三 Web API 授权方式

web api的客户端,包括 android,ios,h5,自然对访问权限要加上授权机制。对于h5,要求把h5站点和web api部署在同一个域名下,然后对web api 配置为禁止跨域访问。而对 android 和 ios 等app端访问,则参考微信的签名验证方式,在请求url后面加上

时间戳,随机字符串,以及加密后的签名。下面主要就app端授权实现代码说明一下。

1 首先 定义一个 KEY,随便自己定义,我这里直接取一个guid,你可以存放在数据库,也可以存config文件,也可以直接在代码里 const定义。我这里放在config。

  <appSettings>

    <add key="AppKey" value="254d-4eaa-85f4-a92ff4c08042" />

  </appSettings>

2 实现一个特性类,继承自.net自带的AuthorizationFilterAttribute。

    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]

    public class ApiAuthFilterAttribute : AuthorizationFilterAttribute

    {

         。。。。

    }
AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)的意思 很容易理解,即当前访问授权验证可以用在整个controller(class),也可以用在某个web api(method)上。
这个类里面,重点是重载 OnAuthorization方法。方法里的actionContext参数是一个微软针对api请求的做了一些封装改进的一个请求上下文,里面包含了api 请求参数等信息,可惜缺乏我想要的header里的参数。
我们和app端约定把授权相关参数放在header里面,还有后面一些有关api版本的参数等都放在header里,放在header里安全性更高一些,而且对于app端封装http请求也更简单。为了从actionContext得到普通的HttpContext对象,
转换代码:HttpRequestBase request = (actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase).Request;
    public override void OnAuthorization(HttpActionContext actionContext)

        {

            base.OnAuthorization(actionContext);

            // 允许匿名访问

            if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Count > )

            {

                return;

            }

            HttpRequestBase request = (actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase).Request;

拿到了request,可以通过

string signature = request.Headers["signature"];

string timestamp = request.Headers["timestamp"]; 
string nonce = request.Headers["nonce"]; 
result = CheckSignature(signature, timestamp, nonce);

进行授权验证

对于需要进行授权的web api      
        [HttpGet]

        [ApiAuthFilter]

        public ApiResult  GetShopQRCodeList()

      {

           。。。

      }

3 对于用户身份识别,我们使用了token机制。即用户登录成功后分配一个token(采用guid)给到客户端。当客户端在请求的header里携带了token时,我们就可以根据token识别当前请求的用户。在数据库里设计了token表,记录用户登录时间,登录设备(h5,app,微信公众号等),token值等,相当于cookie,用于控制用户免密码登录,以及可以同时登录几种设备等。

电商系统架构总结3(webapi授权机制)的更多相关文章

  1. 电商系统架构总结1(EF)

    最近主导了一个电商系统的设计开发过程,包括前期分析设计,框架搭建,功能模块的具体开发(主要负责在线支付部分),成功上线后的部署维护,运维策略等等全过程. 虽然这个系统不是什么超大型的电商系统 数亿计的 ...

  2. 电商系统架构总结4(webapi 版本控制)

    为了 顺利迭代升级,web api 在维护过程是不断升级的,但用户是不能强迫他们每次都跟随你去升级,这样会让用户不胜其烦.为了保证不同版本的客户端能同时兼容,在web api接口上加入版本控制就很有必 ...

  3. 电商系统架构总结2(Redis)

    二  Redis缓存 考虑到将来服务器的升级扩展,使用redis代替.net内置缓存是比较理想的选择.redis是非常成熟好用的缓存系统,安装配置非常简单,直接上官网下载安装包 安装启动就行了. 1 ...

  4. 电商系统的演变可以看出架构演变 Dubbo入门 远程过程调用 需要解决的问题

    Dubbo入门---搭建一个最简单的Demo框架 - CSDN博客 https://blog.csdn.net/noaman_wgs/article/details/70214612 Dubbo背景和 ...

  5. 属性 每秒10万吞吐 并发 架构 设计 58最核心的帖子中心服务IMC 类目服务 入口层是Java研发的,聚合层与检索层都是C语言研发的 电商系统里的SKU扩展服务

    小结: 1. 海量异构数据的存储问题 如何将不同品类,异构的数据统一存储起来呢? (1)全品类通用属性统一存储: (2)单品类特有属性,品类类型与通用属性json来进行存储: 2. 入口层是Java研 ...

