ASP.NET Web api 身份认证原理解析

最新推荐文章于 2024-06-24 00:02:04 发布
最新推荐文章于 2024-06-24 00:02:04 发布
阅读量6k 收藏 9
点赞数
分类专栏: ASP.NET Web API 文章标签: asp.net web api api 身份认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WuLex/article/details/78059978
版权

类图:

这里写图片描述

TestController.cs

using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Web;
using System.Web.Http;
using System.Web.Security;
using WebApiAuthentication.Core;

namespace WebApiAuthentication.Controllers
{
    [RoutePrefix("Test")]
    public class TestController : ApiController
    {
        [Route("SignIn")]
        [HttpGet]
        public IHttpActionResult SignIn()
        {
            MyFormsAuthenticationTicket ticket = new MyFormsAuthenticationTicket(2, new Random().Next().ToString(), DateTime.Now, DateTime.Now.AddDays(1), true, "admin,张三");
            string encryptStr = MyFormsAuthentication.EncryptDES(JsonConvert.SerializeObject(ticket), "11111111");
            HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptStr);
            //cookie.HttpOnly = true;
            cookie.Secure = FormsAuthentication.RequireSSL;
            HttpContext context = HttpContext.Current;
            if (context == null)
                throw new InvalidOperationException();
            //  写入Cookie
            context.Response.Cookies.Remove(cookie.Name);
            context.Response.Cookies.Add(cookie);
            return Ok("登陆成功");
        }
        [Route("SignOut")]
        [HttpGet]
        [Authorize]
        public IHttpActionResult SignOut()
        {
            HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, "");
            cookie.Expires = DateTime.Now.AddDays(-1);
            HttpContext.Current.Response.Cookies.Add(cookie);
            return Ok("退出成功");
        }

        /// <summary>
        /// 测试是否登陆后可以访问
        /// </summary>
        /// <returns></returns>
        [Route("TestSuccess")]
        [HttpGet]
        [Authorize]
        public IHttpActionResult TestSuccess()
        {
            return Ok("访问成功");
        }
        /// <summary>
        /// 测试指定角色
        /// </summary>
        /// <returns></returns>
        [Route("TestRoles")]
        [HttpGet]
        [Authorize(Roles="找刘")]
        public IHttpActionResult TestRoles()
        {
            return Ok("访问成功");
        }
        /// <summary>
        /// 测试指定角色
        /// </summary>
        /// <returns></returns>
        [Route("TestZhangsan")]
        [HttpGet]
        [Authorize(Roles = "张三")]
        public IHttpActionResult TestZhangsan()
        {
            return Ok("访问成功");
        }
    }
}

MyFormsAuthenticationTicket.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Security;

namespace WebApiAuthentication.Core
{
    public class MyFormsAuthenticationTicket
    {
        public MyFormsAuthenticationTicket(int version, string name, DateTime issueDate, DateTime expiration, bool isPersistent, string userData)
        {
            this.Version = version;
            this.Name = name;
            this.Expiration = expiration;
            this.IssueDate = issueDate;
            this.IsPersistent = isPersistent;
            this.UserData = userData;
            this.CookiePath = FormsAuthentication.FormsCookiePath;
            DtNow = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ssss");
        }

        public string CookiePath { get; set; }

        public DateTime Expiration { get; set; }

        public bool Expired { get; set; }

        public bool IsPersistent { get; set; }

        public DateTime IssueDate { get; set; }

        public string Name { get; set; }

        public string UserData { get; set; }

        public int Version { get; set; }

        public string DtNow { get; set; }
    }
}

MyFormsAuthentication.cs

using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using System.Web;

