本以为系列文章已经Over,突然记起来前面留了个大坑还没填,真是自己给自己挖坑。

这个坑就是:

(body 只能被读取一次)Only one thing can read the body

MVC和WebAPI之间的一个关键不同点在于MVC缓存请求主体(request body)。这意味着MVC的参数绑定可以反复从body中查找参数片断。然而,在WebAPI中,请求主体(HttpContent)

只能被读取一次,不被缓存,只能向前读取的流。这意味着parameter binding需要谨慎对待stream,除非在需要绑定参数的情况下,否则stream不能被读取。

以下的action方法想直接读取stream,因而导致WebAPI不能保证其拥有用于参数绑定的stream。
引自:

[译]WebAPI下的如何实现参数绑定





这也就意味着,凡是参数中含有实体类型的,这个实体只能获取一次。


话说园子里WebApi安全性的文章也不少了,可是这个坑少有人提,也不晓得为啥,只好自己走一个大弯路先。


本人所在公司目前用MVC开发,Api做安全验证的时候,是将验证的系统参数和数据一起打包成一个匿名类,在Attribute中做验证,是可行的。同样的方式,拿到WebApi中,就死活走不下去。因为在ActionFilterAttribute中用请求的输入流(貌似只能以此种办法)获取实体后,在Action中就拿不到真正的数据了。


经过调整后的验证代码:






        /// WebAPI防篡改签名验证抽象基类Attribute

        /// </summary>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求client_id、token及timestamp均通过QueryString传递

            string outMessage = "未经过验证的请求!";

            if (getCollection != null && getCollection.Count > )

            {

                string client_id = getCollection["client_id"];

                string timestamp = getCollection["timestamp"];

                string token = getCollection["token"];

                if (!string.IsNullOrWhiteSpace(client_id)//必须包含client_id

                   && !string.IsNullOrWhiteSpace(timestamp)//必须包换时间戳

                   && !string.IsNullOrWhiteSpace(token))

                //&& Regex.IsMatch(client_key, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    Config.Service.SignCalculation sc = new Config.Service.SignCalculation();

                    if (sc.VerifyClientParam(client_id, token, timestamp, out outMessage))

                    {//验证通过,执行基类方法

                        base.OnActionExecuting(actionContext);

                        return;

                    }

                }

                var html = "<p>" + outMessage + "</p>";

                //此处暂时以401返回,可调整为其它返回

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized,"验证失败");

                actionContext.Response.Content = new StringContent(html, Encoding.UTF8, "text/html");

            }

        }






调整后,验证参数从请求QueryString中获得,Action可以用本系列的几种办法均可以顺利获取实际的数据。


填坑完毕。


本系列为本人原创,解决了本人实际工作中碰到的问题。


写文章不易,欢迎转载。但转载的时候,带上原文链接,可好?
												


											
WebApi传参总动员(填坑)的更多相关文章
	

    
								
  1. WebApi传参总动员(一)
		
    目前自己的工作和WebApi相关,免不了传入.接收参数.以前的老办法是从请求流中获取json,再反序列化,这中间有2个不能控制的地方,一个是流,一个是反序列化,都需要try,总感觉非常的不爽.因此对W ...
    
		
    2. 
						
  2. WebApi传参总动员(四)
		
    前文介绍了Form Data 形式传参,本文介绍json传参. WebApi及Model: public class ValuesController : ApiController { [HttpP ...
    
		
    3. 
						
  3. WebApi传参总动员(五)
		
    上回说到涉及多个实体的传参,用常规的方法已经不能解决了.这回我们用终极大招搞定她. WebApi:注意要引用JSON.Net [HttpPost] public string GetData(stri ...
    
		
    4. 
						
  4. WebApi传参总动员(三)
		
    上篇介绍了如何从输入流中获取实体对象.本篇介绍以url形式传递参数.简单的参数不再赘述,这里主要实现形如(string name,Woman woman)这样的参数传递. 本篇及后面几章均涉及js调用 ...
    
		
    5. 
						
  5. WebApi传参总动员(二)
		
    上篇,从最简单的string入手.本篇演示了从请求的输入流中获取实体.api: public class ValuesController : ApiController { [HttpPost] p ...
    
