AjaxC#进阶系列——WebApi 身份验证解决方案:Basic基础认证

看目录

  • 一如既往、为什么用身份验证
  • 其次、Basic基础认证的原理分析
    • 1、常见的印证方法
    • 2、Basic基础认证原理
  • 其三、Basic基础认证的代码示例
    • 1、登录过程
    • 2、/Home/Index主界面
    • 3、WebApiCORS验证部分(重点)
  • 四、优化
    • 1、解决API的问题
    • 2、解决ajax的问题
    • 3、解决突出不思利用说明的方法
  • 五、总结

 

正文

 

 

一致、为什么要身份验证

以序言中,我们说了,如果没有启用身份验证,那么其它匿名用户只要掌握了俺们服务的url,就能够自由走访我们的服务接口,从而访问还是改数据库。

1、我们无加身份证明,匿名用户可以直接通过url随意走访接口:

Ajax 1

 

Ajax 2

好望,匿名用户一直通过url就可知看我们的数量接口,最终见面有啊事,大家可以擅自畅想。

2、增加了位认证后,只有带了我们访问票据的求才能访问我们的接口。

比如说我们直接通过url访问,会回来401

 Ajax 3

 如果是正常流程的乞求,带了票,就OK了。

Ajax 4

可以看出,正常流程的伸手,会在呼吁报文的头里面增加Authorization这等同宗,它的价就是是咱的Ticket票据信息。

回去顶部

第二、Basic基础认证的规律分析

回顶部

1、常见的征方法

俺们知道,asp.net的求证机制发生死多种。对于WebApi也非异,常见的认证方法产生

  • FORM身份验证
  • 集成WINDOWS验证
  • Basic基础认证
  • Digest摘要认证

园子里非常多关于WebApi认证的文章,各种证明方法还见面涉嫌到,但感觉还无足够细致。这里为并无思去研究哪种证措施适用哪种下状况,因为博主还是觉得“贪多嚼不烂”,也恐怕是博主能力所界定。对于证明机制,弄明白其中同样种,其他的且能够通。此篇就动Basic基础认证来详细讲解下任何的经过。

回到顶部

2、Basic基础认证原理

 我们解,认证的目的在安,那么怎样能保证安全为?常用之一手自然是加密。Basic认证为无差,主要原理就是是加密用户信息,生成票据,每次要的时刻将票带过来验证。这样说或许出硌抽象,我们详细分解每个步骤:

  1. 率先登陆的上证实用户称、密码,如果登陆成功,则拿用户称、密码按照一定之规则变化加密的票据信息Ticket,将票信息返回到前者。
  2. 如若登陆成功,前端会接票据信息,然后跳反至主界面,并且以票信息为牵动及主界面的ActionResult里面(例如跳转的url可以如此写:/Home/Index?Ticket=Ticket)
  3. 每当主界面的ActionResult里面通过参数得到票据信息Ticket,然后拿Ticket信息保存到ViewBag里面传播前端。
  4. 以主界面的前端,发送Ajax请求的当儿以票信息在到要的Head里面,将票信息就请求一起发送到劳动端去。
  5. 在WebApi服务中间定义一个好像,继承AuthorizeAttribute类,然后又写父类的OnAuthorization方法,在OnAuthorization方法中得到到当下http请求的Head,从Head里面得到到我们前端传过来的票信息。解密票据信息,从解密的音信里得到用户称以及密码,然后验证用户称以及密码是否正确。如果对,表示验证通过,否则回未证实的要401。

 这个基本的规律。下面就是按照这个规律来看望每一样步之代码如何促成。

归来顶部

其三、Basic基础认证的代码示例

首先说生我们的以身作则场景,上次介绍 CORS 的时段咱们以一个缓解方案里放了简单只类别Web和WebApiCORS,我们这次要为这为例来说明。

回来顶部

1、登录过程

1.1、Web前端

Ajax 5

<body>
    <div style="text-align:center;"> 
        <div>用户名:<input type="text" id="txt_username" /></div>
        <div>密  码:<input type="password" id="txt_password"  /></div>
        <div><input type="button" value="登录" id="btn_login" class="btn-default" /></div>
    </div>
</body>

Ajax 6

Ajax 7

$(function () {
    $("#btn_login").click(function () {
        $.ajax({
            type: "get",
            url: "http://localhost:27221/api/User/Login",
            data: { strUser: $("#txt_username").val(), strPwd: $("#txt_password").val() },
            success: function (data, status) {
                if (status == "success") {
                    if (!data.bRes){
                        alert("登录失败");
                        return;
                    }
                    alert("登录成功");             //登录成功之后将用户名和用户票据带到主界面
                    window.location = "/Home/Index?UserName=" + data.UserName + "&Ticket=" + data.Ticket;
                }
            },
            error: function (e) {
            },
            complete: function () {

            }

        });
    });
});

