2023年6月20日发(作者:)
C#webApi1,最近接到⼀个H5 ,app后台的项⽬,想⽤webapi做后台遇到了⼀些问题,(1)问题⼀:⽤户的认证⽅式,⼀、为什么需要⾝份认证在前⾔⾥⾯,我们说了,如果没有启⽤⾝份认证,那么任何匿名⽤户只要知道了我们服务的url,就能随意访问我们的服务接⼝,从⽽访问或修改数据库。1、我们不加⾝份认证,匿名⽤户可以直接通过url随意访问接⼝:
可以看到,匿名⽤户直接通过url就能访问我们的数据接⼝,最终会发⽣什么事,⼤家可以随意畅想。2、增加了⾝份认证之后,只有带了我们访问票据的请求才能访问我们的接⼝。例如我们直接通过url访问,会返回401
如果是正常流程的请求,带了票据,就OK了。可以看到,正常流程的请求,会在请求报⽂的头⾥⾯增加Authorization这⼀项,它的值就是我们的Ticket票据信息。回到顶部⼆、Basic基础认证的原理解析回到顶部1、常见的认证⽅式我们知道,的认证机制有很多种。对于WebApi也不例外,常见的认证⽅式有FORM⾝份验证集成WINDOWS验证Basic基础认证Digest摘要认证园⼦⾥很多关于WebApi认证的⽂章,各种认证⽅式都会涉及到,但感觉都不够细。这⾥也并不想去研究哪种验证⽅式适⽤哪种使⽤场景,因为博主还是觉得“贪多嚼不烂”,也可能是博主能⼒所限。对于认证机制,弄懂回到顶部2、Basic基础认证原理1. ⾸先登陆的时候验证⽤户名、密码,如果登陆成功,则将⽤户名、密码按照⼀定的规则⽣成加密的票据信息Ticket,将票据信息返回到前端。2. 如果登陆成功,前端会收到票据信息,然后跳转到主界⾯,并且将票据信息也带到主界⾯的ActionResult⾥⾯(例如跳转的url可以这样写:/Home/Index?Ticket=Ticket)3. 在主界⾯的ActionResult⾥⾯通过参数得到票据信息Ticket,然后将Ticket信息保存到ViewBag⾥⾯传到前端。4. 在主界⾯的前端,发送Ajax请求的时候将票据信息加⼊到请求的Head⾥⾯,将票据信息随着请求⼀起发送到服务端去。 我们知道,认证的⽬的在于安全,那么如何能保证安全呢?常⽤的⼿段⾃然是加密。Basic认证也不例外,主要原理就是加密⽤户信息,⽣成票据,每次请求的时候将票据带过来验证。这样说可能有点抽象,我们详细5. 在WebApi服务⾥⾯定义⼀个类,继承AuthorizeAttribute类,然后重写⽗类的OnAuthorization⽅法,在OnAuthorization⽅法⾥⾯取到当前http请求的Head,从Head⾥⾯取到我们前端传过来的票据信息。解密票据 这个基本的原理。下⾯就按照这个原理来看看每⼀步的代码如何实现。回到顶部三、Basic基础认证的代码⽰例⾸先说下我们的⽰例场景,上次介绍 CORS 的时候我们在⼀个解决⽅案⾥⾯放了两个项⽬Web和WebApiCORS,我们这次还是以这个为例来说明。回到顶部1、登录过程1.1、Web前端$(function () { $('#btn_login').click(function () { $.ajax({ type: 'get', url: 'localhost:27221/api/User/Login', data: { strUser: $('#txt_username').val(), strPwd: $('#txt_password').val() }, success: function (data, status) {
//登录成功之后将⽤户名和⽤户票据带到主界⾯ on = '/Home/Index?UserName=' + me + '&Ticket=' + ; } }, error: function (e) { }, complete: function1.2、登录的API接⼝ public class UserController : ApiController { ////// ⽤户登录 ////// /// /// [HttpGet] public object Login(string strUser, string strPwd) { if (!ValidateUser(strUser, strPwd)) { return new { bRes = false }; } FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateT这⾥有⼀点需要注意的是,因为WebApi默认是没有开启Session的,所以需要我们作⼀下配置,⼿动去启⽤session。如何开启WebApi⾥⾯的Session,请参考:/tinya/p/正如上⾯的原理部分说的,登录如果失败,则直接返回;如果成功,则将⽣成的票据Ticket带到前端,传到主界⾯/Home/Index,下⾯,我们就来看看主界⾯Home/Index。