AjaxC#进阶种类——WebApi 身份认证化解方案:Basic基础认证

阅读目录

  • 1、为啥须求身份验证
  • 二、Basic基础认证的规律分析
    • 1、常见的印证方式
    • 二、Basic基础认证原理
  • 三、Basic基础认证的代码示例
    • ①、登录进度
    • 2、/Home/Index主界面
    • 三、WebApiCOQX56S验证部分(重点)
  • 四、优化
    • 1、解决API的问题
    • 2、解决ajax的问题
    • 叁、解决卓绝不想利用表明的艺术
  • 五、总结

 

正文

 

 

一、为啥供给身份认证

在序言里面,大家说了,假若未有启用身份验证,那么别的匿名用户一旦通晓了笔者们服务的url,就能轻易走访我们的劳动接口,从而访问或改动数据库。

1、大家不加身份验证,匿名用户能够直接通过url随意走访接口:

Ajax 1

 

Ajax 2

可以见到,匿名用户间接通过url就能访问我们的数码接口,最后会生出什么样事,我们能够随便畅想。

二、扩大了身价验证之后,只有带了我们访问票据的呼吁才能访问大家的接口。

譬如说大家一向通过url访问,会重返401

 Ajax 3

 倘若是符合规律流程的伸手,带了单子,就OK了。

Ajax 4

可以看到,平常流程的呼吁,会在央求报文的头里面扩大Authorization那1项,它的值正是我们的Ticket票据音信。

回来顶部

二、Basic基础认证的规律分析

重临顶部

一、常见的认证格局

我们了然,asp.net的验证机制有很五种。对于WebApi也不例外,常见的印证情势有

  • FOSportageM身份验证
  • 集成WINDOWS验证
  • Basic基础认证
  • Digest摘要认证

园子里很多关于WebApi认证的稿子,各类评释方法都会涉嫌到,但感到都不够细。那里也并不想去商量哪类评释方式适用哪一种选取境况,因为博主照旧觉得“贪多嚼不烂”,也恐怕是博主能力所限。对于注脚机制,弄懂当中1种,其余的都能融会贯通。此篇就选拔Basic基础认证来详细讲解下一切的历程。

归来顶部

2、Basic基础认证原理

Ajax, 大家知道,认证的意在安全,那么哪些能确认保障卫安全全啊?常用的伎俩自然是加密。Basic认证也不例外,首要原理正是加密用户音讯,生成票据,每一趟请求的时候将票据带过来验证。那样说恐怕有点抽象,大家详细解释种种步骤:

  1. 先是登陆的时候证实用户名、密码,假如登十分之六功,则将用户名、密码遵照一定的规则变特别密的票子音信Ticket,将票据消息重返到前者。
  2. 假定登6成功,前端会接到票据消息,然后跳转到主界面,并且将票据音讯也带到主界面包车型客车ActionResult里面(例如跳转的url能够如此写:/Home/Index?Ticket=Ticket)
  3. 在主界面包车型大巴ActionResult里面通过参数得到票据消息Ticket,然后将Ticket新闻保存到ViewBag里面传出前端。
  4. 在主界面包车型客车前端,发送Ajax请求的时候将票据音讯加入到请求的Head里面,将票据音讯随着请求一起发送到服务端去。
  5. 在WebApi服务之中定义一个类,继承AuthorizeAttribute类,然后重写父类的OnAuthorization方法,在OnAuthorization方法里面取到当前http请求的Head,从Head里面取到大家前端传过来的票证新闻。解密票据音讯,从解密的消息里面得到用户名和密码,然后验证用户名和密码是不是科学。若是没有错,表示验证通过,不然再次回到未表明的呼吁40壹。

