anglarjs1.6.3+owin 实现验证之一:统一拒绝非登录访问。
1、anglarjs端在app.js(即anglar的入口js),注册.factory("messageService",使得每次来自html客户端的请求都能带有一个值,如AKey:
var chars = ['0','1','2','3','4','5','6','7','8','9','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z'];function generateMixed(n) { var res = ""; for(var i = 0; i < n ; i ++) { var id = Math.ceil(Math.random()*35); res += chars[id]; } return res;}var ClientID=generateMixed(6);
var Akey='ccc';
expressApp.factory('authInterceptor', function($rootScope){
return {
request: function(config){
config.headers = config.headers || {};
config.headers.authorization = Akey;
return config;
},
responseError: function(response){
)
{
debugger
location.href="./E403.html"
}
}
};
})
expressApp.config(function ($locationProvider, $routeProvider,$httpProvider) {
$httpProvider.interceptors.push('authInterceptor');
}
2、html客户端做一个403页面,页面带一个连接,连接跳转到登录页
<li>
使用具有访问权限的账户重新登录系统,点击:
<a href="./index.html#/login">此处</a>。
</li>
3、客户端包含一个登录页login.html,对应的关键js如下:
$http({
method: 'post', url: baseUrl+'account/login',
data: {
LoginName: $scope.LoginName,
Password:$scope.Password,
ClientID:ClientID
}
}).then(function (response) {
Akey=response.data.LogonUser.SessionKey;
},
function (response) {
}
);
这里面最重要的一句话,就是Akey=response.data.LogonUser.SessionKey; 因为Aky是在app.js里面定义的全局变量,所以登录之前是一个错误值,在服务端限定以后,不能访问任何常规的action,但是只能访问服务端的account/login这个action。
4、下来看看服务端的login这个action
[Route("express/account/login")]
public HttpResponseMessage Login(Users user)
{
if (string.IsNullOrEmpty(user.LoginName))
return Request.CreateResponse(HttpStatusCode.Forbidden);
if (string.IsNullOrEmpty(user.Password))
return Request.CreateResponse(HttpStatusCode.Forbidden);
var nowUser = auS.GetUserByUserId(user.LoginName);
if (nowUser == null)
return Request.CreateResponse(HttpStatusCode.Forbidden);
#region 验证密码
if (!string.Equals(nowUser.Password, user.Password))
{
return Request.CreateResponse(HttpStatusCode.Forbidden);
}
#endregion
if (nowUser.IsDelete)
return Request.CreateResponse(HttpStatusCode.Forbidden);
var existsDevice = auS.GetClientUser(nowUser.LoginName);
if (existsDevice == null)
{
string passkey = auS.ComputeHash(nowUser.LoginName + nowUser.ClientID + DateTime.UtcNow + Guid.NewGuid());
existsDevice = new Users()
{
LoginName = nowUser.LoginName,
SessionKey = passkey,
ClientID = user.ClientID
};
auS.AddClientUser(existsDevice);
}
else
{
auS.UpdateUserDevice(existsDevice);
}
existsDevice.Password = "";
return Request.CreateResponse(HttpStatusCode.OK, new SessionObject() { SessionKey = existsDevice.SessionKey, LogonUser = existsDevice });
}
这里面最关键的一个就是这两句话,当客户端发来一个clientID以后,使用一定的规则合成一个会话ID,存到内存中一个静态列表里面,以实现只要登录一次且不超时,就缓存这个人的登录信息,相当于session一样的效果。
string passkey = auS.ComputeHash(nowUser.LoginName + nowUser.ClientID + DateTime.UtcNow + Guid.NewGuid()); ClientID = user.ClientID
那么在来看看app.js里面的这个ClientID:
','A','B','C','D','E','F','G','H','I','J','K','L','M','N','O','P','Q','R','S','T','U','V','W','X','Y','Z'];
function generateMixed(n) {
var res = "";
; i < n ; i ++) {
);