回到顶部2、/Home/Index主界⾯ public class HomeController : Controller { // GET: Home public ActionResult Index(string UserName, string Ticket) { me = UserName; = Ticket; return View(); } }当前登录⽤户:'@me'$(function () { $.ajax({ type: 'get', url: 'localhost:27221/api/Charging/GetAllChargingData', data: {}, beforeSend: function (XHR) { //发送ajax请求之前向http的head⾥⾯加⼊验证信息 uestHeader('Authorization', 'B这⾥需要说明的是,我们在发送ajax请求之前,通过 uestHeader('Authorization', 'BasicAuth ' + Ticket); 这⼀句向请求的报⽂头⾥⾯增加票据信息。就是因为这⾥加了这⼀句,所以才有我们下图中的红线部回到顶部3、WebApiCORS验证部分(重点)我们看到,上⾯的/Home/Index页⾯⾥⾯发送了ajax请求去访问服务的 localhost:27221/api/Charging/GetAllChargingData 这个接⼝,那么我们在WebApi⾥⾯怎么去验证这个请求和合法的请求呢?接下来我们重3.1、在WebApiCORS项⽬⾥⾯⾃定义⼀个类RequestAuthorizeAttribute,去继承我们的AuthorizeAttribute这个类。然后重写OnAuthorization⽅法,在这个⽅法⾥⾯取 ////// ⾃定义此特性⽤于接⼝的⾝份验证 ///public class RequestAuthorizeAttribute : AuthorizeAttribute { //重写基类的验证⽅式,加⼊我们⾃定义的Ticket验证 public override void OnAuthorization(tionContext actionContext) var Ticcket=t(encryptTicket); if (d) { return false; } var strTicket =ta; if (ValidateTicket(encryptTicket)) { orized(actionContext); } else { HandleUnauthorizedRequest(actionContext); } } //如果取不到⾝份验证信息,并且3.2、在具体的Api接⼝增加我们上⾯⾃定义类的特性[RequestAuthorize] public class ChargingController : ApiController { ////// 得到所有数据 ////// 返回数据 [HttpGet] public string GetAllChargingData() { return 'Success'; } ////// 得到当前Id的所有数据 ////// 参数Id /// 返回数据 [HttpGet] public string GetAllChargingData(string id) { return 'ChargingData' + id; } }增加了特性标注之后,每次请求这个API⾥⾯的接⼝之前,程序会先进⼊到我们override过的 OnAuthorization() ⽅法⾥⾯,验证通过之后,才会进到相应的⽅法⾥⾯去执⾏,否则返回401。回到顶部四、优化 通过上⾯的⼏步,基本就能达到我们想要的⾝份认证的效果,但是总是感觉不太⽅便,主要不太⽅便的点有以下⼏个。1. 每次新建⼀个API,对应的接⼝上⾯都要标注 [RequestAuthorize] 这个⼀个东西,感觉好⿇烦。2. 每次发送ajax请求,都要在beforeSend事件⾥⾯加 uestHeader('Authorization', 'BasicAuth ' + Ticket); 这个,感觉也⿇烦。3. 如果有些WebApi服务的某些⽅法,我们不想使⽤这个验证,让它可以匿名⽤户验证(⽐如我们的登录⽅法Login)。该怎么处理呢。关于以上两点,我们优化下回到顶部1、解决API的问题在API⾥⾯加⼀个公共的⽗类,在⽗类上⾯标注 [RequestAuthorize] 即可。namespace llers{ [RequestAuthorize] [EnableCors(origins: '*', headers: '*', methods: '*')] public class BaseApiController : ApiController { }}namespace llers{ public class ChargingController : BaseApiController { ////// 得到所有数据 ////// 返回数据 [HttpGet] public string GetAllChargingData() { return 'Success'; } ////// 得到当前Id的所有数据 ////// 参数Id /// 返回数据 [HttpGet] public string GetAllChargingData(string id) { return 'ChargingData' + id; } }} 注意:我们登录的请求是不需要验证的,因为登录的时候还没有产⽣票据,所以登录的API不能够继承 BaseApiController
