本以为系列文章已经Over,突然记起来前面留了个大坑还没填,真是自己给自己挖坑。

这个坑就是:

(body 只能被读取一次)Only one thing can read the body

MVC和WebAPI之间的一个关键不同点在于MVC缓存请求主体(request body)。这意味着MVC的参数绑定可以反复从body中查找参数片断。然而,在WebAPI中,请求主体(HttpContent)

只能被读取一次,不被缓存,只能向前读取的流。这意味着parameter binding需要谨慎对待stream,除非在需要绑定参数的情况下,否则stream不能被读取。

以下的action方法想直接读取stream,因而导致WebAPI不能保证其拥有用于参数绑定的stream。
引自:

[译]WebAPI下的如何实现参数绑定





这也就意味着,凡是参数中含有实体类型的,这个实体只能获取一次。


话说园子里WebApi安全性的文章也不少了,可是这个坑少有人提,也不晓得为啥,只好自己走一个大弯路先。


本人所在公司目前用MVC开发,Api做安全验证的时候,是将验证的系统参数和数据一起打包成一个匿名类,在Attribute中做验证,是可行的。同样的方式,拿到WebApi中,就死活走不下去。因为在ActionFilterAttribute中用请求的输入流(貌似只能以此种办法)获取实体后,在Action中就拿不到真正的数据了。


经过调整后的验证代码:






        /// WebAPI防篡改签名验证抽象基类Attribute

        /// </summary>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求client_id、token及timestamp均通过QueryString传递

            string outMessage = "未经过验证的请求!";

            if (getCollection != null && getCollection.Count > )

            {

                string client_id = getCollection["client_id"];

                string timestamp = getCollection["timestamp"];

                string token = getCollection["token"];

                if (!string.IsNullOrWhiteSpace(client_id)//必须包含client_id

                   && !string.IsNullOrWhiteSpace(timestamp)//必须包换时间戳

                   && !string.IsNullOrWhiteSpace(token))

                //&& Regex.IsMatch(client_key, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    Config.Service.SignCalculation sc = new Config.Service.SignCalculation();

                    if (sc.VerifyClientParam(client_id, token, timestamp, out outMessage))

                    {//验证通过,执行基类方法

                        base.OnActionExecuting(actionContext);

                        return;

                    }

                }

                var html = "<p>" + outMessage + "</p>";

                //此处暂时以401返回,可调整为其它返回

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized,"验证失败");

                actionContext.Response.Content = new StringContent(html, Encoding.UTF8, "text/html");

            }

        }






调整后,验证参数从请求QueryString中获得,Action可以用本系列的几种办法均可以顺利获取实际的数据。


填坑完毕。


本系列为本人原创,解决了本人实际工作中碰到的问题。


写文章不易,欢迎转载。但转载的时候,带上原文链接,可好?
												


											
WebApi传参总动员(填坑)的更多相关文章
	

    
								
  1. WebApi传参总动员(一)
		
    目前自己的工作和WebApi相关,免不了传入.接收参数.以前的老办法是从请求流中获取json,再反序列化,这中间有2个不能控制的地方,一个是流,一个是反序列化,都需要try,总感觉非常的不爽.因此对W ...
    
		
    2. 
						
  2. WebApi传参总动员(四)
		
    前文介绍了Form Data 形式传参,本文介绍json传参. WebApi及Model: public class ValuesController : ApiController { [HttpP ...
    
		
    3. 
						
  3. WebApi传参总动员(五)
		
    上回说到涉及多个实体的传参,用常规的方法已经不能解决了.这回我们用终极大招搞定她. WebApi:注意要引用JSON.Net [HttpPost] public string GetData(stri ...
    
		
    4. 
						
  4. WebApi传参总动员(三)
		
    上篇介绍了如何从输入流中获取实体对象.本篇介绍以url形式传递参数.简单的参数不再赘述,这里主要实现形如(string name,Woman woman)这样的参数传递. 本篇及后面几章均涉及js调用 ...
    
		
    5. 
						
  5. WebApi传参总动员(二)
		
    上篇,从最简单的string入手.本篇演示了从请求的输入流中获取实体.api: public class ValuesController : ApiController { [HttpPost] p ...
    