Ajax 8

1.2、登录的API接口

Ajax 9

   public class UserController : ApiController
    {
        /// <summary>
        /// 用户登录
        /// </summary>
        /// <param name="strUser"></param>
        /// <param name="strPwd"></param>
        /// <returns></returns>
        [HttpGet]
        public object Login(string strUser, string strPwd)
        {
            if (!ValidateUser(strUser, strPwd))
            {
                return new { bRes = false };
            }
            FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateTime.Now,
                            DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", strUser, strPwd),
                            FormsAuthentication.FormsCookiePath);
            //返回登录结果、用户信息、用户验证票据信息
            var oUser = new UserInfo { bRes = true, UserName = strUser, Password = strPwd, Ticket = FormsAuthentication.Encrypt(ticket) };
            //将身份信息保存在session中,验证当前请求是否是有效请求
            HttpContext.Current.Session[strUser] = oUser;
            return oUser;
        }

        //校验用户名密码(正式环境中应该是数据库校验)
        private bool ValidateUser(string strUser, string strPwd)
        {
            if (strUser == "admin" && strPwd == "123456")
            {
                return true;
            }
            else
            {
                return false;
            }
        }
    }

    public class UserInfo
    {
        public bool bRes { get; set; }

        public string UserName { get; set; }

        public string Password { get; set; }

        public string Ticket { get; set; }
    }

Ajax 10

这边产生少数欲小心的凡,因为WebApi默认是从未有过被Session的,所以待我们发一下配备,手动去启用session。如何被WebApi里面的Session,请参考:http://www.cnblogs.com/tinya/p/4563641.html

巧使上面的原理部分说的,登录要失败,则直接回;如果成功,则拿转的票Ticket带顶前者,传到主界面/Home/Index,下面,我们即便来探望主界面Home/Index。

回去顶部

2、/Home/Index主界面

Ajax 11

   public class HomeController : Controller
    {
        // GET: Home
        public ActionResult Index(string UserName, string Ticket)
        {
            ViewBag.UserName = UserName;
            ViewBag.Ticket = Ticket;
            return View();
        }
    }

Ajax 12

Ajax 13

<html>
<head>
    <meta name="viewport" content="width=device-width" />
    <title>Index</title>
    <script src="~/Content/jquery-1.9.1.js"></script>
    <link href="~/Content/bootstrap/css/bootstrap.css" rel="stylesheet" />
    <script src="~/Content/bootstrap/js/bootstrap.js"></script>
    <script src="~/Scripts/Home/Index.js"></script>
    <script type="text/javascript">
        //打开页面的时候保存票据信息
        var UserName = '@ViewBag.UserName';
        var Ticket = '@ViewBag.Ticket';
    </script>
</head>
<body>
    <div>当前登录用户:'@ViewBag.UserName'</div>

    <div id="div_test">

    </div>
</body>
</html>

Ajax 14

Ajax 15

$(function () {
    $.ajax({
        type: "get",
        url: "http://localhost:27221/api/Charging/GetAllChargingData",
        data: {},
        beforeSend: function (XHR) {
            //发送ajax请求之前向http的head里面加入验证信息
            XHR.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);
        },
        success: function (data, status) {
            if (status == "success") {
                $("#div_test").html(data);
            }
        },
        error: function (e) {
            $("#div_test").html("Error");
        },
        complete: function () {

        }

    });
});

Ajax 16

此间要证明的凡,我们在发送ajax请求之前,通过 XHR.setRequestHeader(‘Authorization’, ‘BasicAuth ‘
+
Ticket); 这同词向请求的报文头里面增加票据信息。就是盖此加了这同一句子,所以才发生咱下图中的红线部分:

Ajax 17

回顶部

3、WebApiCORS验证部分(重点)

俺们看到,上面的/Home/Index页面中发送了ajax请求去拜谒服务之 http://localhost:27221/api/Charging/GetAllChargingData 这个接口,那么我们于WebApi里面怎么去证明这个要和官的恳求呢?接下我们第一看验证的此历程。

3.1、在WebApiCORS项目中由定义一个类RequestAuthorizeAttribute,去继承我们的AuthorizeAttribute这个近乎。然后再写OnAuthorization方法,在这艺术中获取到要求头的Ticket信息,然后校验用户名密码是否合理。

Ajax 18

   /// <summary>
    /// 自定义此特性用于接口的身份验证
    /// </summary>
    public class RequestAuthorizeAttribute : AuthorizeAttribute
    {
        //重写基类的验证方式,加入我们自定义的Ticket验证
        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            //从http请求的头里面获取身份验证信息,验证是否是请求发起方的ticket
            var authorization = actionContext.Request.Headers.Authorization;
            if ((authorization != null) && (authorization.Parameter != null))
            {
                //解密用户ticket,并校验用户名密码是否匹配
                var encryptTicket = authorization.Parameter;
                if (ValidateTicket(encryptTicket))
                {
                    base.IsAuthorized(actionContext);
                }
                else
                {
                    HandleUnauthorizedRequest(actionContext);
                }
            }
            //如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401
            else
            {
                var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
                bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
                if (isAnonymous) base.OnAuthorization(actionContext);
                else HandleUnauthorizedRequest(actionContext);
            }
        }

        //校验用户名密码(正式环境中应该是数据库校验)
        private bool ValidateTicket(string encryptTicket)
        {
            //解密Ticket
            var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData;

