1:Home/index.cshtml下面的Html代码

<div>

        <input  value="1点击先登陆" type="button" id="btnLogin"/><br />

        <input value="2再点击授权后调用接口" type="button" id="btnAuthenrazation" /><br />

 </div>

  

  

2:Home/index 下面的HomeController

[skipLogAttribute]

public ActionResult Index()

{

return View();

}

3: Ajax的模拟代码,先登录,后获取授权,再带上Ticket,后台过滤器校验ok杂可以请求对应的接口

<script type="text/javascript">

$(function () {

var ticket = "";

$("#btnLogin").click(function () { //---登陆的操作

$.ajax({

url: "http://localhost:8899/api/values",

data: { "uid": "zrf", "pwd": "123" },

type: "get",

success: function (res) {

if (res.result) {

ticket = res.ticket;

alert("授权成功"+res.ticket);

}

},

dataType:"json"

})

});

//----拿到了Ticket(后台过滤器会判断是否有过授权,以及授权ok才可以调用对应的接口)

$("#btnAuthenrazation").click(function () {

$.ajax({

url: "http://localhost:8899/api/values",

data: { },

type: "get",

beforeSend: function (xhr) {

xhr.setRequestHeader('Authorization', 'BasicAuth ' + ticket);//--请求其他的接口都需要带上Ticket的

},

success: function (res) {

alert("ok")

}

})

});

})

//带上Ticket来访问WebApi接口

$("#btnWithTicket").click(function () {

$.ajax({

url: "http://localhost:8899/api/values",

data: {"id":110},

type: "get",

beforeSend: function (xhr) {

xhr.setRequestHeader('Authorization', 'BasicAuth ' + ticket);//--请求其他的接口都需要带上Ticket的

},

success: function (res) {

if (res.result) {

alert("调用成功" + res.data);

}

}

})

})

  

  

4: 创建的一个测试的 WebApiController 如ValuesController:ApiController

namespace WebApplication1.Controllers

{

using System.Web.Security;

using WebApplication1.Filters;

public class ValuesController : ApiController

{

[HttpGet]

[skipLog]

public dynamic Login(string uid, string pwd)

{

dynamic result = null;

if ("zrf".Equals(uid) && pwd.Equals("123"))

{

FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, "account", DateTime.Now, DateTime.Now.AddSeconds(10), true, $"uid={uid},pwd={pwd}");

result = new { result = true, ticket = FormsAuthentication.Encrypt(ticket) };

}

else {

result = new { result = false, ticket = ""};

}

return result;

}

// GET api/<controller>

[skipLogAttribute]

public IEnumerable<string> Get()

{

return new string[] { "value1", "value2" };

}

// GET api/<controller>/5

[CustomerAuthenrazationFilter]

public dynamic Get(int id)

{

return new { result = true, id = id };

}

}

}

 

5:授权过滤器:

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

namespace WebApplication1.Filters

{

    using System.Net.Http.Headers;

    using System.Web.Http.Controllers;

    using System.Web.Http.Filters;

    using System.Web.Security;

    using System.Web.Http;

    using System.Net;

    public class CustomerAuthenrazationFilterAttribute : AuthorizationFilterAttribute

    {

        public override void OnAuthorization(HttpActionContext actionContext)

        {

            skipLogAttribute skiplogin = actionContext.ActionDescriptor.GetCustomAttributes<skipLogAttribute>().FirstOrDefault();

            if (skiplogin!=null)

            {

                return;

            }

            AuthenticationHeaderValue headevalue = actionContext.Request.Headers.Authorization;

            if (headevalue != null)

            {

                string Msg = string.Empty;

                if (ValidateTicket(headevalue.Parameter,out Msg))

                {

                    return;

                }

                else

                {

                    this.HandlerUnAuthorization(Msg);

                }

            }

            else {

                this.HandlerUnAuthorization("请先获取登陆授权的Ticket");

            }

        }

        private void HandlerUnAuthorization(string Msg)

        {

            throw new Exception(Msg);

        }

        private bool ValidateTicket(string parameter,out string Msg)

        {

            Msg = string.Empty;

            if (!string.IsNullOrWhiteSpace(parameter))

            {

                FormsAuthenticationTicket ticket = FormsAuthentication.Decrypt(parameter);

                if (ticket != null)

                {

                    if (ticket.Expired)

                    {

                        Msg = "接口时间已经过期,请重新登陆授权!";

                        return false;

                    }

                    if (string.Equals($"uid=zrf,pwd=123", ticket.UserData))// $"uid={accountID},pwd={pwd}"

                    {

                        Msg = "授权成功!";

                        return true;

                    }

                    else {

                        Msg = "授权失败,请重新登陆授权!";

                        return false;

                    }

                }

            }

            return false;

        }

    }

}

  

 

6:自定义的特性,用来跳过权限的验证

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

namespace WebApplication1.Filters

{

public class skipLogAttribute:Attribute

{

}

}

  

 7:在WebApiConfig 文件中来注册一个全局的授权过滤器

namespace WebApplication1.App_Start

{

using System.Web.Mvc;

public static class WebApiConfig

{

public static void Register(HttpConfiguration config)

{

// Web API 配置和服务

// Web API 路由

config.MapHttpAttributeRoutes();

config.Filters.Add(new Filters.CustomerAuthenrazationFilterAttribute());

}

}

}

8:最后上两张测试的截图: 

 

最后,这个案例只是起到抛砖引玉的作用,大家还可以做得更加的细致及合理

如下:

我们还可以加上随机字符串:A;

时间戳:B(时间精确到秒,方便后续判断,可过期);

唯一的uid C;

pwd D(根据uid来查询数据库并获取到pwd),;

获取自定义的签名Sign:(如:uid+A+B+C+D 这4个值再MD5一下,防篡改),这样就和微信那套机制就差不多了! 嘻嘻!

