一沙框架(YiShaAdmin) -WebAPI添加身份认证

最新推荐文章于 2024-05-29 07:00:00 发布
最新推荐文章于 2024-05-29 07:00:00 发布
阅读量4.6k 收藏 8
点赞数 1
分类专栏: YiShaAdmin 文章标签: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shiyiyuedeliuye/article/details/122263803
版权

记录YiShaAdmin webAPI站点添加身份认证功能。

Github 下载下来代码发现API身份认证功能貌似没有写完,所以补充这个功能。

没有身份认证时,不用输入token 可以任意调用api接口,显然不符合常理。

接下来进行改造,三步走:

  1. 设置Authorization header
  2. 修改AuthorizeFilterAttribute
  3. API接口授权

具体如下:

  1. 设置Authorization header

        StartUp.cs文件ConfigureServices方法增加如下代码

 

#region Auth
            //Bearer 的scheme定义
            var securityScheme = new OpenApiSecurityScheme()
            {
                Description = "JWT Authorization header using the  scheme. Example: \"Authorization: {token}\"",
                Name = "Authorization",
                In = ParameterLocation.Header,
                Type = SecuritySchemeType.ApiKey,
                Scheme = "",
                BearerFormat = "JWT"
            };
            var securityRequirement = new OpenApiSecurityRequirement
                        {
                        {
                                new OpenApiSecurityScheme
                                {
                                    Reference = new OpenApiReference
                                    {
                                        Type = ReferenceType.SecurityScheme,
                                        Id = "token"
                                    }
                                },
                                new string[] {}
                        }
                    };

 #endregion

        修改Swagger注入

	 services.AddSwaggerGen(options =>
	            {
	                var xmlPath = Path.Combine(AppContext.BaseDirectory, $"{Assembly.GetExecutingAssembly().GetName().Name}.xml");
	                options.SwaggerDoc("v1", new OpenApiInfo { Title = "YiSha Api", Version = "v1" });
	                options.IncludeXmlComments(xmlPath, true);
	
	                options.AddSecurityDefinition("token", securityScheme);
	                options.AddSecurityRequirement(securityRequirement);
	            });

        重新运行项目会发现Authorize在Swagger上已生效

2. 修改AuthorizeFilterAttribute 

AuthorizeFilterAttribute.cs文件添加如下代码

	private static readonly MenuAuthorizeBLL menuAuthorizeBLL = new MenuAuthorizeBLL();
        private static readonly MenuBLL menuBLL = new MenuBLL();

OnActionExecutionAsync方法在sw.Start();和sw.Stop();间修改代码如下:

	ActionExecutedContext resultContext = null;
	            string token = context.HttpContext.Request.Headers["Authorization"].ParseToString();
	
	            var actionName = context.ActionDescriptor.RouteValues["action"];
	
	            OperatorInfo user = await Operator.Instance.Current(token);
	            if (user != null)
	            {
	
	                #region 验证权限
	                var temp = await menuAuthorizeBLL.GetAuthorizeList(user);
	                // 获取当前请求的URL
	                var url = context.HttpContext.Request.Path.ToString();
	                var menu = menuBLL.GetEntity(url);
	                if (menu != null && menu.Result.Data != null)
	                {
	                    var menuid = menu.Result.Data.Id;
	                    var t = temp.Data.Where(w => w.MenuId == menuid).Any();
	                    if (t)
	                    {
	                        //有授权
	                    }
	                    else
	                    {
	                        //未授权
	                        //context.HttpContext.Response.StatusCode = 401;
	                        TData obj = new TData();
	                        obj.Tag = 0;
	                        obj.Message = "抱歉,您没有权限";
	                        context.Result = new JsonResult(obj);
	                        return;
	                    }
	                }
	                else
	                {
	                    //未授权
	                    //context.HttpContext.Response.StatusCode = 401;
	                    TData obj = new TData();
	                    obj.Tag = 0;
	                    obj.Message = "抱歉,您没有权限";
	                    context.Result = new JsonResult(obj);
	                    return;
	                }
	                #endregion
	       resultContext = await next();
	                // 根据传入的Token,设置CustomerId
	                if (context.ActionArguments != null && context.ActionArguments.Count > 0)
	                {
	                    PropertyInfo property = context.ActionArguments.FirstOrDefault().Value.GetType().GetProperty("Token");
	                    if (property != null)
	                    {
	                        property.SetValue(context.ActionArguments.FirstOrDefault().Value, token, null);
	                    }
	                    switch (context.HttpContext.Request.Method.ToUpper())
	                    {
	                        case "GET":
	                            break;
	
