本以为系列文章已经Over,突然记起来前面留了个大坑还没填,真是自己给自己挖坑。

这个坑就是:

(body 只能被读取一次)Only one thing can read the body

MVC和WebAPI之间的一个关键不同点在于MVC缓存请求主体(request body)。这意味着MVC的参数绑定可以反复从body中查找参数片断。然而,在WebAPI中,请求主体(HttpContent)

只能被读取一次,不被缓存,只能向前读取的流。这意味着parameter binding需要谨慎对待stream,除非在需要绑定参数的情况下,否则stream不能被读取。

以下的action方法想直接读取stream,因而导致WebAPI不能保证其拥有用于参数绑定的stream。
引自:

[译]WebAPI下的如何实现参数绑定





这也就意味着,凡是参数中含有实体类型的,这个实体只能获取一次。


话说园子里WebApi安全性的文章也不少了,可是这个坑少有人提,也不晓得为啥,只好自己走一个大弯路先。


本人所在公司目前用MVC开发,Api做安全验证的时候,是将验证的系统参数和数据一起打包成一个匿名类,在Attribute中做验证,是可行的。同样的方式,拿到WebApi中,就死活走不下去。因为在ActionFilterAttribute中用请求的输入流(貌似只能以此种办法)获取实体后,在Action中就拿不到真正的数据了。


经过调整后的验证代码:






        /// WebAPI防篡改签名验证抽象基类Attribute

        /// </summary>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求client_id、token及timestamp均通过QueryString传递

            string outMessage = "未经过验证的请求!";

            if (getCollection != null && getCollection.Count > )

            {

                string client_id = getCollection["client_id"];

                string timestamp = getCollection["timestamp"];

                string token = getCollection["token"];

                if (!string.IsNullOrWhiteSpace(client_id)//必须包含client_id

                   && !string.IsNullOrWhiteSpace(timestamp)//必须包换时间戳

                   && !string.IsNullOrWhiteSpace(token))

                //&& Regex.IsMatch(client_key, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    Config.Service.SignCalculation sc = new Config.Service.SignCalculation();

                    if (sc.VerifyClientParam(client_id, token, timestamp, out outMessage))

                    {//验证通过,执行基类方法

                        base.OnActionExecuting(actionContext);

                        return;

                    }

                }

                var html = "<p>" + outMessage + "</p>";

                //此处暂时以401返回,可调整为其它返回

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized,"验证失败");

                actionContext.Response.Content = new StringContent(html, Encoding.UTF8, "text/html");

            }

        }






调整后,验证参数从请求QueryString中获得,Action可以用本系列的几种办法均可以顺利获取实际的数据。


填坑完毕。


本系列为本人原创,解决了本人实际工作中碰到的问题。


写文章不易,欢迎转载。但转载的时候,带上原文链接,可好?
												


											
WebApi传参总动员(填坑)的更多相关文章
	

    
								
  1. WebApi传参总动员(一)
		
    目前自己的工作和WebApi相关,免不了传入.接收参数.以前的老办法是从请求流中获取json,再反序列化,这中间有2个不能控制的地方,一个是流,一个是反序列化,都需要try,总感觉非常的不爽.因此对W ...
    
		
    2. 
						
  2. WebApi传参总动员(四)
		
    前文介绍了Form Data 形式传参,本文介绍json传参. WebApi及Model: public class ValuesController : ApiController { [HttpP ...
    
		
    3. 
						
  3. WebApi传参总动员(五)
		
    上回说到涉及多个实体的传参,用常规的方法已经不能解决了.这回我们用终极大招搞定她. WebApi:注意要引用JSON.Net [HttpPost] public string GetData(stri ...
    
		
    4. 
						
  4. WebApi传参总动员(三)
		
    上篇介绍了如何从输入流中获取实体对象.本篇介绍以url形式传递参数.简单的参数不再赘述,这里主要实现形如(string name,Woman woman)这样的参数传递. 本篇及后面几章均涉及js调用 ...
    
