上一篇: 【WEB API项目实战干货系列】- 接口文档与在线测试(二)

这篇我们主要来介绍我们如何在API项目中完成API的登录及身份认证. 所以这篇会分为两部分, 登录API, API身份验证.

这一篇的主要原理是: API会提供一个单独的登录API, 通过用户名,密码来产生一个SessionKey, SessionKey具有过期时间的特点, 系统会记录这个SessionKey, 在后续的每次的API返回的时候,客户端需带上这个Sessionkey, API端会验证这个SessionKey.

登录API

我们先来看一下登录API的方法签名

 

SessionObject是登录之后,给客户端传回的对象, 里面包含了SessionKey及当前登录的用户的信息

这里每次的API调用,都需要传SessionKey过去, SessionKey代表了用户的身份信息,及登录过期信息。

 

登录阶段生成的SessionKey我们需要做保存,存储到一个叫做UserDevice的对象里面, 从语意上可以知道用户通过不同的设备登录会产生不同的UserDevice对象.

 

最终的登录代码如下:

[RoutePrefix("api/accounts")]

    public class AccountController : ApiController

    {

        private readonly IAuthenticationService _authenticationService = null;

        public AccountController()

        {

            //this._authenticationService = IocManager.Intance.Reslove<IAuthenticationService>();

        }

        [HttpGet]

        public void AccountsAPI()

        {

        }

        /// <summary>

        /// 登录API

        /// </summary>

        /// <param name="loginIdorEmail">登录帐号(邮箱或者其他LoginID)</param>

        /// <param name="hashedPassword">加密后的密码,这里避免明文,客户端加密后传到API端</param>

        /// <param name="deviceType">客户端的设备类型</param>

        /// <param name="clientId">客户端识别号, 一般在APP上会有一个客户端识别号</param>

        /// <remarks>其他的登录位置啥的,是要客户端能传的东西,都可以在这里扩展进来</remarks>

        /// <returns></returns>

        [Route("account/login")]

        public SessionObject Login(string loginIdorEmail, string hashedPassword, int deviceType = 0, string clientId = "")

        {

            if (string.IsNullOrEmpty(loginIdorEmail))

                throw new ApiException("username can't be empty.", "RequireParameter_username");

            if (string.IsNullOrEmpty(hashedPassword))

                throw new ApiException("hashedPassword can't be empty.", "RequireParameter_hashedPassword");

            int timeout = 60;

            var nowUser = _authenticationService.GetUserByLoginId(loginIdorEmail);

            if (nowUser == null)

                throw new ApiException("Account Not Exists", "Account_NotExits");

            #region Verify Password

            if (!string.Equals(nowUser.Password, hashedPassword))

            {

                throw new ApiException("Wrong Password", "Account_WrongPassword");

            }

            #endregion

            if (!nowUser.IsActive)

                throw new ApiException("The user is inactive.", "InactiveUser");

            UserDevice existsDevice = _authenticationService.GetUserDevice(nowUser.UserId, deviceType);// Session.QueryOver<UserDevice>().Where(x => x.AccountId == nowAccount.Id && x.DeviceType == deviceType).SingleOrDefault();

            if (existsDevice == null)

            {

                string passkey = MD5CryptoProvider.GetMD5Hash(nowUser.UserId + nowUser.LoginName + DateTime.UtcNow.ToString() + Guid.NewGuid().ToString());

                existsDevice = new UserDevice()

                {

                    UserId = nowUser.UserId,

                    CreateTime = DateTime.UtcNow,

                    ActiveTime = DateTime.UtcNow,

                    ExpiredTime = DateTime.UtcNow.AddMinutes(timeout),

                    DeviceType = deviceType,

                    SessionKey = passkey

                };

                _authenticationService.AddUserDevice(existsDevice);

            }

            else

            {

                existsDevice.ActiveTime = DateTime.UtcNow;

                existsDevice.ExpiredTime = DateTime.UtcNow.AddMinutes(timeout);

                _authenticationService.UpdateUserDevice(existsDevice);

            }

            nowUser.Password = "";

            return new SessionObject() { SessionKey = existsDevice.SessionKey, LogonUser = nowUser };

        }

    }

 

