系列目录

循序渐进学.Net Core Web Api开发系列目录

本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi

一、概述

本篇介绍Web系统的应用安全,主要涉及用户的身份认证和访问权限问题。

大部分web应用习惯采用Session来保存用户认证信息,对于WebApi而言,调用者不一定是Web浏览器,可能是Android、iOS客户端,可能是微信小程序,也可能是客户端程序等等,这些客户端模拟构造cookie、存储或传递sessionid都不是太方便,这种情况下,采用令牌(tockenid)的方式进行授权管理就显得比较方便,唯一不方便的就是每次调用都要传递tockenid。

基本流程如下:

1、调用登陆接口,通过正确的用户名和密码活动TockenID;

2、通过TockenID调用其他业务接口。

二、基本使用

1、处理用户登陆的Controller

        [HttpPost("login")]

        public ResultObject Login(string loginname,string password)

        {

            try

            {

                User user = _context.Users

                    .AsNoTracking()

                    .Where(a => a.LoginName == loginname && a.Password == password)

                    .Single();

                String tockenid = Tocken.GetTockenID();

                _cache.Set(tockenid, user, new MemoryCacheEntryOptions().SetSlidingExpiration(TimeSpan.FromSeconds()));

                return new ResultObject

                {

                    state = ResultState.Success,

                    result = tockenid

                };

            }

            catch(InvalidOperationException ex)

            {

                return new ResultObject

                {

                    state = ResultState.Exception,

                    ExceptionString = "未找到匹配的数据"

                };

            }

        }

首先在数据库寻找匹配的用户信息,如果验证成功就以TockenID为主键把用户信息存入缓存,并设置过期时间(示例代码中过期时间为20秒),然后返回TockenID。

2、在业务Controller中根据传入TockenID的进行用户认证。

[HttpGet]

        public ResultObject GetAllArticles(string tockenid)

        {

            User user = null;

           if(!_cache.TryGetValue(tockenid,out user))

            {

                return new ResultObject

                {

                    state = ResultState.Fail,

                    ExceptionString = "请登陆"

                };

            }

            List<Article> articles = _context.Articles

                    .AsNoTracking()

                    .ToList<Article>();

            return new ResultObject

            {

                state = ResultState.Success,

                result = articles

            };

        }

三、采用中间件进行用户认证

因为每个业务Controller都需要进行认证,所以按上述方法就比较麻烦了,我们做个中间件来进行统一身份验证

namespace SaleService.System.Middleware

{

    public class UserAuthenticationMiddleware

    {

        private readonly RequestDelegate _next;

        private readonly ILogger _logger;

        private readonly IMemoryCache _cache;

        public UserAuthenticationMiddleware(RequestDelegate next, ILogger<UserAuthenticationMiddleware> logger, IMemoryCache memoryCache)

        {

            _next = next;

            _logger = logger;

            _cache = memoryCache;

        }

        public async Task Invoke(HttpContext context)

        { 
            //如果是登陆接口就不需要验证Tocken

            if (context.Request.Path.ToString().ToLower().StartsWith("/api/user/login"))

            {

                await _next(context);

                return;

            }

            if (context.Request.Path.ToString().ToLower().StartsWith("/api/"))

            {

                string tockenid = context.Request.Query["tockenid"];

                if (tockenid == null)

                {

                    var result = new ResultObject

                    {

                        state = ResultState.Exception,

                        ExceptionString = "Need tockenid"

                    };

                    context.Response.ContentType = "application/json; charset=utf-8";

                    context.Response.WriteAsync(JsonConvert.SerializeObject(result));

                    return;

                }               

                User user = null;

                if (!_cache.TryGetValue(tockenid, out user))

                {

                    context.Response.StatusCode = ;

                    context.Response.ContentType = "application/json; charset=utf-8";

                    context.Response.WriteAsync("Invalidate tockenid(用户认证失败)");

                    return;

                }

            }

            await _next(context);

        }

    }

    public static class UserAuthenticationMiddlewareExtensions

    {

        public static IApplicationBuilder UseUserAuthentication(this IApplicationBuilder builder)

        {

            return builder.UseMiddleware<UserAuthenticationMiddleware>();

        }

    }

}

该中间件直接截取Request中的tockid进行验证,如果验证不通过就直接返回“短路”其他中间件,所以在使用时需要放在MVC中间件前面。

public class Startup

    {
        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

        public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)

        {

            app.UseCors(builder => builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials());

            app.UseStaticFiles();

            app.UseUserAuthentication();//要放在UseMvc前面

            app.UseMvcWithDefaultRoute();

         }

     }

此时业务Controller就比较简单干净了,专心做业务就可以了

      [HttpGet]

        public ResultObject GetAllArticles(string tockenid)

        {

            List<Article> articles = _context.Articles

                    .AsNoTracking()

                    .ToList<Article>();          

            return new ResultObject

            {

                state = ResultState.Success,

                result = articles

            };

        }

此时,如果需要,仍可以通过tockenid获取用户信息。

四、关于访问的权限

此时用户需要登陆才能访问受限业务Api,但对用户权限并没有约束,实际应用时需要建立角色,通过用户于角色对应关系和角色与资源的对应关系,确认用户可以访问的资源列表。

五、几点需要优化的地方

这里描述了通过TockenID进行用户认证的基本思路,实际应用时还有很多需要改善的地方:

1、对于一些公开应用是不需要验证的,如果在中间件中通过if来判断路径就显得比较丑陋,是否可以通过给这些Controller加上相关的特性来进行标识?

