最近项目需要给手机端提供数据,采用WebApi的方式,之前的权限验证设计不是很好,这次采用的是Basic基础认证。

1、常见的认证方式

我们知道,asp.net的认证机制有很多种。对于WebApi也不例外,常见的认证方式有

  • FORM身份验证
  • 集成WINDOWS验证
  • Basic基础认证
  • Digest摘要认证

2、Basic基础认证原理

我们知道,认证的目的在于安全,那么如何能保证安全呢?常用的手段自然是加密。Basic认证也不例外,主要原理就是加密用户信息,生成票据,每次请求的时候将票据带过来验证。这样说可能有点抽象,我们详细分解每个步骤:

  1. 首先登陆的时候验证用户名、密码,如果登陆成功,则将用户名、密码按照一定的规则生成加密的票据信息Ticket,将票据信息返回到前端。
  2. 如果登陆成功,前端会收到票据信息,然后跳转到主界面,并且将票据信息也带到主界面的ActionResult里面(例如跳转的url可以这样写:/Home/Index?Ticket=Ticket)
  3. 在主界面的ActionResult里面通过参数得到票据信息Ticket,然后将Ticket信息保存到ViewBag里面传到前端。
  4. 在主界面的前端,发送Ajax请求的时候将票据信息加入到请求的Head里面,将票据信息随着请求一起发送到服务端去。
  5. 在WebApi服务里面定义一个类,继承AuthorizeAttribute类,然后重写父类的OnAuthorization方法,在OnAuthorization方法里面取到当前http请求的Head,从Head里面取到我们前端传过来的票据信息。解密票据信息,从解密的信息里面得到用户名和密码,然后验证用户名和密码是否正确。如果正确,表示验证通过,否则返回未验证的请求401。

这个基本的原理。下面就按照这个原理来看看每一步的代码如何实现。

3、Basic基础认证的代码示例

创建缓存类,存储用户状态信息CacheManager类

 public  class CacheManager

    {

        private static Dictionary<String, Object> cache = null;

        private static CacheManager cacheManager =null;

        /// <summary>

        /// 程序运行时,创建一个静态只读的进程辅助对象

        /// </summary>

        private static readonly object _object = new object();

        /// <summary>

        /// Make sure the class is singleton so only one instance is shared by all.

        /// </summary>

        private CacheManager()

        {

            cache = new Dictionary<string, object>();

        }

        /// <summary>

        /// Get the singleton instance.

        /// </summary>

        /// <returns></returns>

        public static CacheManager instance()

        {

            //先判断实例是否存在,不存在再加锁处理

            if (cacheManager == null)

            {

                //在同一时刻加了锁的那部分程序只有一个线程可以进入,

                lock (_object)

                {

                    //如实例不存在,则New一个新实例,否则返回已有实例

                    if (cacheManager == null)

                    {

                        cacheManager = new CacheManager();

                    }

                }

            }

            return cacheManager;

        }

     /// <summary>

     /// 添加用户信息

     /// </summary>

     /// <param name="key"></param>

     /// <param name="value"></param>

        public void add(String key, Object value)

        {

            if (!cache.ContainsKey(key))

                cache.Add(key, value);

            else

            {

                remove(key);

                cache.Add(key, value);

            }

        }

       /// <summary>

       /// 删除用户状态信息

       /// </summary>

       /// <param name="key"></param>

        public void remove(String key)

        {

            cache.Remove(key);

        }

       /// <summary>

       /// 初使化缓存

       /// </summary>

        public void invalidateCache()

        {

            cache = new Dictionary<string, object>();

        }

       /// <summary>

       /// 获取用户状态信息

       /// </summary>

       /// <param name="key"></param>

       /// <returns></returns>

        public object get(String key)

        {

            Object obj;

            if (cache.ContainsKey(key))

                cache.TryGetValue(key,out obj);

            else

            {

                obj = null;

            }

            return obj;

        }

    }

  在App_Start文件下创建票据认识类RequestAuthorizeAttribute

 public class RequestAuthorizeAttribute : AuthorizeAttribute

    {

        CacheManager cache = CacheManager.instance();

        //重写基类的验证方式,加入我们自定义的Ticket验证

        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)

        {

            //从http请求的头里面获取身份验证信息,验证是否是请求发起方的ticket

            var authorization = actionContext.Request.Headers.Authorization;

            if ((authorization != null) && (authorization.Parameter != null))

            {

                  //解密用户ticket,并校验用户名密码是否匹配

                  var encryptTicket = authorization.Parameter;

                if (ValidateTicket(encryptTicket))

                {

                    base.IsAuthorized(actionContext);

                }

                else

                {

                    HandleUnauthorizedRequest(actionContext);

                }

            }

            //如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401

            else

            {

                var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();

                bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);

                if (isAnonymous) base.OnAuthorization(actionContext);

                else HandleUnauthorizedRequest(actionContext);

