最近项目需要给手机端提供数据,采用WebApi的方式,之前的权限验证设计不是很好,这次采用的是Basic基础认证。

1、常见的认证方式

我们知道,asp.net的认证机制有很多种。对于WebApi也不例外,常见的认证方式有

  • FORM身份验证
  • 集成WINDOWS验证
  • Basic基础认证
  • Digest摘要认证

2、Basic基础认证原理

我们知道,认证的目的在于安全,那么如何能保证安全呢?常用的手段自然是加密。Basic认证也不例外,主要原理就是加密用户信息,生成票据,每次请求的时候将票据带过来验证。这样说可能有点抽象,我们详细分解每个步骤:

  1. 首先登陆的时候验证用户名、密码,如果登陆成功,则将用户名、密码按照一定的规则生成加密的票据信息Ticket,将票据信息返回到前端。
  2. 如果登陆成功,前端会收到票据信息,然后跳转到主界面,并且将票据信息也带到主界面的ActionResult里面(例如跳转的url可以这样写:/Home/Index?Ticket=Ticket)
  3. 在主界面的ActionResult里面通过参数得到票据信息Ticket,然后将Ticket信息保存到ViewBag里面传到前端。
  4. 在主界面的前端,发送Ajax请求的时候将票据信息加入到请求的Head里面,将票据信息随着请求一起发送到服务端去。
  5. 在WebApi服务里面定义一个类,继承AuthorizeAttribute类,然后重写父类的OnAuthorization方法,在OnAuthorization方法里面取到当前http请求的Head,从Head里面取到我们前端传过来的票据信息。解密票据信息,从解密的信息里面得到用户名和密码,然后验证用户名和密码是否正确。如果正确,表示验证通过,否则返回未验证的请求401。

这个基本的原理。下面就按照这个原理来看看每一步的代码如何实现。

3、Basic基础认证的代码示例

创建缓存类,存储用户状态信息CacheManager类

 public  class CacheManager
{
private static Dictionary<String, Object> cache = null; private static CacheManager cacheManager =null;
/// <summary> /// 程序运行时,创建一个静态只读的进程辅助对象 /// </summary> private static readonly object _object = new object();
/// <summary>
/// Make sure the class is singleton so only one instance is shared by all.
/// </summary>
private CacheManager()
{
cache = new Dictionary<string, object>();
}
/// <summary>
/// Get the singleton instance.
/// </summary>
/// <returns></returns>
public static CacheManager instance()
{
//先判断实例是否存在,不存在再加锁处理 if (cacheManager == null) { //在同一时刻加了锁的那部分程序只有一个线程可以进入, lock (_object) { //如实例不存在,则New一个新实例,否则返回已有实例 if (cacheManager == null) { cacheManager = new CacheManager(); } } }
return cacheManager;
} /// <summary>
/// 添加用户信息
/// </summary>
/// <param name="key"></param>
/// <param name="value"></param>
public void add(String key, Object value)
{
if (!cache.ContainsKey(key))
cache.Add(key, value);
else
{
remove(key);
cache.Add(key, value);
}
} /// <summary>
/// 删除用户状态信息
/// </summary>
/// <param name="key"></param>
public void remove(String key)
{
cache.Remove(key);
} /// <summary>
/// 初使化缓存
/// </summary>
public void invalidateCache()
{
cache = new Dictionary<string, object>();
} /// <summary>
/// 获取用户状态信息
/// </summary>
/// <param name="key"></param>
/// <returns></returns>
public object get(String key)
{
Object obj;
if (cache.ContainsKey(key))
cache.TryGetValue(key,out obj);
else
{
obj = null;
}
return obj;
}
}

  在App_Start文件下创建票据认识类RequestAuthorizeAttribute

 public class RequestAuthorizeAttribute : AuthorizeAttribute
{
CacheManager cache = CacheManager.instance();
//重写基类的验证方式,加入我们自定义的Ticket验证
public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
{
//从http请求的头里面获取身份验证信息,验证是否是请求发起方的ticket
var authorization = actionContext.Request.Headers.Authorization;
if ((authorization != null) && (authorization.Parameter != null))
{
//解密用户ticket,并校验用户名密码是否匹配
var encryptTicket = authorization.Parameter;
if (ValidateTicket(encryptTicket))
{
base.IsAuthorized(actionContext);
}
else
{
HandleUnauthorizedRequest(actionContext);
}
}
//如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401
else
{
var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
if (isAnonymous) base.OnAuthorization(actionContext);
else HandleUnauthorizedRequest(actionContext);
}
}
//校验用户名密码
private bool ValidateTicket(string encryptTicket)
{
//解密Ticket
var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData;
//从Ticket里面获取用户名和密码
var index = strTicket.IndexOf("&");
string strUser = strTicket.Substring(0, index);
string strPwd = strTicket.Substring(index + 1);
//服务器端判断用户信息
object objUmodel = cache.get(strUser);
if (objUmodel != null)
{
UserModel u = (UserModel)objUmodel;
if (u.UserPwd.Equals(strPwd))
return true;
else
cache.remove(strUser); return false;
}
else
{
return false;
}
}
}