回到顶部2、解决ajax的问题还记得我们在 JS组件系列——封装⾃⼰的JS组件,你也可以 这篇⾥⾯介绍的增加ajax的error事件的公共处理⽅法吗?我们是否也可以通过同样的机制去增加这个呢。新建⼀个⽂件Jquery_ajax_(function ($) { //1.得到$.ajax的对象 var _ajax = $.ajax; $.ajax = function (options) { //2.每次调⽤发送ajax请求的时候定义默认的error处理⽅法 var fn = { error: function (XMLHttpRequest, textStatus, errorThrown) { (XMLH引⽤这个js后再发送ajax不必在每个请求的beforeSend⾥⾯写了。回到顶部3、解决特殊不想使⽤验证的⽅法如果我们某些⽅法不想使⽤验证,使得它可以让匿名⽤户访问,我们可以在⽅法的上⾯加特性标注 [AllowAnonymous] ,申明该⽅法运⾏匿名访问。⽐如: public class ChargingController : BaseApiController { ////// 得到所有数据 ////// 返回数据 [HttpGet] public string GetAllChargingData() { return 'Success'; } ////// 得到当前Id的所有数据 ////// 参数Id /// 返回数据 [HttpGet] [AllowAnonymous] public string GetAllChargingData(string id) { return 'ChargingData' + id; } }回到顶部五、总结以上结合⼀个实例讲解了下Basic认证的实现原理以及简单使⽤,本⽂观点都是来⾃博主⾃⼰的理解,如果有不全⾯的地⽅,还望园友们斧正。如果本⽂能够或多或少帮到你,不妨帮忙推荐推荐,博主⼀定继续努⼒~~来源:/landeanfen/p/参考这篇⽂章写得很不错。但使⽤时遇到⼀个问题!参数传参时接收不到。
2023年6月20日发(作者:)
C#webApi1,最近接到⼀个H5 ,app后台的项⽬,想⽤webapi做后台遇到了⼀些问题,(1)问题⼀:⽤户的认证⽅式,⼀、为什么需要⾝份认证在前⾔⾥⾯,我们说了,如果没有启⽤⾝份认证,那么任何匿名⽤户只要知道了我们服务的url,就能随意访问我们的服务接⼝,从⽽访问或修改数据库。1、我们不加⾝份认证,匿名⽤户可以直接通过url随意访问接⼝:
可以看到,匿名⽤户直接通过url就能访问我们的数据接⼝,最终会发⽣什么事,⼤家可以随意畅想。2、增加了⾝份认证之后,只有带了我们访问票据的请求才能访问我们的接⼝。例如我们直接通过url访问,会返回401
如果是正常流程的请求,带了票据,就OK了。可以看到,正常流程的请求,会在请求报⽂的头⾥⾯增加Authorization这⼀项,它的值就是我们的Ticket票据信息。回到顶部⼆、Basic基础认证的原理解析回到顶部1、常见的认证⽅式我们知道,的认证机制有很多种。对于WebApi也不例外,常见的认证⽅式有FORM⾝份验证集成WINDOWS验证Basic基础认证Digest摘要认证园⼦⾥很多关于WebApi认证的⽂章,各种认证⽅式都会涉及到,但感觉都不够细。这⾥也并不想去研究哪种验证⽅式适⽤哪种使⽤场景,因为博主还是觉得“贪多嚼不烂”,也可能是博主能⼒所限。对于认证机制,弄懂回到顶部2、Basic基础认证原理1. ⾸先登陆的时候验证⽤户名、密码,如果登陆成功,则将⽤户名、密码按照⼀定的规则⽣成加密的票据信息Ticket,将票据信息返回到前端。2. 如果登陆成功,前端会收到票据信息,然后跳转到主界⾯,并且将票据信息也带到主界⾯的ActionResult⾥⾯(例如跳转的url可以这样写:/Home/Index?Ticket=Ticket)3. 在主界⾯的ActionResult⾥⾯通过参数得到票据信息Ticket,然后将Ticket信息保存到ViewBag⾥⾯传到前端。4. 在主界⾯的前端,发送Ajax请求的时候将票据信息加⼊到请求的Head⾥⾯,将票据信息随着请求⼀起发送到服务端去。 我们知道,认证的⽬的在于安全,那么如何能保证安全呢?常⽤的⼿段⾃然是加密。Basic认证也不例外,主要原理就是加密⽤户信息,⽣成票据,每次请求的时候将票据带过来验证。这样说可能有点抽象,我们详细5. 在WebApi服务⾥⾯定义⼀个类,继承AuthorizeAttribute类,然后重写⽗类的OnAuthorization⽅法,在OnAuthorization⽅法⾥⾯取到当前http请求的Head,从Head⾥⾯取到我们前端传过来的票据信息。