            }

        }

        //校验用户名密码

        private bool ValidateTicket(string encryptTicket)

        {

            //解密Ticket

            var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData;

            //从Ticket里面获取用户名和密码

            var index = strTicket.IndexOf("&");

            string strUser = strTicket.Substring(0, index);

            string strPwd = strTicket.Substring(index + 1);

            //服务器端判断用户信息

            object objUmodel = cache.get(strUser);

            if (objUmodel != null)

            {

                UserModel u = (UserModel)objUmodel;

                if (u.UserPwd.Equals(strPwd))

                    return true;

                else

                    cache.remove(strUser);

                return false;

            }

            else

            {

                return false;

            }

        }

    }

  

    在公共方法中创建获取票据方法

  /// <summary>

        /// 获取票据

        /// </summary>

        /// <param name="ticketName">票证名称</param>

        /// <param name="timeState">票证过期时间</param>

        /// <param name="userData">票证数据</param>

        /// <returns></returns>

        public static FormsAuthenticationTicket GetTicket(string ticketName, int timeState, string userData)

        {

            FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, ticketName, DateTime.Now,

                         DateTime.Now.AddMinutes(timeState),true, string.Format("{0}&{1}", ticketName, userData),

                         FormsAuthentication.FormsCookiePath);

            return ticket;

        }

    用户登录时,存入票据

     [HttpPost]

        [AllowAnonymous]

        public object UserLogin([FromBody] UserModel model)

        {

            Int32 sysRole = 0;

            Message msg = new Message() { Content = "登录失败,请重新登录!" };

            if (model==null || string.IsNullOrEmpty(model.UserCode) || string.IsNullOrEmpty(model.UserPwd))

            {

                msg.Flag = false;

                return msg;

            }

            string EncryptPwd = PasswordUtility.Md5To32(model.UserPwd);

            var userModel = user.UserModelByLogin(model.UserCode, EncryptPwd, sysRole);

            if (userModel != null && userModel.ID > 0)

            {

                msg.Flag = true;

                msg.Content = "登录成功!";

                FormsAuthenticationTicket ticket = Common.GetTicket(userModel.UserCode, timeState, EncryptPwd);

                //返回登录结果、用户信息、用户验证票据信息

                var oUser = new UserModel { Flag = true,UserCode= userModel.UserCode,UserImg= userModel.UserImg, UserName = userModel.UserName, UserPwd = EncryptPwd, Ticket = FormsAuthentication.Encrypt(ticket) };

                msg.ApiData = oUser;

               cache.add(model.UserCode, oUser);

            }

            else

            {

                msg.Flag = false;

                msg.Data = "";

            }

            return msg;

        }

 

4、WebApi跨域调用方法

因为WebApi涉及到跨域请求,所以在WebConfig中需要加入一段代码,解决跨域问题,Authorization是向http的head里面加入请求票据,否则浏览器请求不成功。

  <httpProtocol>

      <customHeaders>

        <add name="Access-Control-Allow-Origin" value="*" />

        <add name="Access-Control-Allow-Headers" value=" Origin,Content-Type, Accept,Authorization" />

        <add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />

      </customHeaders>

    </httpProtocol>

  

5、Web页面调用WebApi方法,使用Ajax调用方法

 var Ticket;

    $(function () {

        $.ajax({

            type: "post",

            url: url + "/UserLogin",

            data: { UserCode: '1002', UserPwd: '123456' },

            datatype: 'json',

            success: function (data, status) {

                if (status == "success") {

                    debugger;

                    if (!data.Flag) {

                        alert("登录失败");

                        return;

                    }

                    alert("登录成功");

                    //登录成功之后将用户名和用户票据带到主界面

                    Ticket = data.ApiData.Ticket;

                    $("#hdTicket").val(Ticket);

                }

            },

            error: function (e) {

            },

            complete: function () {

            }

        });

    });

    function myfunction() {

        $.ajax({

            type: "get",

            url: url + '/GetLoginOut?uid=1002',

            datatype:'json',

            beforeSend: function (request) {

                alert('beforesend:' + Ticket);

                //发送ajax请求之前向http的head里面加入验证信息

                request.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);

            },

            //xhrFields: {

            //    withCredentials: true

            //},

            //crossDomain: true,

            success: function (data) {

                alert('success:' + data);

            },

            error: function (data) {

                console.log(data);

                alert('error:' + data);

            }

        });

    }

  

跨域请求参考地址:https://www.cnblogs.com/cdemo/p/5158663.html

原为参考地址:https://www.cnblogs.com/landeanfen/p/5287064.html

WebApi用户登录验证及服务器端用户状态存取的更多相关文章

  1. android loginDemo +WebService用户登录验证

        android loginDemo +WebService用户登录验证 本文是基于android4.0下的loginActivity Demo和android下的Webservice实现的.l ...