namespace WebApiAuthentication.Core
{
    public static class MyFormsAuthentication
    {
        /// <summary>
        /// DES加密字符串
        /// </summary>
        /// <param name="encryptString">待加密的字符串</param>
        /// <param name="encryptKey">加密密钥,要求为8位</param>
        /// <returns>加密成功返回加密后的字符串,失败返回源串</returns>
        public static string EncryptDES(string encryptString, string key)
        {
            try
            {
                byte[] rgbKey = Encoding.UTF8.GetBytes(key);
                byte[] rgbIV = { 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF };
                byte[] inputByteArray = Encoding.UTF8.GetBytes(encryptString);
                DESCryptoServiceProvider dCSP = new DESCryptoServiceProvider();
                MemoryStream mStream = new MemoryStream();
                CryptoStream cStream = new CryptoStream(mStream, dCSP.CreateEncryptor(rgbKey, rgbIV), CryptoStreamMode.Write);
                cStream.Write(inputByteArray, 0, inputByteArray.Length);
                cStream.FlushFinalBlock();
                return Convert.ToBase64String(mStream.ToArray());
            }
            catch
            {
                return encryptString;
            }
        }

        /// <summary>
        /// DES解密字符串
        /// </summary>
        /// <param name="decryptString">待解密的字符串</param>
        /// <param name="key">解密密钥,要求8位</param>
        /// <returns></returns>
        public static string DecryptDES(string decryptString, string key)
        {
            try
            {
                //默认密钥向量
                byte[] Keys = { 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF };
                byte[] rgbKey = Encoding.UTF8.GetBytes(key);
                byte[] rgbIV = Keys;
                byte[] inputByteArray = Convert.FromBase64String(decryptString);
                DESCryptoServiceProvider DCSP = new DESCryptoServiceProvider();
                MemoryStream mStream = new MemoryStream();
                CryptoStream cStream = new CryptoStream(mStream, DCSP.CreateDecryptor(rgbKey, rgbIV), CryptoStreamMode.Write);
                cStream.Write(inputByteArray, 0, inputByteArray.Length);
                cStream.FlushFinalBlock();
                return Encoding.UTF8.GetString(mStream.ToArray());
            }
            catch
            {
                return decryptString;
            }
        }
    }
}

DecryptHttpMoudle.cs

using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Security;

namespace WebApiAuthentication.Core
{
    public class DecryptHttpMoudle : IHttpModule
    {
        public void Dispose()
        {

        }

        public void Init(HttpApplication context)
        {
            context.AuthenticateRequest += Context_AuthenticateRequest;
        }
        /// <summary>
        /// 替换HttpContext.Current.User实现
        /// </summary>
        /// <param name="sender"></param>
        /// <param name="e"></param>
        private void Context_AuthenticateRequest(object sender, EventArgs e)
        {
            var app = sender as HttpApplication;
            if (app == null)
            {
                app.Context.User = null;
                return;
            }
            var cookie = HttpContext.Current.Request.Headers.GetValues("Cookie");
            if (cookie == null)
            {
                app.Context.User = new MyPrincipal("",null);
                return;
            }
            if (cookie.Count() < 1)
            {
                app.Context.User = new MyPrincipal("", null);
                return;
            }
            MyFormsAuthenticationTicket ticket;
            try
            {
                //获取cookie值的另一种方式,特殊符号会被省略
                //var sdd = Request.Headers.GetCookies(FormsAuthentication.FormsCookieName).FirstOrDefault();
                //var value=sdd[FormsAuthentication.FormsCookieName].Value;
                string decryptStr = MyFormsAuthentication.DecryptDES(cookie[0].Substring(cookie[0].IndexOf('=') + 1), "11111111");
                ticket = JsonConvert.DeserializeObject<MyFormsAuthenticationTicket>(decryptStr);
            }
            catch (Exception)
            {
                app.Context.User = new MyPrincipal("", null);
                return;
            }
            if (ticket == null)
            {
                app.Context.User = new MyPrincipal("", null);
                return;
            }
            app.Context.User = new MyPrincipal(ticket.Name,ticket.UserData);
        }
    }
}