	                        case "POST":
	                            property = context.ActionArguments.FirstOrDefault().Value.GetType().GetProperty("CustomerId");
	                            if (property != null)
	                            {
	                                property.SetValue(context.ActionArguments.FirstOrDefault().Value, user.UserId, null);
	                            }
	                            break;
	                    }
	                }
	            }
	            else
	            {
	                if (IgnoreToken.Contains(actionName))
	                {
	                    resultContext = await next();
	                }
	                else
	                {
	                    context.HttpContext.Response.StatusCode = 401;
	                    return;
	                }
	
	            }

验证一下直接请求接口,返回401 符合预期

设置token后,再请求看看

 

         返回没有权限,接下来看看如何授权

3. API接口授权

        在菜单中添加API请求URL,然后授权该菜单到需要的角色,当用户的token请求时会解析当前token所属用户属于哪个角色,以及这个角色可访问哪些菜单,在AuthorizeFilter中检测当前请求的Url是否在该用户可访问的菜单中来验证用户是否有调用该API的权限

         添加菜单

        API授权给角色 

 再次请求接口,发现已可以正常请求到数据

最后,优化下授权页面

 新增菜单类型"API",菜单列表页添加API类型图标显示,如下图

 菜单“API清单”设置禁用状态,这样避免在左侧显示API链接。

至此,所有功能设置完毕。

源码地址:GitHub - 6Qiang/YiShaAdmin: 基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观。演示版 http://106.14.124.170/admin基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观。演示版 http://106.14.124.170/admin - GitHub - 6Qiang/YiShaAdmin: 基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观。演示版 http://106.14.124.170/adminhttps://github.com/6Qiang/YiShaAdmin/

 