2、如何方便地判断用户与资源的对应关系?

3、Controller中通过tockenid获取用户信息的方法能否封装一下?

这些问题暂时还没有考虑充分,以后有机会完善一下。

循序渐进学.Net Core Web Api开发系列【15】:应用安全的更多相关文章

  1. 循序渐进学.Net Core Web Api开发系列【0】:序言与目录

    一.序言 我大约在2003年时候开始接触到.NET,最初在.NET framework 1.1版本下写过代码,曾经做过WinForm和ASP.NET开发.大约在2010年的时候转型JAVA环境,这么多 ...

  2. 循序渐进学.Net Core Web Api开发系列【16】:应用安全续-加密与解密

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 应用安全除 ...

  3. 循序渐进学.Net Core Web Api开发系列【14】:异常处理

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 本篇介绍异 ...

  4. 循序渐进学.Net Core Web Api开发系列【13】:中间件(Middleware)

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 本篇介绍如 ...

  5. 循序渐进学.Net Core Web Api开发系列【12】:缓存

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 本篇介绍如 ...

  6. 循序渐进学.Net Core Web Api开发系列【11】:依赖注入

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 本篇介绍如 ...

  7. 循序渐进学.Net Core Web Api开发系列【10】:使用日志

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.本篇概述 本篇介 ...

  8. 循序渐进学.Net Core Web Api开发系列【9】:常用的数据库操作

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 本篇描述一 ...

  9. 循序渐进学.Net Core Web Api开发系列【8】:访问数据库(基本功能)

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 本篇讨论如 ...

随机推荐

  1. hdu3374解题报告

    hdu3374 Solution: 最小表示法+KMP 设一个字符串S的最小循环节是T.(如S=“abababab”,则T=“ab”) 在最小循环节T中,只有1个最小字符串和最大字符串.则最小字符串的 ...

  2. Python内置模块-日志模块(logging)常见用法

    Python内置模块-日志模块(logging)常见用法 作者:尹正杰 版权声明:原创作品,谢绝转载!否则将追究法律责任. 一.初识logging模块 #!/usr/bin/env python #_ ...

  3. JMS学习(六)--提高非持久订阅者的可靠性 以及 订阅恢复策略

    一,非持久订阅者 和 实时消费消息 在这篇文章中区分了Domain为Pub/Sub.Destination为Topic时,消费者有两种:持久订阅者 和 非持久订阅者. 对于持久订阅者而言,只要订阅了某 ...

  4. 【整理】HTML5游戏开发学习笔记(4)- 记忆力游戏

    1.预备知识(1)Canvas绘制多边形(2)Canvas绘制文字 2.实现思路涉及的对象  (1)场景Scene  场景代表了画布上的一块区域,场景里的每个物体都是场景里的一个元素,其绘制统一由场景 ...

  5. 让你的HTML5&CSS3网站在老IE中也能正常显示的3种方法

    起初,IE其实也是一款非常有进取心的浏览器.但经过一段时间的蛰伏后,它已经成为了我们生活中的一道障碍.微软现在又重新开始向其它浏览器发起挑战,但事实情况是,新版的现代IE浏览器一直滞后于谷歌浏览器和火 ...

  6. HTML5 移动开发(CSS3设计移动页面样式)

    1.如何创建CSS样式表 2.CSS3的卓越特性 3.基于设备属性改变样式的媒体查询 4.如何使用属性改变元标签创建更美观移动页面   层叠样式表是移动WEB开发中的一个重要组成部分,本次分享将学到如 ...

  7. 【转载】RESTful API 设计指南

    作者: 阮一峰 日期: 2014年5月22日 网络应用程序,分为前端和后端两个部分.当前的发展趋势,就是前端设备层出不穷(手机.平板.桌面电脑.其他专用设备......). 因此,必须有一种统一的机制 ...

  8. ZYNQ. GPIO

    GPIO General Purpose I/O ,网上能找到很多关于znyq gpio 的文章. 分类:EMIO .MIO .AXI_GPIO 硬件系统 MIO和EMIO是在zynq核中配置的,MI ...

  9. win10下安装MinGW-w64 - for 32 and 64 bit Windows

    对于不经常使用c语言的同学来说,只需要安装MinGW-w64 - for 32 and 64 bit Windows,就可以使用GCC在命令行对c源码进行编译. 首先打开命令行检查自己是否已经安装了g ...

  10. 【技巧总结】理解XXE从基础到盲打

    原文:http://agrawalsmart7.com/2018/11/10/Understanding-XXE-from-Basic-to-Blind.html 这篇文章中将讨论以下问题. XXE是 ...