看到园子里面有人写的OAuth,就想把自己实现的OAuth也分享一下,关于OAuth协议这里就不再赘述。

一、作为认证服务器,首先需要提供一个可以通过appid/appsecret来获取token这样的一个接口,于是便有了以下代码。

    public class AuthController : ApiController

    {

        [HttpGet]

        public HttpResponseMessage Token(string appid = "", string appsecret = "")

        {

            ApiResponseEntity rep;

            var isv = AppManage.Instance.GetAppISV(appid, appsecret);

            if (isv != null)

            {

                string token = TokenManage.Instance.CreateToken(appid);

                rep = new ApiResponseEntity

                {

                    Status = InterfaceStatus.Success,

                    BizData = new

                    {

                        AccessToken = token

                    }

                };

            }

            else

            {

                rep = new ApiResponseEntity()

                {

                    Status = InterfaceStatus.Parm_Missing,

                    Message = "param error"

                };

            }

            return rep.ToHttpResponseMessage();

        }

}

创建token的算法可以自行实现,我是将新生成的Guid做了一下md5处理,代码如下:

public string CreateToken(string appid)

        {

            string token = Guid.NewGuid().ToString().ToMd5();

            Set(token, appid);

            return token;

        }

上文可以看到,在生成token了以后,就一个SetToken,就是将token存储在缓存里面,并设置了一定时间的生存周期,代码如下:

public void Set(string token, string appid)

        {

            var config = ServerConfigManage.Instance.GetServerConfig();

            string key = string.Format(RedisCacheKey.App_Token, token);

            RedisNetHelper.Set<string>(key, appid, DateTime.Now.AddSeconds(config.TokenSurvivalTime));

        }

为什么要用token做key,是因为token的变更会导致isv token验证失效,但是用token做key就可以在存活周期内,这个key都可以使用,避免了多线程获取token,或是其他原因导致的token失效。作为认证服务器,还需要提供一个RefreshToken这样的接口,用来给刷新token的存活周期,代码相似这里就不再赘述。

二、在Api做验证的时候,就需要开始对Token进行验证了,代码如下:

 public class OAuthHandler : DelegatingHandler

    {

        protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)

        {

            ApiResponseEntity repEntity = null;

            string appid = "";

            string ip = RequestHelper.GetWebClientIp();

            if (!OAuthValidate.IpValidate(ip))

            {

                repEntity = new ApiResponseEntity

                {

                    Status = InterfaceStatus.IllegalIp,

                    Message = "ip access limit"

                };

            }

            else

            {

                string token = "";

                string url = request.RequestUri.AbsoluteUri;

                var routeData = request.GetRouteData();

                string controller = routeData.Values["controller"].ToString().ToLower();

                string action = routeData.Values["action"].ToString().ToLower();

                if (controller.Equals("auth") && action.Equals("token"))

                {

                    return base.SendAsync(request, cancellationToken);

                }

                if (request.Method == HttpMethod.Get)

                {

                    var query = request.RequestUri.ParseQueryString();

                    token = query["token"];

                }

                if (token == null || token.Length == )

                {

                    repEntity = new ApiResponseEntity

                    {

                        Status = InterfaceStatus.Token_Faild,

                        Message = "token invalid"

                    };

                }

                else

                {

                    appid = TokenManage.Instance.Get(token);

                    if (appid == null || appid.Length == )

                    {

                        repEntity = new ApiResponseEntity

                        {

                            Status = InterfaceStatus.Token_Faild,

                            Message = "token invalid"

                        };

                    }

                    else

                    {

                        if (!OAuthValidate.ApiValidate

                            (

                            string.Format("{0}/{1}", controller, action),

                            appid

                            ))

                        {

                            repEntity = new ApiResponseEntity

                            {

                                Status = InterfaceStatus.No_Access,

                                Message = "api access limit"

                            };

                        }

                    }

                }

            }

            if (repEntity != null)

            {

                var tsc = new TaskCompletionSource<HttpResponseMessage>();

                tsc.SetResult(repEntity.ToHttpResponseMessage());

                return tsc.Task;

            }

            else

            {

                return base.SendAsync(request, cancellationToken);

            }

        }

    }

使用比较传统的方式,继承于DelegatingHandler,然后进行处理,首先是做的IP验证,然后再进行token有效期验证,最后再进行Api的权限调用验证。验证的代码如下:

 public static bool IpValidate(string ip)

        {

            var config = ServerConfigManage.Instance.GetServerConfig();

            bool isPass = true;

            if (isPass && config.IsStartIpWhiteList)

            {

                isPass = config.IpWhiteList.Contains(ip);

            }

            if (isPass && config.IsStartIpBlackList)

            {

                isPass = !config.IpBlackList.Contains(ip);

            }

            return isPass;

        }

        public static bool ApiValidate(string api, string appid)

        {

            var config = ServerConfigManage.Instance.GetServerConfig();

            if (config.IsStartApiControl)

            {

                var apis = AppManage.Instance.GetAppApiResource(appid);

                return apis != null && apis.Contains(api);

            }

            return true;

        }

GetServerConfig()是从DB/Cache里面获取服务器的自定义配置,然后看是否开启ip白名单/黑名单,下面的代码同理,是否开启权限验证。

那认证服务器到这里实际上就结束了,关于isv申请appid/appsecret。然后用户同意授权以后,存储appid和user之间的关联关系,就需要看客自行实现了。

另外有一个扩展代码这里也提一下,就是关于ApiResponseEntity的返回值处理,代码如下:

public static HttpResponseMessage ToHttpResponseMessage(this ResponseEntity rep, bool isEncrypt = false)

        {

            return new HttpResponseMessage(HttpStatusCode.OK)

            {

                Content = new StringContent

                    (

                    isEncrypt

                    ? EncryptHelper.Base64Replace(EncryptHelper.AESEncryptBase64(JsonHelper.ToJson(rep), Config.ApiEncryptKey))

                    : JsonHelper.ToJson(rep),

                    System.Text.Encoding.UTF8,

                    "application/json"

                    )

            };

        }

自己开发实现OAuth做webapi认证的更多相关文章

  1. OAuth做webapi认证

    OAuth做webapi认证 看到园子里面有人写的OAuth,就想把自己实现的OAuth也分享一下,关于OAuth协议这里就不再赘述. 一.作为认证服务器,首先需要提供一个可以通过appid/apps ...

