SNF快速开发平台MVC-EasyUI3.9之-WebApi身份验证问题解决方案

在我们的整体bs框架当中前端采用的是MVC+WebApi的处理方式。WebApi使用起来确实很方便但也会有新的麻烦事，就是身份验证。

如果没有启用身份认证，那么任何匿名用户只要知道了我们服务的url，就能随意访问我们的服务接口，从而访问或修改数据库。

1、我们不加身份认证，匿名用户直接通过url就能访问我们的数据接口，最终会发生什么事，大家可以随意畅想。

2、增加了身份认证之后，只有带了我们访问票据的请求才能访问我们的接口。否则我们直接通过url访问，会返回401

如果是Html5或App客户端请求我们的WebApi的话，需要先调用一个登录请求并返回OpenId和用户信息：

之后我们又创建一个过滤WebApi的请求筛选，拦截住所有WebApi请求验证请求参数，如果是登录用户可以进行访问，如果不是直接返回401

  /// <summary>

    /// 重写实现

    /// </summary>

    public class WebApiAuthorize : AuthorizeAttribute

    {

        //重写基类的验证方式，加入我们自定义的Ticket验证

        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)

        {

            //防止谷歌浏览器发出预请求。即一个请求被提交两次

            if (actionContext.Request.Method == HttpMethod.Options)

            {

                actionContext.Response = actionContext.Request.CreateResponse(System.Net.HttpStatusCode.Accepted);

                return;

            }

            //url获取token

            var content = actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase;

            var openId = content.Request.QueryString["OpenId"];

            string orgId = content.Request.QueryString["OrgId"];

            string platformId = content.Request.QueryString["PlatformId"];

            if (!string.IsNullOrEmpty(openId))//token

            {

                //解密用户ticket,并校验用户名密码是否匹配

                //读取请求上下文中的Controller,Action,Id

                //var routes = new RouteCollection();

                //RouteConfig.RegisterRoutes(routes);

                //RouteData routeData = routes.GetRouteData(content);

                ////content.Request.RequestContext.RouteData.Values

                //取出区域的控制器Action,id 可以扩展后续按用户判断是否有哪个接口权限

                //string controller = actionContext.ActionDescriptor.ControllerDescriptor.ControllerName;

                //string action = actionContext.ActionDescriptor.ActionName;

                //URL路径

                //string filePath = HttpContext.Current.Request.FilePath;

                BaseUserInfo userInfo = SNF.Business.Utilities.LogOn(openId); ;

                if (userInfo != null)

                {

                    HttpContext.Current.Session["WebApiUserInfo"] = userInfo;

                    //已经登录，有权限，且没有单机登录限制

                    base.IsAuthorized(actionContext);

                }

                else

                {

                    base.HandleUnauthorizedRequest(actionContext);//

                }

            }

            //如果取不到身份验证信息，并且不允许匿名访问，则返回未验证401

            else

            {

                base.OnAuthorization(actionContext);

            }

        }

        protected override bool IsAuthorized(HttpActionContext filterContext)

        {

            if (!string.IsNullOrEmpty(filterContext.Request.RequestUri.LocalPath)

                && filterContext.Request.RequestUri.LocalPath.StartsWith("/api/WebApi/")

                )

            {

                return true;

            }

            else

            {

                return base.IsAuthorized(filterContext);

            }

        }

如果请求通过后，会跳转到进来。再用一行代码获取登录人员信息。GetRequestUserInfo(request)

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

SNF快速开发平台MVC-EasyUI3.9之-WebApi身份验证问题解决方案

1、我们不加身份认证，匿名用户直接通过url就能访问我们的数据接口，最终会发生什么事，大家可以随意畅想。

2、增加了身份认证之后，只有带了我们访问票据的请求才能访问我们的接口。否则我们直接通过url访问，会返回401

SNF快速开发平台MVC-EasyUI3.9之-WebApi身份验证问题解决方案的更多相关文章

随机推荐

热门专题