            //从Ticket里面获取用户名和密码
            var index = strTicket.IndexOf("&");
            string strUser = strTicket.Substring(0, index);
            string strPwd = strTicket.Substring(index + 1);

            if (strUser == "admin" && strPwd == "123456")
            {
                return true;
            }
            else
            {
                return false;
            }
        }
    }

Ajax 19

3.2、在切切实实的Api接口增加我们地方自定义类的风味

Ajax 20

    [RequestAuthorize]
    public class ChargingController : ApiController
    {
        /// <summary>
        /// 得到所有数据
        /// </summary>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData()
        {
            return "Success";
        }

        /// <summary>
        /// 得到当前Id的所有数据
        /// </summary>
        /// <param name="id">参数Id</param>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData(string id)
        {
            return "ChargingData" + id;
        }

    }

Ajax 21

加了特色标注之后,每次要是API里面的接口之前,程序会先上及我们override过之 OnAuthorization() 方法中,验证通过之后,才会上前至对应的方式中去实施,否则回401。

回到顶部

四、优化

 通过者的几步,基本就是会达我们怀念只要之身份验证的功效,但是接连觉得不顶有利,主要不绝方便之接触有以下几独。

  1. 老是新建一个API,对应的接口上面都要标注 [RequestAuthorize] 这个一个东西,感觉好烦。
  2. 历次发送ajax请求,都要于beforeSend事件之中加 XHR.setRequestHeader(‘Authorization’,
    ‘BasicAuth ‘ + Ticket); 这个,感觉吗累。
  3. 假设有些WebApi服务之一点方法,我们不思量以此证明,让它们可匿名用户征(比如我们的记名方法Login)。该怎么处理为。

至于以上两触及,我们优化下

回来顶部

1、解决API的问题

在API里面加一个公家的父类,在父类上面标注 [RequestAuthorize] 即可。

Ajax 22

namespace WebApiCORS.Controllers
{
    [RequestAuthorize]
    [EnableCors(origins: "*", headers: "*", methods: "*")]
    public class BaseApiController : ApiController
    {
    }
}

Ajax 23

Ajax 24

namespace WebApiCORS.Controllers
{
    public class ChargingController : BaseApiController
    {
        /// <summary>
        /// 得到所有数据
        /// </summary>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData()
        {
            return "Success";
        }

        /// <summary>
        /// 得到当前Id的所有数据
        /// </summary>
        /// <param name="id">参数Id</param>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData(string id)
        {
            return "ChargingData" + id;
        }
  }
}

Ajax 25

 注意:我们登录的伸手是不需要征的,因为登录的时光还尚未有票据,所以登录的API不可知延续 BaseApiController 

回去顶部

2、解决ajax的问题

还记得我们在 JS组件系列——封装好的JS组件,你吧足以 这首中介绍的长ajax的error事件之公物处理措施也?我们是不是为可以通过平等的机制去搭是啊。新建一个文本Jquery_ajax_extention.js

Ajax 26

(function ($) {
    //1.得到$.ajax的对象
    var _ajax = $.ajax;
    $.ajax = function (options) {
        //2.每次调用发送ajax请求的时候定义默认的error处理方法
        var fn = {
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                toastr.error(XMLHttpRequest.responseText, '错误消息', { closeButton: true, timeOut: 0, positionClass: 'toast-top-full-width' });
            },
            success: function (data, textStatus) { },
            beforeSend: function (XHR) { },
            complete: function (XHR, TS) { }
        }
        //3.扩展原生的$.ajax方法,返回最新的参数
        var _options = $.extend({}, {
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                fn.error(XMLHttpRequest, textStatus, errorThrown);
            },
            success: function (data, textStatus) {
                fn.success(data, textStatus);
            },
            beforeSend: function (XHR) {
                XHR.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);
                fn.beforeSend(XHR);
            },
            complete: function (XHR, TS) {
                fn.complete(XHR, TS);
            }
        }, options);
        //4.将最新的参数传回ajax对象
        _ajax(_options);
    };
})(jQuery);

Ajax 27

援这js后又发送ajax不必在每个请求的beforeSend里面写了。

回来顶部

3、解决突出不思用说明的办法

倘我们一点方法不思量采取验证,使得其可被匿名用户访问,我们得以当点子的地方加特性标注 [AllowAnonymous] ,申明该措施运行匿名访问。比如:

Ajax 28

  public class ChargingController : BaseApiController
    {
        /// <summary>
        /// 得到所有数据
        /// </summary>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData()
        {
            return "Success";
        }

        /// <summary>
        /// 得到当前Id的所有数据
        /// </summary>
        /// <param name="id">参数Id</param>
        /// <returns>返回数据</returns>
        [HttpGet]
        [AllowAnonymous]
        public string GetAllChargingData(string id)
        {
            return "ChargingData" + id;
        }
  }

Ajax 29

返顶部

五、总结

上述整合一个实例讲解了下Basic认证的实现原理和简单用,本文观点都是出自博主自己的晓,如果起不到家的地方,还向园友们斧正。

相关文章