 那当中央的规律。下边就根据这一个原理来看看每一步的代码怎么样促成。

重回顶部

三、Basic基础认证的代码示例

率先说下大家的言传身教场景,上次介绍 CORS 的时候大家在一个缓解方案里面放了八个品种Web和WebApiCO凯雷德S,我们此番照旧以那些为例来表达。

回来顶部

一、登录进度

1.1、Web前端

Ajax 5

<body>
    <div style="text-align:center;"> 
        <div>用户名:<input type="text" id="txt_username" /></div>
        <div>密  码:<input type="password" id="txt_password"  /></div>
        <div><input type="button" value="登录" id="btn_login" class="btn-default" /></div>
    </div>
</body>

Ajax 6

Ajax 7

$(function () {
    $("#btn_login").click(function () {
        $.ajax({
            type: "get",
            url: "http://localhost:27221/api/User/Login",
            data: { strUser: $("#txt_username").val(), strPwd: $("#txt_password").val() },
            success: function (data, status) {
                if (status == "success") {
                    if (!data.bRes){
                        alert("登录失败");
                        return;
                    }
                    alert("登录成功");             //登录成功之后将用户名和用户票据带到主界面
                    window.location = "/Home/Index?UserName=" + data.UserName + "&Ticket=" + data.Ticket;
                }
            },
            error: function (e) {
            },
            complete: function () {

            }

        });
    });
});

Ajax 8

1.2、登录的API接口

Ajax 9

   public class UserController : ApiController
    {
        /// <summary>
        /// 用户登录
        /// </summary>
        /// <param name="strUser"></param>
        /// <param name="strPwd"></param>
        /// <returns></returns>
        [HttpGet]
        public object Login(string strUser, string strPwd)
        {
            if (!ValidateUser(strUser, strPwd))
            {
                return new { bRes = false };
            }
            FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateTime.Now,
                            DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", strUser, strPwd),
                            FormsAuthentication.FormsCookiePath);
            //返回登录结果、用户信息、用户验证票据信息
            var oUser = new UserInfo { bRes = true, UserName = strUser, Password = strPwd, Ticket = FormsAuthentication.Encrypt(ticket) };
            //将身份信息保存在session中,验证当前请求是否是有效请求
            HttpContext.Current.Session[strUser] = oUser;
            return oUser;
        }

        //校验用户名密码(正式环境中应该是数据库校验)
        private bool ValidateUser(string strUser, string strPwd)
        {
            if (strUser == "admin" && strPwd == "123456")
            {
                return true;
            }
            else
            {
                return false;
            }
        }
    }

    public class UserInfo
    {
        public bool bRes { get; set; }

        public string UserName { get; set; }

        public string Password { get; set; }

        public string Ticket { get; set; }
    }

Ajax 10

那边有1些索要留意的是,因为WebApi默许是一直不开启Session的,所以须求大家作一下配置,手动去启用session。怎么样打开WebApi里面包车型地铁Session,请参见:http://www.cnblogs.com/tinya/p/4563641.html

正如上边包车型地铁原理部分说的,登录若是退步,则一向再次来到;如果成功,则将扭转的票子Ticket带到前者,传到主界面/Home/Index,上面,大家就来探望主界面Home/Index。

回到顶部

2、/Home/Index主界面

Ajax 11

   public class HomeController : Controller
    {
        // GET: Home
        public ActionResult Index(string UserName, string Ticket)
        {
            ViewBag.UserName = UserName;
            ViewBag.Ticket = Ticket;
            return View();
        }
    }

Ajax 12

Ajax 13

<html>
<head>
    <meta name="viewport" content="width=device-width" />
    <title>Index</title>
    <script src="~/Content/jquery-1.9.1.js"></script>
    <link href="~/Content/bootstrap/css/bootstrap.css" rel="stylesheet" />
    <script src="~/Content/bootstrap/js/bootstrap.js"></script>
    <script src="~/Scripts/Home/Index.js"></script>
    <script type="text/javascript">
        //打开页面的时候保存票据信息
        var UserName = '@ViewBag.UserName';
        var Ticket = '@ViewBag.Ticket';
    </script>
</head>
<body>
    <div>当前登录用户:'@ViewBag.UserName'</div>

