为什么需要身份认证

身份认证是为了提高接口访问的安全性,如果没有身份验证,那么任何匿名用户只要知道服务器的url,就可以随意访问服务器,从而访问或者操作数据库,这会是很恐怖的事。

什么是Basic基础认证

Basic基础认证是一种简单的用户名、密码验证过程,它的主要原理是加密用户信息,生成票据,每次需要身份验证时将票据带过来验证,实现步骤为:

  1. 用户登录,登录成功后将生成的票据返回到前端;
  2. 前端登录成功后,收到票据信息,跳转到主页面,并且吧票据一并带过去,存入Session;
  3. 在需要请求页面,把票据信息加入到请求的Head里面,将票据信息随着请求一起发送到服务端去;
  4. 在WebApi服务里面定义一个类,继承AuthorizeAttribute类,然后重写父类的OnAuthorization方法,在OnAuthorization方法里面取到当前http请求的Head,从Head里面取到我们前端传过来的票据信息。解密票据信息,从解密的信息里面得到用户名和密码,然后验证用户名和密码是否正确。如果正确,表示验证通过,否则返回自定义错误信息。

Basic基础认证的代码示例:

首先新建两个项目:Web测试站点、WebApi站点 

1.1、在Web测试站点,添加一个登录页面:

<div style="text-align:center;">

        <div>用户名:<input type="text" id="txt_username" /></div>

        <div>密  码:<input type="password" id="txt_password" /></div>

        <div><input type="button" value="登录" id="btn_login" class="btn-default" /></div>

    </div>

登录请求的ajax:

 $(function () {

    $("#btn_login").click(function () {

        $.ajax({

            type: "get",

            url: "http://localhost:61593/api/account/login",

            data: { strUser: $("#txt_username").val(), strPwd: $("#txt_password").val() },

            success: function (data, status) {

                if (status == "success") {

                    if (!data.bRes) {

                        alert("登录失败");

                        return;

                    }

                    alert("登录成功");

                    //登录成功之后将用户名和用户票据带到主界面

                    window.location = "/Home/Index?UserName=" + data.UserName + "&Ticket=" + data.Ticket;

                }

            },

            error: function (e) {

            },

            complete: function () {

            }

        });

    });

});

1.2、对应的WebApi站点的,登录的Api接口:

/// <summary>

/// 用户登录

/// </summary>

/// <param name="strUser"></param>

/// <param name="strPwd"></param>

/// <returns></returns>

[HttpGet]

public object Login(string strUser, string strPwd)

{

    if (!ValidateUser(strUser, strPwd))

    {

        return new { bRes = false };

    }

    FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateTime.Now,

                    DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", strUser, strPwd),

                    FormsAuthentication.FormsCookiePath);

    //返回登录结果、用户信息、用户验证票据信息

    var oUser = new UserInfo { bRes = true, UserName = strUser, Password = strPwd, Ticket = FormsAuthentication.Encrypt(ticket) };

    //将身份信息保存在session中,验证当前请求是否是有效请求

    HttpContext.Current.Session[strUser] = oUser;

    return oUser;

}

//校验用户名密码(正式环境中应该是数据库校验)

private bool ValidateUser(string strUser, string strPwd)

{

    if (strUser == "admin" && strPwd == "123456")

    {

        return true;

    }

    else

    {

        return false;

    }

}

自定义UserInfo实体:

public class UserInfo

{

    public bool bRes { get; set; }

    public string UserName { get; set; }

    public string Password { get; set; }

    public string Ticket { get; set; }

}

新建的WebApi需要配置一下路由,打开App_Start文件夹下的WebApiConfig.cs文件,添加一条路由信息:

public static void Register(HttpConfiguration config)

{

    //解决跨域访问问题

    config.EnableCors(new EnableCorsAttribute("*", "*", "*"));

    // Web API 路由

    config.MapHttpAttributeRoutes();

    config.Routes.MapHttpRoute(

        name: "DefaultApi1",

        routeTemplate: "api/{controller}/{action}/{id}",

        defaults: new { id = RouteParameter.Optional }

    );

}

如果是两个站点的话可能会出现跨域问题,解决跨域访问问题可以参考: 
http://blog.csdn.net/lwpoor123/article/details/78457589

2.1、在Web测试站点添加一个用于跳转测试的index主页面

<html>

<head>

    <meta name="viewport" content="width=device-width" />

    <title>Index</title>

    <script src="~/Scripts/jquery-1.10.2.min.js"></script>

</head>

<body>

    测试结果:

    <div id="div_test">

        hello world

    </div>

    当前登录用户:

    <div id="username">

        @ViewBag.UserName

    </div>

</body>

</html>

ajax请求:

<script>

    var ApiUrl = "http://localhost:61593/";

    $(function () {

        $.ajax({

            type: "get",

            url: ApiUrl + "api/Account/GetAllData",

            data: {},

            beforeSend:function(XHR){                XHR.setRequestHeader('Authorization','BasicAuth @ViewBag.Ticket')

            },

            success: function (data, status) {

                if (status == "success") {

                    $("#div_test").html(data);

                }

            },

            error: function (e) {

                $("#div_test").html("Error");

            }

        });

    });

</script>

这里需要注意在beforeSend方法里面,向请求的报文头里面增加票据信息,用于把Ticket信息一同带到服务器: 
XHR.setRequestHeader(‘Authorization’,’BasicAuth @ViewBag.Ticket’) 

2.2、index页面的action,接收传递过来的票据数据,存入Session

public ActionResult Index(string UserName, string Ticket)

{

    if (UserName != null)

    {

        Session["UserName"] = UserName;

    }

    if (Ticket != null)

    {

        Session["Ticket"] = Ticket;

    }

    ViewBag.UserName = Session["UserName"];

    ViewBag.Ticket = Session["Ticket"];

    return View();

}

2.3、对应的Api接口:

public class AccountController : ApiController

{

    /// <summary>

    /// 得到所有数据

    /// </summary>

    /// <returns>返回数据</returns>

    [HttpGet]

    [RequestAuthorize]

    public string GetAllData()

    {

        return "Success";

    }

}

WebAip默认是没有开启Session,需要手动开启: 
在WebApi站点,打开Global.asax文件,重写Init()方法

public override void Init()

{

    this.PostAuthenticateRequest += (sender, e) => HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required);

    base.Init();

}

或者:

public override void Init()

{

    PostAuthenticateRequest += MvcApplication_PostAuthenticateRequest;

    base.Init();

}

void MvcApplication_PostAuthenticateRequest(object sender, EventArgs e)

{

    HttpContext.Current.SetSessionStateBehavior(

        SessionStateBehavior.Required);

}

3.1、WebApi身份验证部分(重点) 
在WebApi站点,添加一个RequestAuthorizeAttribute.cs文件,继承AuthorizeAttribute,自定义此特性用于接口的身份验证:

 /// <summary>

/// 自定义此特性用于接口的身份验证

/// </summary>

public class RequestAuthorizeAttribute : AuthorizeAttribute

{

    //重写基类的验证方式,加入我们自定义的Ticket验证

    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)

    {

        //从http请求的头里面获取身份验证信息,验证是否是请求发起方的ticket

        var authorization = actionContext.Request.Headers.Authorization;

        if ((authorization != null) && (authorization.Parameter != null))

        {

            //解密用户ticket,并校验用户名密码是否匹配

            var encryptTicket = authorization.Parameter;

            if (ValidateTicket(encryptTicket))

            {

                base.IsAuthorized(actionContext);

            }

            else

            {

                HandleUnauthorizedRequest(actionContext);

            }

        }

        //如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401

        else

        {

            var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();

            bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);

            if (isAnonymous) base.OnAuthorization(actionContext);

            else HandleUnauthorizedRequest(actionContext);

        }

    }

    protected override void HandleUnauthorizedRequest(HttpActionContext actioncontext)

    {

        base.HandleUnauthorizedRequest(actioncontext);

        var response = actioncontext.Response = actioncontext.Response ?? new HttpResponseMessage();

        response.StatusCode = HttpStatusCode.Forbidden;

        var content = new

        {

            code = -1,

            success = false,

            errs = new[] { "服务端拒绝访问:你没有权限,或者掉线了" }

        };

        response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json");

    }

    //校验用户名密码(正式环境中应该是数据库校验)

    private bool ValidateTicket(string encryptTicket)

    {

        //解密Ticket

        var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData;

        //从Ticket里面获取用户名和密码

        var index = strTicket.IndexOf("&");

        string strUser = strTicket.Substring(0, index);

        string strPwd = strTicket.Substring(index + 1);

        if (strUser == "admin" && strPwd == "123456")

        {

            return true;

        }

        else

        {

            return false;

        }

    }

}

3.2、使用的时候只需要在控制器前面加上自定义的身份验证[RequestAuthorize]

/// <summary>

/// 得到所有数据

/// </summary>

/// <returns>返回数据</returns>

[HttpGet]

[RequestAuthorize]

public string GetAllData()

{

    return "Success";

}

如果不携带票据或者票据无效,服务端拒绝访问: 

如果在控制器加了身份验证,有些请求又不想使用验证,可以在方法上面添加特性标注[AllowAnonymous]

[RequestAuthorize]

public class AccountController : ApiController

{

    /// <summary>

    /// 得到所有数据

    /// </summary>

    /// <returns>返回数据</returns>

    [HttpGet]

    public string GetAllData()

    {

        return "Success";

    }

    [AllowAnonymous]

    public string getData()

    {

        return "data";

    }

}
 

c# WebApi之身份验证:Basic基础认证的更多相关文章

  1. WebApi 身份认 Basic基础认证

    <body> <div style="text-align:center;"> <div>用户名:<input type="te ...