MyPrincipal.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Principal;
using System.Web;

namespace WebApiAuthentication.Core
{
    public class MyPrincipal : IPrincipal
    {
        private string[] m_roles;
        public MyPrincipal(string name,string roles)
        {
            if (!string.IsNullOrEmpty(roles)) {
                string[] rolesArr = roles.Split(',');
                m_roles = new string[rolesArr.Count()];
                for (int i = 0; i < rolesArr.Count(); i++)
                {
                    m_roles[i] = rolesArr[i];
                }
            }
            _identity = new MyIdentity(name);
        }

        private IIdentity _identity;

        public IIdentity Identity
        {
            get
            {
                return _identity;
            }
        }
        public bool IsInRole(string role)
        {
            if ((role == null) || (this.m_roles == null))
            {
                return false;
            }
            for (int i = 0; i < this.m_roles.Length; i++)
            {
                if ((this.m_roles[i] != null) && (string.Compare(this.m_roles[i], role, StringComparison.OrdinalIgnoreCase) == 0))
                {
                    return true;
                }
            }
            return false;
        }

    }
}

MyIdentity.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Principal;
using System.Web;

namespace WebApiAuthentication.Core
{
    public class MyIdentity : IIdentity
    {
        public MyIdentity(string name) {
            this.m_name = name;
            this.m_type = "";
        }
        private string m_type;
        private string m_name;
        public  string Name
        {
            get
            {
                return this.m_name;
            }
        }
        public bool IsAuthenticated
        {
            get
            {
                return !this.m_name.Equals("");
            }
        }
        public string AuthenticationType
        {
            get
            {
                return this.m_type;
            }
        }

    }
}

Web.config

<system.webServer>
    ...
    <!--配置文件里注册的HttpModules-->
    <modules>
      <add name="DecryptHttpMoudle" type="WebApiAuthentication.Core.DecryptHttpMoudle"/>
    </modules>
  </system.webServer>

运行结果如图:

这里写图片描述

这里写图片描述

这里写图片描述

这里写图片描述

这里写图片描述

.NET跨平台
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
剖析Asp.Net Web API路由系统---WebHost部署方式
10-20
本文将深入剖析Asp.Net Web API路由系统在WebHost部署时的工作原理。 首先,路由的注册是在`Application_Start`方法中完成的。例如,在提供的代码示例中,我们看到`GlobalConfiguration.Configuration.Routes....
Asp.Net WebAPI身份验证,授权/请求过滤,token验证,action过滤
u011511086的专栏
11-03 3808
AuthorizeAttribute过滤器执行顺序: 重写AuthorizeAttribute实现请求拦截 using System; using System.Collections.Generic; using System.Linq; using System.Net.Http; using System.Net.Http.Headers; using System.Web; using System.Web.Http; using System.Web.Http.Controllers; usin
Web APi之认证(Authentication)及授权(Authorization)【一】(十二)
weixin_34351321的博客
10-06 308
前言 无论是ASP.NET MVC还是Web API框架,在从请求到响应这一过程中对于请求信息的认证以及认证成功过后对于访问页面的授权是极其重要的,用两节来重点来讲述这二者,这一节首先讲述一下关于这二者的一些基本信息,下一节将通过实战以及不同的实现方式来加深对这二者深刻的认识,希望此文对你有所收获。 Identity Identity代表认证用户的身份,下面我们来看看此接口的定义 pu...
ASP.Net.WebAPI和工具PostMan
最新发布
星河队长
06-24 1193
WebAPI 是一种传统的方式,用于构建和暴露 RESTUI风格的Web服务。它提供了丰富的功能和灵活性,可以处理各种HTTP请求,并支持各种数据格式,如JSON、XML等。WebAPI使用控制器(Controllers)和动作方法(ActionMethods)的概念、通过路由配置将请求映射到相应的方法上。开发人员可以使用各种属性和过滤器来处理请求、控制访问权限、验证数据等。Postman是一款API测试和开发环境的软件,旨在简化API开发过程、测试和文档编制。
【转】在ASP.NET Web API 2中使用Owin基于Token令牌的身份验证
sinolover的专栏
01-27 1875
基于令牌的身份验证 基于令牌的身份验证主要区别于以前常用的基于cookie的身份验证,基于cookie的身份验证在B/S架构中使用比较多,但是在Web Api中因其特殊性,基于cookie的身份验证已经不适合了,因为并不是每一个调用api的客户端都是从浏览器发起,我们面临的客户端可能是手机、平板、或者app。 使用基于Token令牌的身份验证有一些好处: 服务器的可伸缩性:发送到服务器的令牌是自包含的,不依赖于共享会话存储 松散耦合:前端应用程序位于特定的身份验证机制耦合,令牌是从服务器生成的,并且
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
菜鸟的专栏
12-28 9942
C# ASP.NET Core Web API 身份授权(JWT)验证
ASP.NET Core Web API用户身份验证
lweiyue的专栏
05-07 4452
ASP.NET Core Web API用户身份验证的方法有很多,本文只介绍JWT方法。JWT实现了服务端无状态,在分布式服务、会话一致性、单点登录等方面凸显优势,不占用服务端资源。简单来说,JWT的验证过程如下所示:(1)通过用户名和密码获取一个Token。(2)访问API时,加上这个Token。Token包含过期时间、用户角色等信息,可以在多种场合灵活使用。
ASP.NET(C#) Web Api通过文件流下载文件的实例
10-22
ASP.NET(C#) Web API开发中,有时我们需要提供一个接口让用户能够下载服务器上的文件。这个实例将详细讲解如何利用文件流来实现文件的下载功能。首先,我们要理解Web API的基本原理,它是一个用于构建RESTful服务...
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
ASP.NET提供了多种认证机制,包括FORM身份验证、集成WINDOWS验证、Basic基础认证和Digest摘要认证。每种方式都有其适用场景,本文以Basic认证为例进行深入解析。 2. Basic认证原理: Basic认证通过加密用户信息...
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
webapi 身份验证DEMO
12-22
WebApiDemo是webapi摘要验证的demo
手把手教你AspNetCore WebApi认证与授权的方法
12-16
前言 这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的。 什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 什么是JWT Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧
ASP.NET Core Web API之Token验证
zls365365的博客
07-28 265
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。仅供学习分享使用,如有不足之处,还请指正。什么是JWT?JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JS...
Vue axios 前端 ASP.Net Core WebAPI 后台JWT Token 认证
yyshenxiang_1的博客
04-20 1238
Vue axios 前端 ASP.Net Core WebAPI 后台JWT Token 认证1、ASP.Net Core WebAPI JWT Token 认证2、Vue axios 访问3、总结 1、ASP.Net Core WebAPI JWT Token 认证 ASP.Net Core Web API 应用程序。 控制器: [Route("[controller]/[action]")] [ApiController] public class AuthControll
ASP.NET WebApi 实现Token验证
cxu123321的博客
05-29 2014
ASP.NET WebApi 实现Token验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗? 下面我们花个20分钟的时间来实现一个简单的WEB API token认...
ASP.NET WEBAPI 的身份验证和授权
weixin_33912638的博客
07-28 2039
定义 身份验证(Authentication):确定用户是谁。 授权(Authorization):确定用户能做什么,不能做什么。 身份验证 WebApi 假定身份验证发生在宿主程序称中。对于 web-hosting,宿主是 IIS。这种情况下使用 HTTP Module 进行验证。 验证时,宿主会创建一个表示安全上下文的主体对象(实现 IPrincipal),将它附加到当前线程。主体对...
ASP.NET Web API 2 深入解析与实战
2. **ASP.NET Web API 2架构**:涵盖控制器、路由配置、模型绑定、过滤器、异常处理等核心组件的工作原理和使用方法。 3. **数据序列化与反序列化**:如何将对象转换为JSON或XML,以及如何将接收到的数据反序列化为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值