ajax的AntiForgery和Authorize 以及ajax登录例子

最新推荐文章于 2024-01-04 10:04:31 发布
最新推荐文章于 2024-01-04 10:04:31 发布
阅读量3.1k 收藏 1
点赞数 2
分类专栏: NET-MVC c# javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ashcn2001/article/details/53409256
版权
NET-MVC 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
c#
11 篇文章 0 订阅
订阅专栏
javascript
6 篇文章 0 订阅
订阅专栏

现有的mvc无法用无刷的形式来对数据进行验证 特别是对于ajax 进行数据访问,如果是机密信息则有很大的风险。现在可以用自定义attribute的方法来加入针对数据信息验证。

针对AntiForgery的验证方法

attrbute属性的定义

    [AttributeUsage(AttributeTargets.Class)]
    public class ValidateAntiForgeryTokenOnAllPosts : AuthorizeAttribute
        {
            public override void OnAuthorization(AuthorizationContext filterContext)
            {
                var request = filterContext.HttpContext.Request;

            //  Only validate POSTs
            if (request.HttpMethod == WebRequestMethods.Http.Post)
            {
                //  Ajax POSTs and normal form posts have to be treated differently when it comes
                //  to validating the AntiForgeryToken
                if (request.IsAjaxRequest())
                {
                    var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                    var cookieValue = antiForgeryCookie != null
                        ? antiForgeryCookie.Value
                        : null;

                    try {

                        AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
                    }
                    catch (Exception e) { 
                    //filterContext.Result = new RedirectResult("/Account/Login?returnUrl=" +
                    // HttpUtility.UrlEncode(filterContext.HttpContext.Request.Url.ToString()));

                    ContentResult result = new ContentResult();
                    result.Content = "<div style='text-align:center;padding:1em;' >当前已经处于退出状态,请重新登录</div>";
                    filterContext.Result = result;

                    }
                }
                else
                {
                    new ValidateAntiForgeryTokenAttribute()
                        .OnAuthorization(filterContext);
                }
            }
            else {
                throw new Exception("没有权限");
                //base.HandleUnauthorizedRequest(filterContext);
            }
            }
    }

或者这里有令外一个替代方法用来备选,本质上是一样的 (备选)

    public class ExtendedValidateAntiForgeryToken : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            if (request.HttpMethod != WebRequestMethods.Http.Post) return;
            if (request.IsAjaxRequest())
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
                //从cookies 和 Headers 中 验证防伪标记  
                //这里可以加try-catch  
                    try {

                        AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
                    }
                    catch (Exception e) { 
                    //filterContext.Result = new RedirectResult("/Account/Login?returnUrl=" +
                    // HttpUtility.UrlEncode(filterContext.HttpContext.Request.Url.ToString()));

                    ContentResult result = new ContentResult();
                    result.Content = "<div style='text-align:center;padding:1em;' >当前已经处于退出状态,请重新登录</div>";
                    filterContext.Result = result;

                    }
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);
            }
        }
    }

使用方法为
客户端 cshtml里面需要用js来发送post数据到服务器。

 //获取防伪标记
    var token = $('@Html.AntiForgeryToken()').val();
    @*var token = $("[name='__RequestVerificationToken']").val();*@
        var headers = {};
        //防伪标记放入headers
        //也可以将防伪标记放入data
        headers["__RequestVerificationToken"] = token;
        $(document).on("click", ".nav-tabs a", function (e) {

            if ($(this).parent().parent().hasClass("nav")) {
                $(".nav-tabs li").removeClass("active");
                $(this).parent().addClass("active");
            }
           e.preventDefault();
            //alert($(this).attr("href"));
        $.ajax({
            type: 'POST',
            url: $(this).attr("href"),
            cache: false,
            headers: headers,
            data: {},
            beforeSend: function () {
                $("#myTabContent").html("正在索取数据");
            },

            success: function (data) {
                //alert(data)
                $("#myTabContent").html(data);
            },
            error: function (data) {
                $("#myTabContent").html(data);
            }
        });


    })

服务器端则可以使用
因为是在class上使用的属性 所以

 [HealthCareCore.ValidateAntiForgeryTokenOnAllPosts]
 public class AJAXController : Controller
 {
    public ActionResult Order(string tabName)
        {
            IQueryable<nongfuEntityframework.Info> quene = db.Info;
            Regex reg = new Regex(@"page=.{1,}?(&|$)");//获取page的页数 
            var url = reg.Replace(Request.QueryString.ToString(), "");
            switch (tabName)
            {
                case "allOrder":
                      return PartialView("Order_tab", quene);
                case "notPaid":
                    quene= quene.Where(m => m.pay_status == 0);
                    return PartialView("Order_tab", quene);
            }
            return View();
        }
   }