  2. C#进阶系列——WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

  3. WebApi身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

  4. C#进阶系列——WebApi身份认证解决方案:Basic基础认证 (转)

    http://www.cnblogs.com/landeanfen/p/5287064.html 前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人 ...

  5. WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

  6. (转)C# WebApi 身份认证解决方案:Basic基础认证

    原文地址:http://www.cnblogs.com/landeanfen/p/5287064.html 阅读目录 一.为什么需要身份认证 二.Basic基础认证的原理解析 1.常见的认证方式 2. ...

  7. #进阶系列——WebApi 身份认证解决方案:Basic基础认证

    阅读目录 一.为什么需要身份认证 二.Basic基础认证的原理解析 1.常见的认证方式 2.Basic基础认证原理 三.Basic基础认证的代码示例 1.登录过程 2./Home/Index主界面 3 ...

  8. Web API(七):Basic基础认证

    1.WebApi中为什么需要身份认证 我们在使用WebApi的时候,都是通过URL去获取数据.也就是说,任何人只要知道了URL地址,就能随意的访问后台的服务接口,就可以访问或者修改数据库数据了,这样就 ...

  9. 关于WEB Service&WCF&WebApi实现身份验证之WebApi篇

    之前先后总结并发表了关于WEB Service.WCF身份验证相关文章,如下: 关于WEB Service&WCF&WebApi实现身份验证之WEB Service篇. 关于WEB S ...

随机推荐

  1. 剑指offer(16)栈的压入、弹出序列

    题目: 输入两个整数序列,第一个序列表示栈的压入顺序,请判断第二个序列是否可能为该栈的弹出顺序.假设压入栈的所有数字均不相等.例如序列1,2,3,4,5是某栈的压入顺序,序列4,5,3,2,1是该压栈 ...

  2. scala下划线

    作为函数的参数 一个匿名的函数传递给一个方法或者函数的时候,scala会尽量推断出参数类型.例如一个完整的匿名函数作为参数可以写为 scala> def compute(f: (Double)= ...

  3. spring-01

    Spring概述 概述 Spring是一个开源框架 为企业级开发而生 是一个IOC[DI]和AOP容器框架 有许多优良特性 非侵入式:基于Spring开发的应用中的对象可以不依赖Spring的API. ...

  4. Lodop打印控件 打印透明图问题

    Lodop通过增设transcolor属性实现了“先字后章”效果,这个属性可以把某种颜色转成类似透明的效果.例如:把图章的底色白色变成透明:transcolor="#FFFFFF" ...

  5. 了解AutoCAD对象层次结构 —— 1 ——应用程序

    想象这样一个场景:当您开始一天的工作,坐到电脑前面,用鼠标双击桌面上的AutoCAD Civil 3D图标,这时一个AutoCAD Civil 3D应用程序将运行起来.打开Windows任务管理器,我 ...

  6. IntelliJ IDEA default settings 全局默认设置

    可以通过以下两个位置设置IDEA的全局默认设置: 以后诸如默认的maven配置就不需要每次都重复配置了?

  7. Github提交本地代码

     第一步:建立git仓库 cd到你的本地项目根目录下,执行git命令 git init 第二步:将项目的所有文件添加到仓库中 git add . 如果想添加某个特定的文件,只需把.换成特定的文件名即可 ...

  8. Cetos 7 防火墙设置

    1.关闭防火墙: # systemctl stop firewalld.service 2.开启防火墙: # systemctl start firewalld.service 3.关闭开机启动: # ...

  9. Pearls POJ - 1260 dp

    题意:有n种不同的珍珠 每种珍珠的价格不同  现在给出一个采购单 标注了需要不同等级的珍珠和相对于的个数(输入按价格升序排列) 其中 价格为   (当前种类价格+10)*购买数量  这样就有一种诡异的 ...

  10. 安卓Android基础—第一天

    1.1G-4G的介绍 1G 大哥大 2G 小灵通 采用gsm标准(美国军方标准民用化) 发短信 3G 沃 72M/s 4G lte 100M/s 5G 华为 10G/s 小公司卖茶品大公司卖版权(标准 ...