    <div id="div_test">

    </div>
</body>
</html>

Ajax 14

Ajax 15

$(function () {
    $.ajax({
        type: "get",
        url: "http://localhost:27221/api/Charging/GetAllChargingData",
        data: {},
        beforeSend: function (XHR) {
            //发送ajax请求之前向http的head里面加入验证信息
            XHR.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);
        },
        success: function (data, status) {
            if (status == "success") {
                $("#div_test").html(data);
            }
        },
        error: function (e) {
            $("#div_test").html("Error");
        },
        complete: function () {

        }

    });
});

Ajax 16

此地必要验证的是,我们在出殡和埋葬ajax请求从前,通过 XH君越.setRequestHeader(‘Authorization’, ‘BasicAuth ‘
+
Ticket); 这一句向请求的报文头里面扩充票据音信。正是因为那边加了这一句,所以才有大家下图中的红线部分:

Ajax 17

回到顶部

叁、WebApiCOLANDS验证部分(重点)

我们看来,上边包车型客车/Home/Index页面里面发送了ajax请求去拜访服务的 http://localhost:27221/api/Charging/GetAllChargingData 那几个接口,那么大家在WebApi里面怎么去注脚那几个请求和法定的伸手呢?接下去大家首要看看验证的这一个历程。

三.1、在WebApiCOQX56S项目里面自定义3个类RequestAuthorizeAttribute,去继续大家的AuthorizeAttribute那个类。然后重写OnAuthorization方法,在这一个措施里面取到请求头的Ticket音讯,然后校验用户名密码是不是合理。

Ajax 18

   /// <summary>
    /// 自定义此特性用于接口的身份验证
    /// </summary>
    public class RequestAuthorizeAttribute : AuthorizeAttribute
    {
        //重写基类的验证方式,加入我们自定义的Ticket验证
        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            //从http请求的头里面获取身份验证信息,验证是否是请求发起方的ticket
            var authorization = actionContext.Request.Headers.Authorization;
            if ((authorization != null) && (authorization.Parameter != null))
            {
                //解密用户ticket,并校验用户名密码是否匹配
                var encryptTicket = authorization.Parameter;
                if (ValidateTicket(encryptTicket))
                {
                    base.IsAuthorized(actionContext);
                }
                else
                {
                    HandleUnauthorizedRequest(actionContext);
                }
            }
            //如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401
            else
            {
                var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
                bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
                if (isAnonymous) base.OnAuthorization(actionContext);
                else HandleUnauthorizedRequest(actionContext);
            }
        }

        //校验用户名密码(正式环境中应该是数据库校验)
        private bool ValidateTicket(string encryptTicket)
        {
            //解密Ticket
            var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData;

            //从Ticket里面获取用户名和密码
            var index = strTicket.IndexOf("&");
            string strUser = strTicket.Substring(0, index);
            string strPwd = strTicket.Substring(index + 1);

            if (strUser == "admin" && strPwd == "123456")
            {
                return true;
            }
            else
            {
                return false;
            }
        }
    }

Ajax 19

叁.贰、在具体的Api接口扩张大家地点自定义类的风味

Ajax 20

    [RequestAuthorize]
    public class ChargingController : ApiController
    {
        /// <summary>
        /// 得到所有数据
        /// </summary>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData()
        {
            return "Success";
        }

        /// <summary>
        /// 得到当前Id的所有数据
        /// </summary>
        /// <param name="id">参数Id</param>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData(string id)
        {
            return "ChargingData" + id;
        }

    }

Ajax 21

充实了特色标注之后,每一次请求那个API里面包车型地铁接口以前,程序会先进入到大家override过的 OnAuthorization() 方法里面,验证通过之后,才会进到相应的不二诀要里面去执行,不然再次回到40一。