  

    在公共方法中创建获取票据方法

  /// <summary>
/// 获取票据
/// </summary>
/// <param name="ticketName">票证名称</param>
/// <param name="timeState">票证过期时间</param>
/// <param name="userData">票证数据</param>
/// <returns></returns>
public static FormsAuthenticationTicket GetTicket(string ticketName, int timeState, string userData)
{
FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, ticketName, DateTime.Now,
DateTime.Now.AddMinutes(timeState),true, string.Format("{0}&{1}", ticketName, userData),
FormsAuthentication.FormsCookiePath);
return ticket;
}

    用户登录时,存入票据

     [HttpPost]
[AllowAnonymous]
public object UserLogin([FromBody] UserModel model)
{
Int32 sysRole = 0;
Message msg = new Message() { Content = "登录失败,请重新登录!" };
if (model==null || string.IsNullOrEmpty(model.UserCode) || string.IsNullOrEmpty(model.UserPwd))
{
msg.Flag = false;
return msg;
}
string EncryptPwd = PasswordUtility.Md5To32(model.UserPwd);
var userModel = user.UserModelByLogin(model.UserCode, EncryptPwd, sysRole);
if (userModel != null && userModel.ID > 0)
{
msg.Flag = true;
msg.Content = "登录成功!";
FormsAuthenticationTicket ticket = Common.GetTicket(userModel.UserCode, timeState, EncryptPwd);
//返回登录结果、用户信息、用户验证票据信息
var oUser = new UserModel { Flag = true,UserCode= userModel.UserCode,UserImg= userModel.UserImg, UserName = userModel.UserName, UserPwd = EncryptPwd, Ticket = FormsAuthentication.Encrypt(ticket) };
msg.ApiData = oUser;
cache.add(model.UserCode, oUser);
}
else
{
msg.Flag = false;
msg.Data = "";
}
return msg;
}

 

4、WebApi跨域调用方法

因为WebApi涉及到跨域请求,所以在WebConfig中需要加入一段代码,解决跨域问题,Authorization是向http的head里面加入请求票据,否则浏览器请求不成功。

  <httpProtocol>
<customHeaders>
<add name="Access-Control-Allow-Origin" value="*" />
<add name="Access-Control-Allow-Headers" value=" Origin,Content-Type, Accept,Authorization" />
<add name="Access-Control-Allow-Methods" value="GET, POST, PUT, DELETE, OPTIONS" />
</customHeaders>
</httpProtocol>

  

5、Web页面调用WebApi方法,使用Ajax调用方法

 var Ticket;
$(function () {
$.ajax({
type: "post",
url: url + "/UserLogin",
data: { UserCode: '1002', UserPwd: '123456' },
datatype: 'json',
success: function (data, status) {
if (status == "success") {
debugger;
if (!data.Flag) {
alert("登录失败");
return;
}
alert("登录成功");
//登录成功之后将用户名和用户票据带到主界面
Ticket = data.ApiData.Ticket;
$("#hdTicket").val(Ticket); }
},
error: function (e) {
},
complete: function () {
}
});
}); function myfunction() {
$.ajax({
type: "get",
url: url + '/GetLoginOut?uid=1002',
datatype:'json',
beforeSend: function (request) {
alert('beforesend:' + Ticket);
//发送ajax请求之前向http的head里面加入验证信息
request.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);
},
//xhrFields: {
// withCredentials: true
//},
//crossDomain: true,
success: function (data) {
alert('success:' + data);
},
error: function (data) {
console.log(data);
alert('error:' + data);
}
});
}

  

跨域请求参考地址:https://www.cnblogs.com/cdemo/p/5158663.html

原为参考地址:https://www.cnblogs.com/landeanfen/p/5287064.html

WebApi用户登录验证及服务器端用户状态存取的更多相关文章

  1. android loginDemo +WebService用户登录验证

        android loginDemo +WebService用户登录验证 本文是基于android4.0下的loginActivity Demo和android下的Webservice实现的.l ...

  2. Python程序练习1-模拟用户登录验证

    1.功能简介 此程序模拟用户登录验证的过程,实现用户名输入.黑名单检测.用户有效性判别.密码输入及验证等.用户在3次以内输入正确密码登陆成功,连续输错3次密码登陆失败,且该用户名被记录在黑名单,黑名单 ...

