升,所以我们可以用空间来换取时间.反射所消耗的那些性能问题其实在企业级开发而言也就无所谓了.二 : 反射得 ...

  10. 学习HTML5之路

    Web 技术大致的时间轴 1991 HTML 1994 HTML 2 1996 CSS 1+JavaScript 1997HTML 4 1998 CSS2 2000 XHTML 1 2002 使用DI ...