API身份验证

身份信息的认证是通过Web API 的 ActionFilter来实现的, 每各需要身份验证的API请求都会要求客户端传一个SessionKey在URL里面丢过来。

在这里我们通过一个自定义的SessionValidateAttribute来做客户端的身份验证, 其继承自 System.Web.Http.Filters.ActionFilterAttribute, 把这个Attribute加在每个需要做身份验证的ApiControler上面,这样该 Controller下面的所有Action都将拥有身份验证的功能, 这里会存在如果有少量的API不需要身份验证,那该如何处理,这个会做一些排除,为了保持文章的思路清晰,这会在后续的章节再说明.

public class SessionValidateAttribute : System.Web.Http.Filters.ActionFilterAttribute

    {

        public const string SessionKeyName = "SessionKey";

        public const string LogonUserName = "LogonUser";

        public override void OnActionExecuting(HttpActionContext filterContext)

        {

            var qs = HttpUtility.ParseQueryString(filterContext.Request.RequestUri.Query);

            string sessionKey = qs[SessionKeyName];

            if (string.IsNullOrEmpty(sessionKey))

            {

                throw new ApiException("Invalid Session.", "InvalidSession");

            }

            IAuthenticationService authenticationService = IocManager.Intance.Reslove<IAuthenticationService>();

            //validate user session

            var userSession = authenticationService.GetUserDevice(sessionKey);

            if (userSession == null)

            {

                throw new ApiException("sessionKey not found", "RequireParameter_sessionKey");

            }

            else

            {

                //todo: 加Session是否过期的判断

                if (userSession.ExpiredTime < DateTime.UtcNow)

                    throw new ApiException("session expired", "SessionTimeOut");

                var logonUser = authenticationService.GetUser(userSession.UserId);

                if (logonUser == null)

                {

                    throw new ApiException("User not found", "Invalid_User");

                }

                else

                {

                    filterContext.ControllerContext.RouteData.Values[LogonUserName] = logonUser;

                    SetPrincipal(new UserPrincipal<int>(logonUser));

                }

                userSession.ActiveTime = DateTime.UtcNow;

                userSession.ExpiredTime = DateTime.UtcNow.AddMinutes(60);

                authenticationService.UpdateUserDevice(userSession);

            }

        }

        private void SetPrincipal(IPrincipal principal)

        {

            Thread.CurrentPrincipal = principal;

            if (HttpContext.Current != null)

            {

                HttpContext.Current.User = principal;

            }

        }

    }

 

OnActionExcuting方法:

这个是在进入某个Action之前做检查, 这个时候我们刚好可以同RequestQueryString中拿出SessionKey到UserDevice表中去做查询,来验证Sessionkey的真伪, 以达到身份验证的目的。

 

用户的过期时间:

在每个API访问的时候,会自动更新Session(也就是UserDevice)的过期时间, 以保证SessionKey不会过期,如果长时间未更新,则下次访问会过期,需要重新登录做处理。

 

Request.IsAuthented:

上面代码的最后一段SetPrincipal就是来设置我们线程上下文及HttpContext上下文中的用户身份信息, 在这里我们实现了我们自己的用户身份类型

public class UserIdentity<TKey> : IIdentity

    {

        public UserIdentity(IUser<TKey> user)

        {

            if (user != null)

            {

                IsAuthenticated = true;

                UserId = user.UserId;

                Name = user.LoginName.ToString();

                DisplayName = user.DisplayName;

            }

        }

        public string AuthenticationType

        {

            get { return "CustomAuthentication"; }

        }

        public TKey UserId { get; private set; }

        public bool IsAuthenticated { get; private set; }

        public string Name { get; private set; }

        public string DisplayName { get; private set; }

    }

    public class UserPrincipal<TKey> : IPrincipal

    {

        public UserPrincipal(UserIdentity<TKey> identity)

        {

            Identity = identity;

        }

        public UserPrincipal(IUser<TKey> user)

            : this(new UserIdentity<TKey>(user))

        {

        }

        /// <summary>

        ///

        /// </summary>

        public UserIdentity<TKey> Identity { get; private set; }

        IIdentity IPrincipal.Identity

        {

            get { return Identity; }

        }

        bool IPrincipal.IsInRole(string role)

        {

            throw new NotImplementedException();