  3. djangorestframework-jwt自带的认证视图进行用户登录验证源代码学习

    Django REST framework JWT djangorestframework-jwt自带的认证视图进行用户登录验证源代码学习 SECRET_KEY = '1)q(f8jrz^edwtr2 ...

  4. cookie实现用户登录验证

    cookie实现用户登录验证 1, INSTALLED_APPS中注册app03 2,在主程序中新建映射关系到app3的url中 from django.conf.urls import url,in ...

  5. python3 用户登录验证的小功能

    用户登录验证,记录一下,还需要修改黑名单不合理 #!/usr/bin/env python3 ''' 需求:编写登录接口 1.输入用户名和密码 2.验证用户密码成功后输出欢迎消息 3.3次没有验证通过 ...

  6. 如何使用Django实现用户登录验证

    最初开始搞用户登录验证的时候感觉没什么难的,不就是增删改查中的查询数据库么,但是还是遇到许多小问题,而且感觉在查询数据库的时候,要把前端的数据一条一条的进行比对,会导致我的代码很丑,而且方式很不智,所 ...

  7. 用javascript实现简单的用户登录验证

    用javascript实现简单的用户登录验证 <!DOCTYPE html> <html lang="en"> <head> <meta ...

  8. django 从零开始 8 用户登录验证 待测

    看文档 djang 自带一个用户登录验证的方法,不过有些看着懵逼,去网上找了一圈,发现很多都是照抄文档说明的,几乎没说啥原理 特别是 from django.contrib.auth import a ...

  9. Java初学者作业——编写Java程序,实现用户登录验证。

    返回本章节 返回作业目录 需求说明: 编写Java程序,实现用户登录验证. 若用户名与密码输入正确,则提示"登录成功,欢迎回来!",若用户名与密码不匹配,则提示"用户名和 ...

随机推荐

  1. mysql数据库的安装步骤

    Redhat6.5 1.准备工作 卸载使用rpm包安装的mysql-server.mysql软件包 安装自带的ncurses-devel包 rpm -ivh /mnt/Packages/ncurses ...

  2. MySQL 各类数据文件介绍

    数据文件 在MySQL中每一个数据库都会在定义好(或者默认)的数据目录下存在一个以数据库名字命名的文件夹,用来存放该数据库中各种表数据文件. 不同的MySQL存储引擎有各自不同的数据文件,存放位置也有 ...

  3. 关于Linux虚拟化技术KVM的科普 科普二(KVM虚拟机代码揭秘)

    代码分析文章<KVM虚拟机代码揭秘--QEMU代码结构分析>.<KVM虚拟机代码揭秘--中断虚拟化>.<KVM虚拟机代码揭秘--设备IO虚拟化>.<KVM虚拟 ...

  4. ORALCE删除临时表空间的方法---解决ORA01033: oralce initialization or shutdown in progress方案

    当一台主机上oralce 临时表空间太多,而又用不到这些临时表空间的时候,    TABLESPACE 会占用大量的存储空间.本文介绍一种删除ORACLE 临时表空间的方法. 一 启动任务管理器.在任 ...

  5. day14_DBUtils学习笔记

    一.DBUtils介绍 Apache公司开发的框架. 什么是dbutils?它的作用?   DBUtils是java编程中的数据库操作实用工具,小巧简单实用.   DBUtils封装了对JDBC的操作 ...

  6. 『个人の笔记』百度ife

    ✄--------------------------------------------task1分割线--------------------------------------------✄ 百 ...

  7. 使用STM32Cube在STM32F7开发板上实现SD+Freertos+Fatfs

    简介 最近项目中可能需要使用到SD卡,所以需要对SD卡的配置和使用调研,在配置过程中遇到了一些问题,在此记录一下. STM32Cube配置 Pinout 只需要注意绿色部分的设定 Clock配置 这里 ...

  8. js定时器让动画隔秒运动

    现有一个需求,宝箱隔几秒动一次,抓住用户眼球,自己写了个 doem.

  9. ubuntu 16.04启用root用户方法

    1.使用:sudo passwd root设置root的密码,如下图所示: 2.使用su root来测试是否可以进入root用户,如果出现#说明已经设置root用户的密码成功,如下图所示:

  10. JAVA WEB项目中生成验证码及验证实例(附源码及目录结构)

    [我是一个初学者,自己总结和网上搜索资料,代码是自己敲了一遍,亲测有效,现将所有的目录结构和代码贴出来分享给像我一样的初学者] 作用 验证码为全自动区分计算机和人类的图灵测试的缩写,是一种区分用户是计 ...