  2. Nodejs之MEAN栈开发(八)---- 用户认证与会话管理详解

    用户认证与会话管理基本上是每个网站必备的一个功能.在Asp.net下做的比较多,大体的思路都是先根据用户提供的用户名和密码到数据库找到用户信息,然后校验,校验成功之后记住用户的姓名和相关信息,这个信息 ...

  3. 使用OAuth打造webapi认证服务供自己的客户端使用

    一.什么是OAuth OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版.注意是Authorization(授权),而不是Authentication(认证). ...

  4. OAuth在WebApi中的使用,前后台分离的调用方式

    前段时间由于公司架构服务层向WebApi转换,就研究了OAuth在WebApi中的使用,这中间遇到了很多坑,在此记录一下OAuth的正确使用方式. 1.  OAuth是做什么的? 在网上浏览时,大家都 ...

  5. OAuth在WebApi

    OAuth在WebApi中的使用,前后台分离的调用方式 前段时间由于公司架构服务层向WebApi转换,就研究了OAuth在WebApi中的使用,这中间遇到了很多坑,在此记录一下OAuth的正确使用方式 ...

  6. OAuth打造webapi认证服务

    使用OAuth打造webapi认证服务供自己的客户端使用 一.什么是OAuth OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版.注意是Authorizati ...

  7. 使用OAuth打造webapi认证服务供自己的客户端使用(二)

    在上一篇”使用OAuth打造webapi认证服务供自己的客户端使用“的文章中我们实现了一个采用了OAuth流程3-密码模式(resource owner password credentials)的W ...

  8. ASP.NET Core 认证与授权[3]:OAuth & OpenID Connect认证

    在上一章中,我们了解到,Cookie认证是一种本地认证方式,通常认证与授权都在同一个服务中,也可以使用Cookie共享的方式分开部署,但局限性较大,而如今随着微服务的流行,更加偏向于将以前的单体应用拆 ...

  9. Taurus.MVC WebAPI 入门开发教程8:WebAPI文档与自动化测试。

    系列目录 1.Taurus.MVC WebAPI  入门开发教程1:框架下载环境配置与运行. 2.Taurus.MVC WebAPI 入门开发教程2:添加控制器输出Hello World. 3.Tau ...

随机推荐

  1. CYQ.Data、ASP.NET Aries 百家企业使用名单

    如果您或您所在的公司正在使用此框架,请联系左侧的扣扣,告知我信息,我将为您添加链接: 以下内容为已反馈的用户,(收集始于:2016-08-08),仅展示99家: 序号 企业名称 企业网址 备注 1 山 ...

  2. favicon.ioc使用以及注意事项

    1.效果 2.使用引入方法 2.1 注意事项:(把图标命名为favicon.ico,并且放在根目录下,同时使用Link标签,多重保险) 浏览器默认使用根目录下的favicon.ico 图标(如果你并没 ...

  3. 13、零配置Struts2开发

    Convention 插件 从 Struts 2.1 开始, Struts 可以使用 Convention 插件来支持零配置: Convention 插件完全抛弃配置信息, 不仅不需要使用 strut ...

  4. 一个技术汪的开源梦 —— 公共组件缓存之分布式缓存 Redis 实现篇

    Redis 安装 & 配置 本测试环境将在 CentOS 7 x64 上安装最新版本的 Redis. 1. 运行以下命令安装 Redis $ wget http://download.redi ...

  5. 每天一个设计模式-7 生成器模式(Builder)

    每天一个设计模式-7 生成器模式(Builder) 一.实际问题 在讨论工厂方法模式的时候,提到了一个导出数据的应用框架,但是并没有涉及到导出数据的具体实现,这次通过生成器模式来简单实现导出成文本,X ...

  6. Register-SPWorkflowService 404

    最近需要做一个SharePoint 2013工作流演示环境. 于是在自己的本子上安装了一个虚拟机. 虚拟机操作系统是Windows Server 2012 R2,计划把AD.SQL Server 20 ...

  7. BPM生产安全管理解决方案分享

    一.方案概述生产安全管理是企业生产管理的重要组成部分,组织实施好企业安全管理规划.指导.检查和决策,保证生产处于最佳安全状态是安全管理的重要内容和职责.H3 BPM企业生产安全管理解决方案是一套专门为 ...

  8. Maven安装

    开发分布式的商场系统,用到了一些新的技术,做一个记录和分享 这里讲一下maven安装 首先什么是Maven Maven作为一个构建工具,不仅帮我们自动化构建,还能抽象构建过程,提供构建任务实现.他跨平 ...

  9. Tomcat 部署我的第一个程序

    idea 生成war包.先双击clean,再双击package.生成成功之后就会产生war包. 第二步:将生成好的war文件复制到tomcat文件夹下. 第三步:配置tomcat的server.xml ...

  10. 【一起学OpenFoam】01 OpenFoam的优势

    CFD技术发展到今天,已经超过了大半个世纪了,已经涌现出非常多的CFD软件可供人们使用.通用商业CFD软件譬如Fluent.CFX.Star CCM+等在工业上得到了广泛的应用,另外一些专用的软件(如 ...