解密票据 这个基本的原理。下⾯就按照这个原理来看看每⼀步的代码如何实现。回到顶部三、Basic基础认证的代码⽰例⾸先说下我们的⽰例场景,上次介绍 CORS 的时候我们在⼀个解决⽅案⾥⾯放了两个项⽬Web和WebApiCORS,我们这次还是以这个为例来说明。回到顶部1、登录过程1.1、Web前端$(function () { $('#btn_login').click(function () { $.ajax({ type: 'get', url: 'localhost:27221/api/User/Login', data: { strUser: $('#txt_username').val(), strPwd: $('#txt_password').val() }, success: function (data, status) {
//登录成功之后将⽤户名和⽤户票据带到主界⾯ on = '/Home/Index?UserName=' + me + '&Ticket=' + ; } }, error: function (e) { }, complete: function1.2、登录的API接⼝ public class UserController : ApiController { ////// ⽤户登录 ////// /// /// [HttpGet] public object Login(string strUser, string strPwd) { if (!ValidateUser(strUser, strPwd)) { return new { bRes = false }; } FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateT这⾥有⼀点需要注意的是,因为WebApi默认是没有开启Session的,所以需要我们作⼀下配置,⼿动去启⽤session。如何开启WebApi⾥⾯的Session,请参考:/tinya/p/正如上⾯的原理部分说的,登录如果失败,则直接返回;如果成功,则将⽣成的票据Ticket带到前端,传到主界⾯/Home/Index,下⾯,我们就来看看主界⾯Home/Index。回到顶部2、/Home/Index主界⾯ public class HomeController : Controller { // GET: Home public ActionResult Index(string UserName, string Ticket) { me = UserName; = Ticket; return View(); } }当前登录⽤户:'@me'$(function () { $.ajax({ type: 'get', url: 'localhost:27221/api/Charging/GetAllChargingData', data: {}, beforeSend: function (XHR) { //发送ajax请求之前向http的head⾥⾯加⼊验证信息 uestHeader('Authorization', 'B这⾥需要说明的是,我们在发送ajax请求之前,通过 uestHeader('Authorization', 'BasicAuth ' + Ticket); 这⼀句向请求的报⽂头⾥⾯增加票据信息。就是因为这⾥加了这⼀句,所以才有我们下图中的红线部回到顶部3、WebApiCORS验证部分(重点)我们看到,上⾯的/Home/Index页⾯⾥⾯发送了ajax请求去访问服务的 localhost:27221/api/Charging/GetAllChargingData 这个接⼝,那么我们在WebApi⾥⾯怎么去验证这个请求和合法的请求呢?接下来我们重3.1、在WebApiCORS项⽬⾥⾯⾃定义⼀个类RequestAuthorizeAttribute,去继承我们的AuthorizeAttribute这个类。然后重写OnAuthorization⽅法,在这个⽅法⾥⾯取 ////// ⾃定义此特性⽤于接⼝的⾝份验证 ///public class RequestAuthorizeAttribute : AuthorizeAttribute { //重写基类的验证⽅式,加⼊我们⾃定义的Ticket验证 public override void OnAuthorization(tionContext actionContext) var Ticcket=t(encryptTicket); if (d) { return false; } var strTicket =ta; if (ValidateTicket(encryptTicket)) { orized(actionContext); } else { HandleUnauthorizedRequest(actionContext); } } //如果取不到⾝份验证信息,并且3.2、在具体的Api接⼝增加我们上⾯⾃定义类的特性[RequestAuthorize] public