		
    6. 
						
  6. C# WebApi传参之Post请求-AJAX
		
    最近悟出来一个道理,在这儿分享给大家:学历代表你的过去,能力代表你的现在,学习代表你的将来. 十年河东十年河西,莫欺少年穷.  学无止境,精益求精    上一节讲述了C# WebApi传参之Get请求 ...
    
		
    7. 
						
  7. C# WebApi传参之Get请求-AJAX
		
    最近悟出来一个道理,在这儿分享给大家:学历代表你的过去,能力代表你的现在,学习代表你的将来. 十年河东十年河西,莫欺少年穷.  学无止境,精益求精    在介绍本篇博客之前,先来温故下AJax的请求, ...
    
		
    8. 
						
  8. WebAPI传参
		
    1.GET请求传递参数 URL传参:http://localhost/ApiTest/test?id=1 API接收参数 [HttpGet] public string GetUser(int id) ...
    
		
    9. 
						
  9. C#进阶系列——WebApi 传参详解
		
    本篇打算通过get.post.put.delete四种请求方式分别谈谈基础类型(包括int/string/datetime等).实体.数组等类型的参数如何传递. 回到顶部 一.get请求 对于取数据, ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Spring3系列8- Spring 自动装配 Bean
			
    Spring3系列8- Spring 自动装配 Bean 1.      Auto-Wiring ‘no’ 2.      Auto-Wiring ‘byName’ 3.      Auto-Wiri ...
    
			
    2. 
						
  2. 基情四射的两个css样式
			
    自定义blog样式时,代码段的line-height继承样式post的line-height,间隔太大了,决定再减小点,css都玩了几年了,感觉中这是很容易的事情.然后,就悲剧了好久,原先自定义样式表 ...
    
			
    3. 
						
  3. 转:php park、unpark、ord 函数使用方法(二进制流接口应用实例)
			
    在工作中,我也逐渐了解到park,unpark,ord对于二进制字节处理的强大. 下面我逐一介绍它们.     park,unpark,ord这3个函数,在我们工作中,用到它们的估计不多. 我在最近一 ...
    
			
    4. 
						
  4. MFC下调用控制台和控制台下MFC库的支持
			
    1.MFC下调用控制台 在CWinApp的InitInstance中对话框的DoModal之前加入 AllocConsole(); // 开辟控制台 SetConsoleTitle(_T(" ...
    
			
    5. 
						
  5. 译:在C#中使用LINQ To SQL
			
    译文出处:http://www.codeproject.com/Tips/871938/LINQ-To-SQL-Using-Csharp 今天在这个话题中,我给大家分享一个在c#编程中非常有趣和十分有 ...
    
			
    6. 
						
  6. mono+jexus 验证码不显示:System.Drawing
			
    System.ArgumentException The requested FontFamily could not be found [GDI+ status: FontFamilyNotFoun ...
    
			
    7. 
						
  7. SharePoint 2013中以其他用户身份登录的WebPart(免费下载)
			
    在SharePoint 2013中微软并没有提供在SharePoint 2010中以其他用户身份登录的菜单,这对一般用户影响不大,但对于系统管理员或测试人员或特定人员(如在OA系统中的文员或秘书,常常 ...
    
			
    8. 
						
  8. 解决php中echo出来的汉子乱码
			
    问的人太多了,就列出来展示给大家! 需要了解的概念: Content-Type:用于定义用户的浏览器或相关设备如何显示将要加载的数据,或者如何处理将要加载的数据 MIME:MIME类型就是设定某种扩展 ...
    
			
    9. 
						
  9. python 大数据分析
			
    #coding:utf-8 ''' @author solq by 2016-01-06 main(目录,正则过滤文件名) 执行完最后打印结果 ''' import json import fnmat ...
    
			
    10. 
						
  10. 【Java设计模式】单例模式
			
    ### 1. 概述> 单例模式是确保某一个类中有且只有一个实例. ----------### 2. 饿汉式单例``` javapublic class SingletonInstance { p ...
    
			
    11.