res += chars[id];
}
return res;
}
);
5、来看看AuthenticationService.cs的一些关键代码:这里也可以用字典,甚至可以把列表迁移到redis上面去都可以。
public string ComputeHash(string input)
{
byte[] data = Md5.ComputeHash(Encoding.Unicode.GetBytes(input));
var sBuilder = new StringBuilder();
foreach (byte t in data)
sBuilder.Append(t.ToString("X"));
return sBuilder.ToString();
}
/// <summary>
/// 使用唯一标识获得登录用户
/// </summary>
/// <param name="Akey"></param>
/// <returns></returns>
public Users GetClientUserByAkey(string Akey)
{
//headers.Authorization.Scheme
var ul = ClientUser.Where(_ =>
{
return _.SessionKey == Akey;
});
)
{
var u = ul.FirstOrDefault();
if (u.ExpiredTime < DateTime.Now)
{
return u;
}
else
{
ClientUser.Remove(u);
}
}
return null;
}
public Users GetUserByUserId(string loginName)
{
//Accessor是我写的一个ORM的访问器
var ul = Accessor.GetList<Users>(new { LoginName = loginName });
return ul.FirstOrDefault();
}
首先BaseController继承自ApiController,而且用于登录的那个Controller也就是AccountController必须继承自 ApiController
AccountController : ApiController
BaseController: ApiController
再来看看BaseController的关键代码,这样我们写业务Controller(非登录AccountController)的时候,比如ProductController,让ProductController:BaseController即可
public Express.Entity.Users currentUser = null;
public override Task<HttpResponseMessage> ExecuteAsync(HttpControllerContext controllerContext, CancellationToken cancellationToken)
{
if (controllerContext.Request.Headers.Authorization != null
&& !string.IsNullOrWhiteSpace(controllerContext.Request.Headers.Authorization.Scheme))
{
currentUser = new AuthenticationService().GetClientUserByAkey(controllerContext.Request.Headers.Authorization.Scheme);
if (currentUser == null)
{
var response = new HttpResponseMessage(HttpStatusCode.Forbidden);
var tsc = new TaskCompletionSource<HttpResponseMessage>();
tsc.SetResult(response);
return tsc.Task;
}
}
else
{
var response = new HttpResponseMessage(HttpStatusCode.Forbidden);
var tsc = new TaskCompletionSource<HttpResponseMessage>();
tsc.SetResult(response);
return tsc.Task;
}
return base.ExecuteAsync(controllerContext, cancellationToken);
}
好了,下一篇讲述,如果实现粒度到action级别的权限控制。
anglarjs1.6.3+owin 实现验证之一:统一拒绝非登录访问。的更多相关文章
- 将最小的OWIN身份验证添加到现有的ASP.NET MVC应用程序
https://weblog.west-wind.com/posts/2015/Apr/29/Adding-minimal-OWIN-Identity-Authentication-to-an-Exi ...
- Asp.Net WebApi 使用OWIN架构后,出现 “没有 OWIN 身份验证管理器与此请求相关联(No OWIN authentication manager is associated with the request)” 异常的解决办法
在Asp.Net WebApi 项目中使用OWIN模块之后,如果没有在OWIN的Startup类中配置认证方式,调用WebApi的相关Controller和Action就会出现如下异常: 出现错误. ...
- MVC的验证(模型注解和非侵入式脚本的结合使用) .Net中初探Redis .net通过代码发送邮件 Log4net (Log for .net) 使用GDI技术创建ASP.NET验证码 Razor模板引擎 (RazorEngine) .Net程序员应该掌握的正则表达式
MVC的验证(模型注解和非侵入式脚本的结合使用) @HtmlHrlper方式创建的标签,会自动生成一些属性,其中一些属性就是关于验证 如图示例: 模型注解 通过模型注解后,MVC的验证,包括前台客 ...
- aspnet core 全局模型验证,统一api响应
上手就来 新建一个模型验证过滤器,其中ApiResp是自定义的统一响应类. public class VldFilter:IActionFilter { /// <summary> /// ...
- 两系统用asp.net forms 身份验证方式实现跨域登录信息共享
1.两个系统的 web.config 都配置为 forms 验证方式( system.web —> authentication 节点) 2.在两个系统的Web.config里配置相同的 sys ...