归来顶部

四、优化

 通过地方的几步,基本就能达到规定的标准大家想要的地位评释的坚守,可是接连感到不太方便,首要不太方便的点有以下多少个。

  1. 历次新建贰个API,对应的接口上边都要标注 [RequestAuthorize] 这么些八个东西,感觉好辛劳。
  2. 历次发送ajax请求,都要在beforeSend事件之中加 XHCR-V.setRequestHeader(‘Authorization’,
    ‘BasicAuth ‘ + Ticket); 那个,感觉也麻烦。
  3. 假若有个别WebApi服务的有个别方法,大家不想使用这一个注明,让它能够匿名用户验证(比如大家的报到方法Login)。该怎么处理呢。

至于以上两点,大家优化下

回来顶部

1、解决API的问题

在API里面加1个公共的父类,在父类上边标注 [RequestAuthorize] 即可。

Ajax 22

namespace WebApiCORS.Controllers
{
    [RequestAuthorize]
    [EnableCors(origins: "*", headers: "*", methods: "*")]
    public class BaseApiController : ApiController
    {
    }
}

Ajax 23

Ajax 24

namespace WebApiCORS.Controllers
{
    public class ChargingController : BaseApiController
    {
        /// <summary>
        /// 得到所有数据
        /// </summary>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData()
        {
            return "Success";
        }

        /// <summary>
        /// 得到当前Id的所有数据
        /// </summary>
        /// <param name="id">参数Id</param>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData(string id)
        {
            return "ChargingData" + id;
        }
  }
}

Ajax 25

 注意:大家登录的呼吁是不必要证实的,因为登录的时候还并未有发生票据,所以登录的API不能继续 BaseApiController 

回来顶部

2、解决ajax的问题

还记得大家在 JS组件类别——封装自身的JS组件,你也能够 那篇里面介绍的增多ajax的error事件的国有处理方法吧?大家是还是不是也足以经过一样的编写制定去充实那么些呢。新建三个文书Jquery_ajax_extention.js

Ajax 26

(function ($) {
    //1.得到$.ajax的对象
    var _ajax = $.ajax;
    $.ajax = function (options) {
        //2.每次调用发送ajax请求的时候定义默认的error处理方法
        var fn = {
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                toastr.error(XMLHttpRequest.responseText, '错误消息', { closeButton: true, timeOut: 0, positionClass: 'toast-top-full-width' });
            },
            success: function (data, textStatus) { },
            beforeSend: function (XHR) { },
            complete: function (XHR, TS) { }
        }
        //3.扩展原生的$.ajax方法,返回最新的参数
        var _options = $.extend({}, {
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                fn.error(XMLHttpRequest, textStatus, errorThrown);
            },
            success: function (data, textStatus) {
                fn.success(data, textStatus);
            },
            beforeSend: function (XHR) {
                XHR.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);
                fn.beforeSend(XHR);
            },
            complete: function (XHR, TS) {
                fn.complete(XHR, TS);
            }
        }, options);
        //4.将最新的参数传回ajax对象
        _ajax(_options);
    };
})(jQuery);

Ajax 27

引用那一个js后再发送ajax不必在种种请求的beforeSend里面写了。

回去顶部

三、化解特殊不想行使验证的法子

1旦大家壹些方法不想行使验证,使得它能够让匿名用户访问,大家得以在点子的上边加个性标注 [AllowAnonymous] ,阐明该措施运营匿名访问。比如:

Ajax 28

  public class ChargingController : BaseApiController
    {
        /// <summary>
        /// 得到所有数据
        /// </summary>
        /// <returns>返回数据</returns>
        [HttpGet]
        public string GetAllChargingData()
        {
            return "Success";
        }

        /// <summary>
        /// 得到当前Id的所有数据
        /// </summary>
        /// <param name="id">参数Id</param>
        /// <returns>返回数据</returns>
        [HttpGet]
        [AllowAnonymous]
        public string GetAllChargingData(string id)
        {
            return "ChargingData" + id;
        }
  }

Ajax 29

再次回到顶部

五、总结

以上整合二个实例讲解了下Basic认证的落成原理以及简单利用,本文观点都以出自博主本人的精通,假使有不周详的地点,还望园友们斧正。

相关文章