		
    6. 
						
  6. C# WebApi传参之Post请求-AJAX
		
    最近悟出来一个道理,在这儿分享给大家:学历代表你的过去,能力代表你的现在,学习代表你的将来. 十年河东十年河西,莫欺少年穷.  学无止境,精益求精    上一节讲述了C# WebApi传参之Get请求 ...
    
		
    7. 
						
  7. C# WebApi传参之Get请求-AJAX
		
    最近悟出来一个道理,在这儿分享给大家:学历代表你的过去,能力代表你的现在,学习代表你的将来. 十年河东十年河西,莫欺少年穷.  学无止境,精益求精    在介绍本篇博客之前,先来温故下AJax的请求, ...
    
		
    8. 
						
  8. WebAPI传参
		
    1.GET请求传递参数 URL传参:http://localhost/ApiTest/test?id=1 API接收参数 [HttpGet] public string GetUser(int id) ...
    
		
    9. 
						
  9. C#进阶系列——WebApi 传参详解
		
    本篇打算通过get.post.put.delete四种请求方式分别谈谈基础类型(包括int/string/datetime等).实体.数组等类型的参数如何传递. 回到顶部 一.get请求 对于取数据, ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. SQL Server 2016 需要单独安装SSMS
			
    默认安装完 MSSQL 后,不自带 SSMS 的管理工具了,需要的话可以单独安装,貌似更专业了一些. https://msdn.microsoft.com/library/mt238290.aspx  ...
    
			
    2. 
						
  2. 关于BigDecimal的使用
			
    为什么使用BigDecimal 使用BigDecimal首先要注意到float,double是无法支持商业计算的.只能支持工程计算.即误差允许的计算.通常float占用4个字节,32位.double占 ...
    
			
    3. 
						
  3. 推荐几个学习Node的网址:
			
    推荐几个学习Node的网址: Nodejs 安装教程 http://jingyan.baidu.com/article/a948d6515d4c850a2dcd2e18.html http://nod ...
    
			
    4. 
						
  4. Python初学者需要注意的问题
			
    一.注意你的Python版本 Python官方网站为http://www.python.org/,当前最新版本为3.4.0 alpha,稳定版本为3.3.2,在3.0版本时,Python的语法改动较大 ...
    
			
    5. 
						
  5. 另类angularjs应用
			
    回顾 上一篇文章主要讲解了创建兼容任意浏览器(主要是ie的一些奇葩问题)的angularjs web应用,但是项目开发中其实更重要的还是在功能的模块化.代码自动压缩上面,这样项目在后期维护或者功能的重 ...
    
			
    6. 
						
  6. Ext.grid.GridPanel属性及方法等
			
    1.Ext.grid.GridPanel主要配置项:store:表格的数据集columns:表格列模式的配置数组,可自动创建ColumnModel列模式autoExpandColumn:自动充满表格未 ...
    
			
    7. 
						
  7. html5[1]:优化Android Webview性能
			
    尽量少用position:relative 做一个OTO项目时,页面上下滑动时,颤抖的很厉害: 页面中主要是图片比较多,开始以为是图片多的原因,但是把所有图片都不加载,还是颤抖: 后来,去掉所有外部的 ...
    
			
    8. 
						
  8. Windows无法安装到GPT分区形式磁盘,怎么办?
			
    有时候用原版系统镜像安装windows系统时,会提示“windows无法安装到这个磁盘.选中的磁盘采用GPT分区形式”,导致安装失败,下面就来讲解一下如何解决. 步骤阅读   百度经验:jingyan ...
    
			
    9. 
						
  9. MyBatis知多少(11)企业数据库
			
    企业数据库比应用程序数据库更大,其外部影响也更大.它们与其他系统之间存在更多的关系,包括依赖关系和被依赖关系.这些关系可能是Web应用程序与报表工具之间的,但也很有可 能是与其他的复杂系统和数据库的接 ...
    
			
    10. 
						
  10. css3 keyframes在yuicompressor下压缩问题
			
    @keyframes proBackAction { 0% { opacity:; } 100% { opacity: .8; } } @keyframes proBackAction { 0{ op ...
    
			
    11.