- ASP.NET MVC 4.0中选择Windows 验证默认出错拒绝访问的原因和解决方案
在VS 2012或者2013 中,根据模板创建一个ASP.NET MVC 4.0的应用程序,选择下面的模板 然后选择Intranet Application 不对源代码做任何修改,直接按下F5调试,会 ...
- 【IP限制】验证是否限制了境外IP访问权限
为啥要限制境外IP访问咱们的网站或者服务呢?怕泄漏了"机密"(好像都是我们在山寨别人,哪儿TM有机密,那叫"鸡贼") 好像国外的网站也没有限制咱大陆客去访问,反 ...
- Struts(二十四):短路验证&重写实现转换验证失败时短路&非字段验证
短路验证: 若对一个字段使用多个验证器,默认情况下会执行所有的验证.若希望前面的验证器没有通过,后面的验证器就不再执行,可以使用短路验证. 1.如下拦截器,如果输入字符串,提交表单后,默认是会出现三个 ...
- 实现Redhat Linux 6和Windows通过Windows Server AD统一认证并共享访问Oracle ZS存储系统
Windows Server 2012 AD设置 1. 建立新的组织单位OU 为用户提前建立好OU,是为了AD用户管理简单清晰. 2. 建立新的用户和用户组 建立新的用户的时候,要同时将用户归属到 ...
随机推荐
- typedef struct LNode命名结构指针(线性表的链式存储)
一.typedef 关键字 1. 简介: typedef工具是一个高级数据特性,利用typedef可以为某一些类型自定义名称. 2. 工作原理: 例如我们定义链表的存储结构时,需要定义结点的存储数据元 ...
- 不用Visual Studio,5分钟轻松实现一张报表
常规的报表设计,如RDLC.水晶报表等,需要安装Visual Studio,通过VS提供的报表设计界面来设计报表,通过VS设计报表对.NET开发者而言非常方便,但是对于非开发人员,要安装4G的一个VS ...
- (后端)Java中关于金额大小写的工具类
/** * 金额小数转换成中文大写金额 * * @author Neil Han * */ private static final String UNIT[] = { "万", ...
- python之with语句的原理
首发时间:2018-02-23 15:28 之前看到一篇博客说博主python面试时遇到面试官提问with的原理,而那位博主的博文没有提及with原理,故有此文. 关于with语句,官方文档中是这样描 ...
- UML类图关系图解
一.类结构 在类的UML图中,使用长方形描述一个类的主要构成,长方形垂直地分为三层,以此放置类的名称.属性和方法. 其中, 一般类的类名用正常字体粗体表示,如上图:抽象类名用斜体字粗体,如User:接 ...
- 查看python版本
1.未进入python shell python --version 2.进入python shell,有两种方法 (1) help() (2) import sys sys.version
- Lucene创建索引流程
1.创建索引流程 原始文档:互联网上的网页(爬虫或蜘蛛).数据库中的数据.磁盘上的文件 创建文档对象(非结构化数据) 文档对象中的属性不叫属性现在成为域. 每个 Document 可以有多个 Fiel ...
- WindowsErrorCode
0 操作成功完成.1 功能错误.2 系统找不到指定的文件.3 系统找不到指定的路径.4 系统无法打开文件.5 拒绝访问.6 句柄无效.7 存储控制块被损坏.8 存储空间不足, 无法处理此命令.9 存储 ...
- 用Python实现数据结构之链表
链表 链表与栈,队列不一样,它是由一个个节点构成的,每个节点存储着本身的一些信息,也存储着其他一个或多个节点的引用,可以从一个节点找到其他的节点,节点与节点之间就像是有链连在一起一样,这种数据结构就叫 ...
- centos6.9NAT网络模式
1.对虚拟机进行设置,点击该虚拟机的设置在网络适配器下将网络连接设置为NAT模式. 2.对虚拟机进行设置,点击虚拟机左上方的编辑-->虚拟网络编辑器,将WMnet信息设置为NAT模式,其它的无需 ...