        }

    }

    public interface IUser<T>

    {

        T UserId { get; set; }

        string LoginName { get; set; }

        string DisplayName { get; set; }

    }

这样可以保证我们在系统的任何地方,通过HttpContext.User 或者 System.Threading.Thread.CurrentPrincipal可以拿到当前线程上下文的用户信息, 方便各处使用

 

加入身份认证之后的Product相关API如下:

[RoutePrefix("api/products"), SessionValidate]

    public class ProductController : ApiController

    {

        [HttpGet]

        public void ProductsAPI()

        { }

        /// <summary>

        /// 产品分页数据获取

        /// </summary>

        /// <returns></returns>

        [HttpGet, Route("product/getList")]

        public Page<Product> GetProductList(string sessionKey)

        {

            return new Page<Product>();

        }

        /// <summary>

        /// 获取单个产品

        /// </summary>

        /// <param name="productId"></param>

        /// <returns></returns>

        [HttpGet, Route("product/get")]

        public Product GetProduct(string sessionKey, Guid productId)

        {

            return new Product() { ProductId = productId };

        }

        /// <summary>

        /// 添加产品

        /// </summary>

        /// <param name="product"></param>

        /// <returns></returns>

        [HttpPost, Route("product/add")]

        public Guid AddProduct(string sessionKey, Product product)

        {

            return Guid.NewGuid();

        }

        /// <summary>

        /// 更新产品

        /// </summary>

        /// <param name="productId"></param>

        /// <param name="product"></param>

        [HttpPost, Route("product/update")]

        public void UpdateProduct(string sessionKey, Guid productId, Product product)

        {

        }

        /// <summary>

        /// 删除产品

        /// </summary>

        /// <param name="productId"></param>

        [HttpDelete, Route("product/delete")]

        public void DeleteProduct(string sessionKey, Guid productId)

        {

        }

 

可以看到我们的ProductController上面加了SessionValidateAttribute, 每个Action参数的第一个位置,加了一个string sessionKey的占位, 这个主要是为了让Swagger.Net能在UI上生成测试窗口

这篇并没有使用OAuth等授权机制,只是简单的实现了登录授权,这种方式适合小项目使用.

这里也只是实现了系统的登录,API访问安全,并不能保证 API系统的绝对安全,我们可以透过 路由的上的HTTP消息拦截, 拦截到我们的API请求,截获密码等登录信息, 因此我们还需要给我们的API增加SSL证书,实现 HTTPS加密传输。

另外在前几天的有看到结合客户端IP地址等后混合生成 Sessionkey来做安全的,但是也具有一定的局限性, 那种方案合适,还是要根据自己的实际项目情况来确定.

 

由于时间原因, 本篇只是从原理方面介绍了API用户登录与访问身份认证,因为这部分真实的测试设计到数据库交互, Ioc等基础设施的支撑,所以这篇的代码只能出现在SwaggerUI中,但是无法实际测试接口。在接下来的代码中我会完善这部分.

代码: 代码下载(代码托管在CSDN Code)

【WEB API项目实战干货系列】- API登录与身份验证(三)的更多相关文章

  1. 【WEB API项目实战干货系列】- 导航篇(十足干货分享)

    在今天移动互联网的时代,作为攻城师的我们,谁不想着只写一套API就可以让我们的Web, Android APP, IOS APP, iPad APP, Hybired APP, H5 Web共用共同的 ...

  2. 【WEB API项目实战干货系列】- 接口文档与在线测试(二)

    上一篇: [WEB API项目实战干货系列]- Web API 2入门(一) 这一篇我们主要介绍如何做API帮助文档,给API的调用人员介绍各个 API的功能, 输入参数,输出参数, 以及在线测试 A ...

  3. 【WEB API项目实战干货系列】- API访问客户端(WebApiClient适用于MVC/WebForms/WinForm)(四)

    这几天没更新主要是因为没有一款合适的后端框架来支持我们的Web API项目Demo, 所以耽误了几天, 目前最新的代码已经通过Sqlite + NHibernate + Autofac满足了我们基本的 ...

  4. 【WEB API项目实战干货系列】- WEB API入门(一)

    这篇做为这个系列的第一篇,做基本的介绍,有经验的人可以直接跳到第二部分创建 ProductController.   创建 Web API 项目 在这里我们使用VS2013, .NET 4.5.1创建 ...

