Asp.Net WebApi Token验证 权限验证
原文地址 https://www.cnblogs.com/w5942066/p/12055542.html
作者 魏杨杨
1、前言
WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用。Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能。我上次写的《Asp.Net MVC WebAPI的创建与前台Jquery ajax后台HttpClient调用详解》这种跟明显安全性不是那么好,于是乎这个就来了 ,用户需要访问的API都必须带有票据过来,说白了就是登陆之后含有用户信息的Token。开始撸…
2、新建一个WebApi项目
在App_Start文件夹下面新建一个BaseApiController控制器,这是基础的Api控制器,后面有要验证的接口都继承这个控制器:
using LoginReqToken.Models;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Http;
using System.Web.Mvc;namespace LoginReqToken.App_Start
{/// 这个构造函数里主动加一个header头信息 ,因为每次访问的时候都要执行构造函数,在那边验证的时候都要从Header中取出来,计算出用户名 是否跟Session缓存的一致这样判断的
3、在建一个TokenCheckFilter.cs
继承AuthorizeAttribute重写基类的验证方式,重写HandleUnauthorizedRequest
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Text;
using System.Web;
using System.Web.Helpers;
using System.Web.Http;
using System.Web.Http.Controllers;
using System.Web.Security;
namespace LoginReqToken.App_Start
{/// 4、在WebApiConfig.cs配置文件里面修改一下路由加上/{action},这样就能调用到具体的哪一个了
config.Routes.MapHttpRoute(name: "testapi",//name 仅仅是名字routeTemplate: "utoapi/{controller}/{action}/{id}", //utoapi是路径和iis网站名字没有关系 test是控制器名字 getuser是方法名 {id}是可选参数 http://localhost:44300/MYAPI/test/Getuser?username=1&password=2defaults: new { id = RouteParameter.Optional });
Webapi默认是不支持Session的,所以我们需要在Global加载时候添加对Session的支持,在Global.asax里面重写Application_PostAuthorizeRequest,不然运行调用会直接异常
public class WebApiApplication : System.Web.HttpApplication{protected void Application_Start(){AreaRegistration.RegisterAllAreas();GlobalConfiguration.Configure(WebApiConfig.Register);FilterConfig.RegisterGlobalFilters(GlobalFilters.Filters);RouteConfig.RegisterRoutes(RouteTable.Routes);BundleConfig.RegisterBundles(BundleTable.Bundles);}/// 5、现在来写一个登陆和登录退出
新建一个控制器LoginController继承BaseApiController 里面写一个登陆的方法Login 登陆页面就直接在Home的index里面写一个简单的就行了这个控制器访问就不受限制了加上注解
public class LoginController :BaseApiController {[HttpGet]public object Login(string username,string password) {if (username=="SYS"&&password=="123") { //数据库验证,这边模拟验证FormsAuthenticationTicket token = new FormsAuthenticationTicket(0, username, DateTime.Now, DateTime.Now.AddHours(12), true, $"{username}&{password}", FormsAuthentication.FormsCookiePath);//返回登录结果、用户信息、用户验证票据信息var _token = FormsAuthentication.Encrypt(token);//将身份信息保存在session中,验证当前请求是否是有效请求LoginID = username;TokenValue = _token;HttpContext.Current.Session[LoginID] = _token; //Webapi默认是不支持Session的,所以我们需要在Global加载时候添加对Session的支持,在Global.asax里面重写Application_PostAuthorizeRequest,不然运行调用会直接异常return Json(new { ret = 1, data = _token, msg = "登录成功!" });} else {return Json(new { ret = 0, data = "", msg = "用户名密码错误" });}}[HttpGet]public object Loginout() {if (!string.IsNullOrEmpty(LoginID)) { HttpContext.Current.Session[LoginID] = ""; //Webapi默认是不支持Session的,所以我们需要在Global加载时候添加对Session的支持,在Global.asax里面重写Application_PostAuthorizeRequest,不然运行调用会直接异常LoginID = "";return Json(new { ret = 1, data = "", msg = "退出成功!" });} else {return Json(new { ret = 0, data = "", msg = "你还没登录呢!" });}}}
6、现在就可以写Api
都继承BaseApiController这个控制器的方法上面需要验证的都要加上验证的注解,我是整个控制都要就直接写在类上面了,随便写一个举举例子
public class AreaController : BaseApiController {[TokenCheckFilter]public object GetAllAreas() {if (System.DateTime.Now.Second%2==0) { return Json(new { ret = 0, data = "", msg = "秒数是偶数!" });} else {return Json(new { ret = 1, data = "", msg = "秒数是基数!" });}}}
这里贴一个调用的代码:
HttpClient bb = new HttpClient();//获取端口HttpContent httpContent = new StringContent("");httpContent.Headers.ContentType = new System.Net.Http.Headers.MediaTypeHeaderValue("application/json");var dl = bb.GetAsync("http://localhost:63828/api/Login/login?uName=admin&uPassword=admin888").Result.Content.ReadAsStringAsync().Result;var token = JsonConvert.DeserializeObject<Result>(dl);for (var i=0;i<100;i++){var ret = bb.GetAsync("http://localhost:63828/api/Cnblog/GetAllArtic").Result.Content.ReadAsStringAsync().Result;}
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!