		
    5. 
						
  5. WebApi传参总动员(二)
		
    上篇,从最简单的string入手.本篇演示了从请求的输入流中获取实体.api: public class ValuesController : ApiController { [HttpPost] p ...
    
		
    6. 
						
  6. C# WebApi传参之Post请求-AJAX
		
    最近悟出来一个道理,在这儿分享给大家:学历代表你的过去,能力代表你的现在,学习代表你的将来. 十年河东十年河西,莫欺少年穷.  学无止境,精益求精    上一节讲述了C# WebApi传参之Get请求 ...
    
		
    7. 
						
  7. C# WebApi传参之Get请求-AJAX
		
    最近悟出来一个道理,在这儿分享给大家:学历代表你的过去,能力代表你的现在,学习代表你的将来. 十年河东十年河西,莫欺少年穷.  学无止境,精益求精    在介绍本篇博客之前,先来温故下AJax的请求, ...
    
		
    8. 
						
  8. WebAPI传参
		
    1.GET请求传递参数 URL传参:http://localhost/ApiTest/test?id=1 API接收参数 [HttpGet] public string GetUser(int id) ...
    
		
    9. 
						
  9. C#进阶系列——WebApi 传参详解
		
    本篇打算通过get.post.put.delete四种请求方式分别谈谈基础类型(包括int/string/datetime等).实体.数组等类型的参数如何传递. 回到顶部 一.get请求 对于取数据, ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. [转载] Calculating Entropy
			
    From:  johndcook.com/blog For a set of positive probabilities pi summing to 1, their entropy is defi ...
    
			
    2. 
						
  2. ubuntu 下安装 lxml 失败
			
    /tmp/pip-build-7HN4t8/lxml/src/lxml/includes/etree_defs.h:14:31: fatal error: libxml/xmlversion.h: N ...
    
			
    3. 
						
  3. android: adapter getView(position==0) was invoked many times.
			
    this is a big problem for me. i follow the solutions that i  searched from the internet: modify the  ...
    
			
    4. 
						
  4. 自定义android RadioButton View,添加较为灵活的布局处理方式
			
    android的RadioButton的使用历来都让人比较头疼,如在布局方面,图案.文字无法分别设置padding等,另外,低版本的android RadioGroup不支持换行排列的RadioBut ...
    
			
    5. 
						
  5. eclipse 编译出错(java.io.ObjectInputStream)的解决办法
			
    Multiple markers at this line - The type java.io.ObjectInputStream cannot be resolved. It is indirec ...
    
			
    6. 
						
  6. 泊松回归(Poisson Regression)
			
    本博客已经迁往http://www.kemaswill.com/, 博客园这边也会继续更新, 欢迎关注~ Linear Regression预测的目标\(Y\)是连续值, Logistic Regre ...
    
			
    7. 
						
  7. python 字符串编码
			
    通过字符串的decode和encode方法 1 encode([encoding,[errors]]) #其中encoding可以有多种值,比如gb2312 gbk gb18030 bz2 zlib  ...
    
			
    8. 
						
  8. 【Android学习】数据传递三种方式
			
    1.Application 注意在清单文件中的Application节点下注册android:name属性, 继承Application类,重写onCreate方法, 使用数据时,实例化自定义类时需要 ...
    
			
    9. 
						
  9. c++ 模板元编程的一点体会
			
    趁着国庆长假快速翻了一遍传说中的.大名鼎鼎的 modern c++ design,钛合金狗眼顿时不保,已深深被其中各种模板奇技淫巧伤了身...论语言方面的深度,我看过的 c++ 书里大概只有 insi ...
    
			
    10. 
						
  10. 超实用的JavaScript技巧及最佳实践(下)
			
    1.使用逻辑符号&&或者||进行条件判断 1 2 3 var foo = 10;  foo == 10 && doSomething(); // is the same ...
    
			
    11.