  5. react 项目实战(九)登录与身份认证

    SPA的鉴权方式和传统的web应用不同:由于页面的渲染不再依赖服务端,与服务端的交互都通过接口来完成,而REASTful风格的接口提倡无状态(state less),通常不使用cookie和sessi ...

  6. Selenium Web 自动化 - 项目实战(三)

    Selenium Web 自动化 - 项目实战(三) 2016-08-10 目录 1 关键字驱动概述2 框架更改总览3 框架更改详解  3.1 解析新增页面目录  3.2 解析新增测试用例目录  3. ...

  7. Selenium Web 自动化 - 项目实战环境准备

    Selenium Web 自动化 - 项目实战环境准备 2016-08-29 目录 1 部署TestNG  1.1 安装TestNG  1.2 添加TestNG类库2 部署Maven  2.1 mav ...

  8. Selenium Web 自动化 - 项目实战(二)

    Selenium Web 自动化 - 项目实战(二) 2016-08-08 什么是数据驱动?简答的理解就是测试数据决定了测试结果,这就是所谓数据驱动.数据驱动包含了数据,他就是测试数据,在自动化领域里 ...

  9. 从 0 使用 SpringBoot MyBatis MySQL Redis Elasticsearch打造企业级 RESTful API 项目实战

    大家好!这是一门付费视频课程.新课优惠价 699 元,折合每小时 9 元左右,需要朋友的联系爱学啊客服 QQ:3469271680:我们每课程是明码标价的,因为如果售价为现在的 2 倍,然后打 5 折 ...

随机推荐

  1. 怎么录制Android或IOS动画教程

    前一篇文章介绍了用DemoCreator制作Android视频教程,今天再介绍一种方法. 那就是用GifCam软件录制,此软件录制导出成Gif动画图片,可直接放在你的文章里面,效果比flash要好. ...

  2. JavaScript Patterns 4.1 Functions Background

    Functions are first-class objects and they provide scope. • Can be created dynamically at runtime, d ...

  3. 用mciSendString做音乐播放器

    音乐操作类 public class clsMCI { public clsMCI() { // // TODO: 在此处添加构造函数逻辑 // } //定义API函数使用的字符串变量 [Marsha ...

  4. 观察者模式--java jdk中提供的支持

    一.简介 观察者设计模式有如下四个角色 抽象主题角色:把所有对观察者对象的引用保存在一个集合中,每个抽象主题角色都可以有任意数量的观察者.抽象主题提供一个接口,可以增加和删除观察者角色.一般用一个抽象 ...

  5. 使用Sqoop,最终导入到hive中的数据和原数据库中数据不一致解决办法

            Sqoop是一款开源的工具,主要用于在Hadoop(Hive)与传统的数据库(mysql.postgresql...)间进行数据的传递,可以将一个关系型数据库(例如 : MySQL , ...

  6. JSP 标准标签库(JSTL)之最常用的JSTL标签总结

    JSP标准标签库(JSTL)是一个JSP标签集合,它封装了JSP应用的通用核心功能. Apache Tomcat安装JSTL 库步骤如下: 从Apache的标准标签库中下载的二进包(jakarta-t ...

  7. android linker (1) —— __linker_init()

    ilocker:关注 Android 安全(新手) QQ: 2597294287 __linker_init() 在 begin.S 中被调用,并传入两个参数:sp(堆栈指针).#0. linker( ...

  8. php session文件修改路径

    默认状态下php的 sess_文件会生成到/tmp目录下,1天的时间就会生成很多,由于/tmp目录下还有别的重要文件,所以看起来不爽.具体更改做法是,找到 php.ini文件里面的session.sa ...

  9. 如何去设计一个自适应的网页设计或HTMl5

    如何去设计一个自适应的网页设计或HTMl5 如今移动互联网随着3G的普及,越来越火爆,更多需求跟随而来!APP应用市场和APP应用数量成倍成倍的增长!从而给移动互联网带来新的挑战! 移动设备正超过桌面 ...

  10. uva 1152 4 values whose sum is zero ——yhx

    The SUM problem can be formulated as follows: given four lists A;B;C;D of integer values, computehow ...