  6. 免费领CRMEB移动社交电商系统源码与授权

    移动电商风起云涌,直播带货重塑销售模式,传统商业更是举步维艰,各行各业转型移动电商迫在眉睫,拥有一款好的移动社群社交电商系统成为众多企业与商家的心病! 你曾是否被那些劣质的移动电商系统搞得心力憔悴? ...

  7. 通过Dapr实现一个简单的基于.net的微服务电商系统(九)——一步一步教你如何撸Dapr之OAuth2授权

    Oauth2授权,熟悉微信开发的同学对这个东西应该不陌生吧.当我们的应用系统需要集成第三方授权时一般都会做oauth集成,今天就来看看在Dapr的语境下我们如何仅通过配置无需修改应用程序的方式让第三方 ...

  8. 集DDD,TDD,SOLID,MVVM,DI,EF,Angularjs等于一身的.NET(C#)开源可扩展电商系统–Virto Commerce

    今天一大早来看到园友分享的福利<分享一个前后端分离方案源码-前端angularjs+requirejs+dhtmlx 后端asp.net webapi>,我也来分享一个吧.以下内容由笔者写 ...

  9. SpringBoot+Security+MyBatis+ES+MQ+Redis+Docker+Vue的电商系统

    今天鹏哥给大家推荐的项目是一套电商系统,包括前台商城系统及后台管理系统,基于SpringBoot+MyBatis实现. 前台商城系统包含首页门户.商品推荐.商品搜索.商品展示.购物车.订单流程.会员中 ...

随机推荐

  1. css获取样式

    1)类似id.style.width:只能获取<div style="width:200px;">内联样式</div>里面style里的width,即内联样 ...

  2. tomcat源码阅读之集群

    一. 配置: 在tomcat目录下的conf/Server.xml配置文件中增加如下配置: <!-- Cluster(集群,族) 节点,如果你要配置tomcat集群,则需要使用此节点. clas ...

  3. tp5服务器验证案例

    1.验证器代码 <?php namespace app\user\validate; use think\Validate; use Potting\IDCard; /** * 山区治理报名验证 ...

  4. windows可以使用curl啦(以及其他的Linux下面的指令)!

    windows可以使用cUrl了!同期放出了tar指令,去年下半年才放出来的. 介绍文章 https://blogs.technet.microsoft.com/virtualization/2017 ...

  5. 二维指针的malloc内存分配(转)

    写代码的时候会碰到多维数组的内存分配和释放问题,在分配和释放过程中很容易出现错误.下面贴上一些示例代码,以供参考. 如果要给二维数组(m*n)分配空间,代码可以写成下面: char **a, i; 1 ...

  6. bzoj 4349 最小树形图——朱刘算法

    题目:https://www.lydsy.com/JudgeOnline/problem.php?id=4349. 学习博客:http://www.cnblogs.com/xzxl/p/7243466 ...

  7. htmlcleaner使用及xpath语法初探

    一.HtmlCleaner使用: 1.HtmlCleaner HtmlCleaner是一个开源的Java语言的Html文档解析器.HtmlCleaner能够重新整理HTML文档的每个元素并生成结构良好 ...

  8. C#编程的最佳工具

    C#是企业中广泛使用的编程语言,特别是那些依赖微软的程序语言.如果您使用C#构建应用程序,则最有可能使用Visual Studio,并且已经寻找了一些扩展来对您的开发进行管理.但是,这个工具列表可能会 ...

  9. C#中winform使用相对路径读取文件的方法

    http://cache.baiducontent.com/c?m=9f65cb4a8c8507ed4fece763105392230e54f73b6cd0d3027fa3cf1fd579080101 ...

  10. Ubuntu 安装以及web服务器配置

    1.安装实在没必要说,连系统都装不了,干脆下岗算了 2.Apache2 安装 //安装 sudo apt-get install apache2 Apache安装完成后,默认的网站根目录是" ...