class ChargingController : ApiController { ////// 得到所有数据 ////// 返回数据 [HttpGet] public string GetAllChargingData() { return 'Success'; } ////// 得到当前Id的所有数据 ////// 参数Id /// 返回数据 [HttpGet] public string GetAllChargingData(string id) { return 'ChargingData' + id; } }增加了特性标注之后,每次请求这个API⾥⾯的接⼝之前,程序会先进⼊到我们override过的 OnAuthorization() ⽅法⾥⾯,验证通过之后,才会进到相应的⽅法⾥⾯去执⾏,否则返回401。回到顶部四、优化 通过上⾯的⼏步,基本就能达到我们想要的⾝份认证的效果,但是总是感觉不太⽅便,主要不太⽅便的点有以下⼏个。1. 每次新建⼀个API,对应的接⼝上⾯都要标注 [RequestAuthorize] 这个⼀个东西,感觉好⿇烦。2. 每次发送ajax请求,都要在beforeSend事件⾥⾯加 uestHeader('Authorization', 'BasicAuth ' + Ticket); 这个,感觉也⿇烦。3. 如果有些WebApi服务的某些⽅法,我们不想使⽤这个验证,让它可以匿名⽤户验证(⽐如我们的登录⽅法Login)。该怎么处理呢。关于以上两点,我们优化下回到顶部1、解决API的问题在API⾥⾯加⼀个公共的⽗类,在⽗类上⾯标注 [RequestAuthorize] 即可。namespace llers{ [RequestAuthorize] [EnableCors(origins: '*', headers: '*', methods: '*')] public class BaseApiController : ApiController { }}namespace llers{ public class ChargingController : BaseApiController { ////// 得到所有数据 ////// 返回数据 [HttpGet] public string GetAllChargingData() { return 'Success'; } ////// 得到当前Id的所有数据 ////// 参数Id /// 返回数据 [HttpGet] public string GetAllChargingData(string id) { return 'ChargingData' + id; } }} 注意:我们登录的请求是不需要验证的,因为登录的时候还没有产⽣票据,所以登录的API不能够继承 BaseApiController
回到顶部2、解决ajax的问题还记得我们在 JS组件系列——封装⾃⼰的JS组件,你也可以 这篇⾥⾯介绍的增加ajax的error事件的公共处理⽅法吗?我们是否也可以通过同样的机制去增加这个呢。新建⼀个⽂件Jquery_ajax_(function ($) { //1.得到$.ajax的对象 var _ajax = $.ajax; $.ajax = function (options) { //2.每次调⽤发送ajax请求的时候定义默认的error处理⽅法 var fn = { error: function (XMLHttpRequest, textStatus, errorThrown) { (XMLH引⽤这个js后再发送ajax不必在每个请求的beforeSend⾥⾯写了。回到顶部3、解决特殊不想使⽤验证的⽅法如果我们某些⽅法不想使⽤验证,使得它可以让匿名⽤户访问,我们可以在⽅法的上⾯加特性标注 [AllowAnonymous] ,申明该⽅法运⾏匿名访问。⽐如: public class ChargingController : BaseApiController { ////// 得到所有数据 ////// 返回数据 [HttpGet] public string GetAllChargingData() { return 'Success'; } ////// 得到当前Id的所有数据 ////// 参数Id /// 返回数据 [HttpGet] [AllowAnonymous] public string GetAllChargingData(string id) { return 'ChargingData' + id; } }回到顶部五、总结以上结合⼀个实例讲解了下Basic认证的实现原理以及简单使⽤,本⽂观点都是来⾃博主⾃⼰的理解,如果有不全⾯的地⽅,还望园友们斧正。如果本⽂能够或多或少帮到你,不妨帮忙推荐推荐,博主⼀定继续努⼒~~来源:/landeanfen/p/参考这篇⽂章写得很不错。但使⽤时遇到⼀个问题!参数传参时接收不到。
发布评论