6.Qiang
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
基于若依框架的二次开发_基于.NET CORE的精美后台管理系统-RuoYi C#
weixin_39884078的博客
12-01 3367
若依(RuoYi)是码云上一款精美的开源快速开发平台,作者毫无保留给个人及企业免费使用。RuoYi目前有三个版本:普通版本(RuoYi)、前后端分离版本(RuoYi-Vue)、微服务版本(RuoYi-Cloud)。.net的小伙伴们估计很羡慕JAVA的生态,现在.net core发展也很快,奈何生态完善不是一天二天的事情,比如微服务这块虽然有零散的解决方案,但是要拿出Spring Cloud这样的...
一沙C#框架 yishaadmin FindList() sql语句查询方法使用
gold_su的博客
05-08 1817
一沙MVC框架应用 数据查询功能,BaseRepository()中sql语句查询 sql语句分页查询方法:public async Task<(int total, IEnumerable<T> list)> FindList<T>(string strSql, Pagination pagination) where T : class 非sql的方法调用语句:await this.BaseRepository().FindList(expression, pa
【.Net Core】yisha框架,配置SQL SERVER数据库读写分离,及多库操作
MoFe1的博客
07-08 1144
【.Net Core】yisha框架,配置SQL SERVER数据库读写分离,及多库操作
YiShaAdmin:一款基于.NET Core Web + Bootstrap的企业级快速开发框架
最新发布
技术杂谈,聚焦优质文章、开源项目、实用工具和学习、工作、面试心得分享。博客园推荐博客、阿里云专家博主,擅长于C#、.NET、.NET Core、Golang、TypeScript、Vue、Uni App、Angular开发。
05-29 720
今天大姚给大家分享一款基于.NET Core Web + Bootstrap的企业级快速后台开发框架、权限管理系统,代码简单易懂、界面简洁美观(基于MIT License开源,免费可商用):YiShaAdminYiShaAdmin 基于.NET Core Web开发,借鉴了很多开源项目的优点,让你开发Web管理系统和移动端Api更简单,所以我也把她开源了。她可以用于所有的Web应用程序,例如网站管理后台、CMS、CRM、ERP、OA这类的系统和移动端Api
YiShaAdmin:基于.NET Core MVC的权限管理系统,代码易读易懂,界面简洁美观。演示版http:106.14.124.170admin
02-04
YiShaAdmin YiShaAdmin基于.NET Core Web开发,嵌入了很多开源项目的优点,让你开发Web管理系统和移动端Api更简单,所以我也把她开源了。她可以使用所有的Web应用程序,例如网站管理后台,CMS,CRM,ERP,OA类别的系统和移动端Api。如果对你有帮助,请帮忙给个star :) YiShaAdmin版本 .NET Core版本 是否支持 3.1(当前) 3.1 支持 2.2 2.2 支持(已发布) 内置功能 员工管理:员工是系统操作者,该功能主要完成系统用户配置 部门管理:配置系统组织机构(公司,部门,小组) 职位管理:配置系统用户所担任职务 文章中心
推荐项目:YiShaAdmin
gitblog_00005的博客
03-23 565
推荐项目:YiShaAdmin 项目地址:https://gitcode.com/liukuo362573/YiShaAdmin 简介 YiShaAdmin 是一个基于 .NET Core 技术栈的后台管理系统模板。它采用了现代化的前端框架 Vue.js 和 Element UI 来搭建用户界面,提供了丰富的后台管理功能,包括用户管理、角色管理、权限管理、部门管理等。同时,它还提供了一些常用的工具...
[开源项目] Net.Core -iShaAdmin 基于.NET Core Web开发
混迹自留地
02-25 1189
YiShaAdmin 是一款基于.NET Core Web + Bootstrap的企业级快速后台开发框架。内置模块如:用户管理、部门管理、菜单管理、角色权限设置、日志管理、新闻管理等。 在线定时任务配置;支持Sql Server、MySql和Oracle数据库(最后附上壁纸) YiShaAdmin 是一个开源的后台管理系统快速开发框架,基于.NET Core Web技术(ASP.NET Core Web,ASP.NET Core Web Api),主要目的让开发者专注业务, 降低技术难度,从而节省人力成本
YiShaAdmin常用
weixin_52182681的博客
06-16 2475
$("#paperType").ysComboBox({ url: "/Course/Course/GetListJson", key: "Id", value: "CourseName", class: "form-control" }) $("#marriage").ysComboBox({ data: top.getDataDict("IsOrNot"), key: "DictKey", value: "DictValue", clas.
eeh-webapi-auth:用于针对ASP.NET WebAPI 2进行身份验证的AngularJS模块
04-28