规则我们自己来定,欢迎大家提出有建议性的回复,谢谢

 

 

 

Asp.net WebApi的授权安全机制 Basic认证的更多相关文章

  1. ASP.NET WebApi 基于JWT实现Token签名认证

    一.前言 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将会是需要思考的问题.在ASP.NET WebServi ...

  2. ASP.NET WebApi 基于OAuth2.0实现Token签名认证

    一.课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性.那么对于我们来说,如何确保数据的安全将是我们需要思考的问题.为了保护我们的WebApi数 ...

  3. Asp.Net WebApi核心对象解析(下篇)

    在接着写Asp.Net WebApi核心对象解析(下篇)之前,还是一如既往的扯扯淡,元旦刚过,整个人还是处于晕的状态,一大早就来处理系统BUG,简直是坑爹(好在没让我元旦赶过来该BUG),队友挖的坑, ...

  4. Asp.Net WebApi核心对象解析(二)

    在接着写Asp.Net WebApi核心对象解析(下篇)之前,还是一如既往的扯扯淡,元旦刚过,整个人还是处于晕的状态,一大早就来处理系统BUG,简直是坑爹(好在没让我元旦赶过来该BUG),队友挖的坑, ...

  5. ASP.NET WebAPI数据传输安全HTTPS实战项目演练

    一.课程介绍 HTTPS是互联网 Web 大势所趋,各大网站都已陆续部署了 HTTPS .  全站HTTPS时代,加密用户与网站间的交互访问,在客户端浏览器和Web服务器之间建立安全加密通道,一般情况 ...

  6. Asp.Net WebApi核心对象解析

    在接着写Asp.Net WebApi核心对象解析(下篇)之前,还是一如既往的扯扯淡,元旦刚过,整个人还是处于晕的状态,一大早就来处理系统BUG,简直是坑爹(好在没让我元旦赶过来该BUG),队友挖的坑, ...

  7. 基于OWIN ASP.NET WebAPI 使用OAUTH2授权服务的几点优化

    前面在ASP.NET WEBAPI中集成了Client Credentials Grant与Resource Owner Password Credentials Grant两种OAUTH2模式,今天 ...

  8. ASP.NET WEBAPI 的身份验证和授权

    定义 身份验证(Authentication):确定用户是谁. 授权(Authorization):确定用户能做什么,不能做什么. 身份验证 WebApi 假定身份验证发生在宿主程序称中.对于 web ...

  9. ASP.NET Web API 2 使用 AuthorizationFilter(授权过滤器)实现 Basic 认证

    Ø  前言 在 Web 项目中授权认证方式有很多种,本文主要讲述基于 Basic 的认证方式.这是一种比较简单.常见的认证方式,主要是将请求的用户名和密码进行加密后返回给调用方,比较适合采用用户名.密 ...

随机推荐

  1. Mybaits-从零开始-Spring、Spring MVC、MyBatis整合(未万待续)

    Spring.Spring MVC.MyBatis整合(未万待续)

  2. redis-分布式锁-刷新信号量

    为什么需要刷新信号量呢,因为信号量有过期时间: 为什么信号量需要过期时间呢,因为需要利用超时特性,解决分布式锁存在的一些固有缺陷. 而对于类似流式API来说,一般10秒的过期时间是远远不够的.因此我们 ...

  3. 使用Espresso测试记录

    准备工作 建立测试项目 添加测试依赖 编写Espresso测试 运行测试并检查测试结果 建立测试项目 使用Android Studio建立测试项目,Activity模版使用 LoginActivity ...

  4. wordpress发送邮件

    首先在wordpress内添加SMTP协议的插件,我这里用的是WP Mail SMTP 配置如下 配置完成之后测试一下,一定要测试能否发邮件

  5. 实际体验华为云AI : ModelArts

    国庆前看到了博客园官方博客发布的一篇博客: 学AI有奖:博客园&华为云AI有奖训练营开战啦 本着对AI这种火热的话题,以及华为云博客园联名公仔(次要),我决定参与这个活动. 现在华为云开始全面 ...

  6. 防DOS攻击-网络连接法

    #!/bin/bash netstat -antup | grep SYN_RECV | awk '{print $5}' |awk -F: '{print $1}'|sort|uniq -c > ...

  7. 手把手带你体验Stream流

    前言 只有光头才能变强. 文本已收录至我的GitHub仓库,欢迎Star:https://github.com/ZhongFuCheng3y/3y 上一篇讲解到了Lambda表达式的使用<最近学 ...

  8. 如何正确遍历删除List中的元素(普通for循环、增强for循环、迭代器iterator、removeIf+方法引用)

    遍历删除List中符合条件的元素主要有以下几种方法: 普通for循环 增强for循环 foreach 迭代器iterator removeIf 和 方法引用 其中使用普通for循环容易造成遗漏元素的问 ...

  9. JVM垃圾回收算法详解

    前言 在JVM内存模型中会将堆内存划分新生代.老年代两个区域,两块区域的主要区别在于新生代存放存活时间较短的对象,老年代存放存活时间较久的对象,除了存活时间不同外,还有垃圾回收策略的不同,在JVM中中 ...

  10. 分享:JS视频在线视频教程

    作者说明 (1)JS说明 JS是非常重要的一门语言,但是,我们对JS的认识似乎仍然停留在“hello word”或者“alert”的观念上.其实,JS发展到现在已经非常的成熟,功能也非常的强大,因此, ...