  2. Python程序练习1-模拟用户登录验证

    1.功能简介 此程序模拟用户登录验证的过程,实现用户名输入.黑名单检测.用户有效性判别.密码输入及验证等.用户在3次以内输入正确密码登陆成功,连续输错3次密码登陆失败,且该用户名被记录在黑名单,黑名单 ...

  3. djangorestframework-jwt自带的认证视图进行用户登录验证源代码学习

    Django REST framework JWT djangorestframework-jwt自带的认证视图进行用户登录验证源代码学习 SECRET_KEY = '1)q(f8jrz^edwtr2 ...

  4. cookie实现用户登录验证

    cookie实现用户登录验证 1, INSTALLED_APPS中注册app03 2,在主程序中新建映射关系到app3的url中 from django.conf.urls import url,in ...

  5. python3 用户登录验证的小功能

    用户登录验证,记录一下,还需要修改黑名单不合理 #!/usr/bin/env python3 ''' 需求:编写登录接口 1.输入用户名和密码 2.验证用户密码成功后输出欢迎消息 3.3次没有验证通过 ...

  6. 如何使用Django实现用户登录验证

    最初开始搞用户登录验证的时候感觉没什么难的,不就是增删改查中的查询数据库么,但是还是遇到许多小问题,而且感觉在查询数据库的时候,要把前端的数据一条一条的进行比对,会导致我的代码很丑,而且方式很不智,所 ...

  7. 用javascript实现简单的用户登录验证

    用javascript实现简单的用户登录验证 <!DOCTYPE html> <html lang="en"> <head> <meta ...

  8. django 从零开始 8 用户登录验证 待测

    看文档 djang 自带一个用户登录验证的方法,不过有些看着懵逼,去网上找了一圈,发现很多都是照抄文档说明的,几乎没说啥原理 特别是 from django.contrib.auth import a ...

  9. Java初学者作业——编写Java程序,实现用户登录验证。

    返回本章节 返回作业目录 需求说明: 编写Java程序,实现用户登录验证. 若用户名与密码输入正确,则提示"登录成功,欢迎回来!",若用户名与密码不匹配,则提示"用户名和 ...

随机推荐

  1. 微信小程序 bug及解决方案

    1.小程序遮罩滚动穿透问题 解决方案: <view class="mask" wx:if="{{showVipRights}}" catchtap='hi ...

  2. jquery mobile 表单提交 图片/文件 上传

    jquerymobile 下面 form 表单提交 和普通html没区别,最主要是 <form 要加一个 data-ajax='false' 否则 上传会失败 1  html代码 <!do ...

  3. JMeter Concurrency Thread Group阶梯式加压

    初始使用,做了下总结 1.首先下载Concurrency Thread Group并发线程组插件,选择或者搜索Custom Thread Groups: 下载完成之后,JMeter会自动重启. 2.在 ...

  4. 用CSS画小猪佩奇,你就是下一个社会人!

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 作者:江志耿 | 腾讯TEG网络工程师 我是佩奇,哼,这是我的弟弟乔治,呱呱,这是我的妈妈,嚯,这是我的爸爸,嚯~ 背景 小猪佩奇已经火了好 ...

  5. mac里用PyCharm中引用MySqlDB始末

    本来想用java来连数据库,然后调用python的,后来想了想,反正是个实验性质的小工程何必搞的这么复杂.直接全部python就好了,于是就为这个想法填了一晚上的坑. 装好了PyCharm的CE版,然 ...

  6. SVN客户端和服务器端下载地址

    https://sourceforge.net/projects/tortoisesvn/files/1.9.7/Application/TortoiseSVN-1.9.7.27907-x64-svn ...

  7. 超实用的JavaScript代码段 Item3 --图片轮播效果

    图片轮播效果 图片尺寸 统一设置成:490*170px; 一.页面加载.获取整个容器.所有放数字索引的li及放图片列表的ul.定义放定时器的变量.存放当前索引的变量index 二.添加定时器,每隔2秒 ...

  8. 你不知道的JavaScript--Item18 JScript的Bug与内存管理

    1.JScript的Bug IE的ECMAScript实现JScript严重混淆了命名函数表达式,搞得现很多人都出来反对命名函数表达式,而且即便是现在还一直在用的一版(IE8中使用的5.8版)仍然存在 ...

  9. 巩固java(三)---java修饰符

    正文:               下面的表格列出了java中修饰符的一些信息: 修饰符名称 类型 类 变量 方法 abstract 非访问控制符 抽象类          -- 抽象方法 final ...

  10. Android 实现个性的ViewPager切换动画 实战PageTransformer(兼容Android3.0以下)

    转载请标明出处:http://blog.csdn.net/lmj623565791/article/details/40411921,本文出自:[张鸿洋的博客] 1.概述 之前写过一篇博文:Andro ...