**eeh-webapi-auth** 是一个专为 **AngularJS** 应用程序设计的模块,其目的是简化与 **ASP.NET WebAPI 2** 的身份验证交互。这个模块为开发人员提供了一种方便的方式,以便在客户端(即浏览器中的AngularJS应用)与...
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
C#WebApi提供了多种身份验证方式,其中Basic认证是一种简单但实用的策略。本文将详细介绍Basic认证的原理及实现方法。 一、为什么需要身份认证 WebApi服务若无身份认证,任何知道接口URL的人都能通过HTTP请求...
asp.net基于JWT的web api身份验证及跨域调用实践
10-18
主要介绍了asp.net基于JWT的web api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Python-Flask的可浏览WebAPI一个强大的FlaskRESTful框架
08-10
**Python-Flask的可浏览WebAPI:一个强大的Flask RESTful框架** Flask是一个轻量级的Python Web开发框架,它以其灵活性和简洁性深受开发者喜爱。在Flask的基础上,为了实现更高效的RESTful API设计,我们可以使用...
yishaadmin报错,Sequence contains no elements:序列不包含元素
gold_su的博客
09-24 2574
我的代码: var list = await this.BaseRepository().FindList<EmployeeEntity>(sql); List < EmployeeEntity> srList = list.ToList(); return srList.First(); 连接数据库查询后,srList没有查询到数据, 因此 srList.First() 取集合第一个对象时就会出现这个异常, 解决方案: ...
IIS部署YiShaAdmin
南意的博客
04-24 1062
IIS部署YiShaAdmin背景要求和材料具体步骤效果 背景 作业 要求和材料 dotnet 2.2 IIS YiShaAdmin 具体步骤 下载dotnet,版本2.2 安装IIS 执行以下任意两个bat文件,打包发行YiShaAdmin 同级目录下生成以下两个文件,对Admin授予访问权限 打开IIS,创建网站,文件目录锁定至Admin 效果 ...
一沙框架(YiShaAdmin) -修改数据后回到起始页的解决办法
Shiyiyuedeliuye的专栏
01-12 2415
yishaadmin修改数据后回到起始页的解决办法,保持在修改前的页码,分页组件在修改数据后不返回到第一页
软件测试:IIS部署发布YiShaAdmin
热门推荐
qq_44459787的博客
04-23 1万+
- 第一步:IIS功能开启 [控制面板]->[程序与功能]->[启用或关闭Windows功能]。 确认开启之后,在浏览器url一栏输入localhost验证是否正确启用IIS。 - 第二步:YiShaAdmin环境配置 IDE选择 由于C盘容量限制,笔者选择使用VsCode来部署项目,事实上代码部分需要修改的是很少的,因此不会有很大的影响。 数据库选择 根据YiShaAdmin的官方文档给出的配置选择 ,笔者选择使用了之前使用过的Navicat for MySQL,版本满足5.7以上即
.NET-1.理论知识(历史介绍和了解)
joyyi9的博客
04-05 5806
理论知识 .Net 理论知识前言一、 .NET是开发平台1.**.NET是 .NET Framework、.NET Core、Xamarin/Mono的统称。**2、.NET Framework缺点3、.NET Core的优点4、.NET Standard类库5、.NET 开发工具6、常用的dotnet 命令行7、其他二、学习参考1. NuGet2. 异步编程3. lambda与LINQ3. 依赖注入总结 前言 请详细看官方文档 一、 .NET是开发平台 1..NET是 .NET Frame
simatic s7 s7-1200 webapi
11-09
Simatic S7 S7-1200 WebAPI是西门子公司推出的一种工业自动化控制系统。它基于WebAPI技术,提供了一种方便快捷的远程访问S7-1200系列PLC的途径。 首先,S7-1200系列PLC是一种可编程逻辑控制器,用于控制和监控工业过程和机器。它具备强大的处理能力和可靠性,广泛应用于制造业、自动化生产线和工业控制系统。 而WebAPI是一种基于HTTP协议的应用程序接口,用于通过互联网或局域网远程访问和使用Web服务。通过使用Simatic S7 S7-1200 WebAPI,用户可以在任何支持Web浏览器的设备上,如电脑、平板或手机,通过简单的浏览器界面就能够实时监控和操作S7-1200 PLC。 Simatic S7 S7-1200 WebAPI提供了一系列的API,用于实现对PLC的远程操作。用户可以通过编写和发送HTTP请求,来读取和写入PLC的变量和标签,调用PLC的函数以及获取PLC的状态和诊断信息。这使得用户可以方便地进行远程监控、调试和控制PLC,无需直接接触PLC设备。 Simatic S7 S7-1200 WebAPI还支持安全认证和加密传输,以确保数据的安全性和机密性。此外,它还提供了丰富的开发文档和示例代码,帮助开发人员更轻松地实现和集成系统。 总之,Simatic S7 S7-1200 WebAPI提供了一种方便、高效和安全的方式来远程访问和操作S7-1200系列PLC。它使得工程师和运维人员可以随时随地监控和控制PLC设备,提高了工作效率和生产质量。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值