如何对登陆信息进行验证呢,这里可以使用

针对Authorize的验证方法

attribute属性的定义

 public class AjaxAuthorizeAttribute : AuthorizeAttribute
    {
        protected override void HandleUnauthorizedRequest(AuthorizationContext context)
        {
            if (context.HttpContext.Request.IsAjaxRequest())
            {
                var urlHelper = new UrlHelper(context.RequestContext);
                context.HttpContext.Response.StatusCode = 403;
                context.Result = new JsonResult
                {
                    Data = new
                    {
                        Error = "NotAuthorized",
                        LogOnUrl = urlHelper.Action("LogOn", "Account")
                    },
                    JsonRequestBehavior = JsonRequestBehavior.AllowGet
                };
            }
            else
            {
                base.HandleUnauthorizedRequest(context);
                //throw new Exception("No enough right");
            }
        }
    }

客户端cshtml的使用

  $(function()
    {
        $(document).ajaxError(function(e, xhr) {
            if (xhr.status == 403)
            {
                var response = $.parseJSON(xhr.responseText);
                window.location = response.LogOnUrl;
            }
        });
    });

服务器端的使用
在action上面加上[AjaxAuthorize]

服务器上ajax登录

在mvc当中我们使用jquery的ajax向服务器发送登录信息捎带手当然我们必须使用ValidateAntiForgeryToken来做方位认证,当然这里还有个问题,那就是我们用ajax所发出的数据是透明的,实际上在截获的发送数据中我们的用户名和密码都是明文的

使用ajax登录的技术为
ajax发送数据(带有用户名密码和forgerytoken)->
服务器进行登录,mvc内置的登陆中回想response写入登录cookie->
ajax接收相关登录成功信息,并自动从返回的信息中把cookie写到客户端

[HttpPost]
[ExtendedValidateAntiForgeryToken]
public ActionResult Login(LoginInfo model){
    if(登录成功){
         var httpCookie = System.Web.HttpContext.Current.Response.Cookies[key];
         if (httpCookie == null) return;
        httpCookie.Value = value;
        httpCookie.Expires = expires;
        return Json(登录成功!);
    }else{
        return Json(登录失败了!);
    }
}

综合演示
cshtml端

<!DOCTYPE html>
@{ 
    Layout = null;
}
<html>
<head>
    <title>Ajax Login</title>
</head>
<body>
   username: @ViewBag.username
    <div class="container">
        <form id="login-form" action="#" method="POST">
            @*生成防伪标记*@
            @Html.AntiForgeryToken()
            <div class="controls">
                <label for="userName">用户名:</label>
                <input type="text" name="userName" id="userName" placeholder="用户名" value="@ViewBag.UserName" />
            </div>
            <div class="controls">
                <label for="password">密 码:</label>
                <input type="password" name="password" id="password" placeholder="密码" />
            </div>
            <div class="controls">
                <input type="checkbox" name="rememberMe" id="rememberMe" />
                <label for="rememberMe">记住我?</label>
            </div>
            <input type="submit" value="登录" class="btn" />
        </form>
    </div>
    <script src="~/Scripts/jquery-1.10.2.js"></script>
    <script src="~/Scripts/jquery.validate.js"></script>

</body>
</html>  
<script>

        $("#login-form").validate({
            rules: {
                userName: {
                    required: true,
                },
                password: {
                    required: true,
                    rangelength: [8, 20]
                }
            },
            messages: {
                userName: "请输入用户名!",
                password: {
                    required: "请输入密码!",
                    rangelength: "请输入{0}到{1}之间的密码!"
                }
            }, submitHandler: function (form) {
                //获取防伪标记
                var token = $('input[name=__RequestVerificationToken]').val();
                var headers = {};
                headers["__RequestVerificationToken"] = token;
                var params = $(form).serialize();
                $.ajax({
                    type: "POST",
                    url: "Login",
                    data: params,
                    headers: headers,
                    success: function (result) {
                        alert(result.msg);
                    },
                    error: function () {
                        alert("Error");
                    }
                });
            }
        });
</script>

accountcontroller.cs

using System;  
using System.Collections.Generic;  
using System.Linq;  
using System.Net;  
using System.Web.Helpers;  
using System.Web.Mvc;  
using MvcAjaxDemo.Models;  

namespace MvcAjaxDemo.Controllers
{
    public class AccountController : Controller
    {
        //  
        // GET: /Account/Login  
        public ActionResult Login()
        {
            ViewBag.UserName = Retrieve("UserName");

            return View();
        }

        [HttpPost]
        [ExtendedValidateAntiForgeryToken]
        public ActionResult Login(LoginInfo model)
        {
            //是否为Ajax请求  
            if (!Request.IsAjaxRequest())
                return View();
            if (model.UserName == null)
                return Json(GetResult(false, "用户名为空!", null));
            //根据用户名获取用户  
            var user = UserService.GetUsers().SingleOrDefault(p => p.LoginName == model.UserName);

            if (user == null)
                return Json(GetResult(false, "用户名或密码错误!", null));
            //验证密码  
            if (user.Password != model.Password)
                return Json(GetResult(false, "用户名或密码错误!", null));

            if (!string.IsNullOrWhiteSpace(model.RememberMe))
            {
                //保存帐户登录名  
                Save("UserName", model.UserName, DateTime.Now.AddDays(2));
            }

            return Json(GetResult(false, "登录成功!", null));

        }

        #region 辅助方法  
        /// <summary>  
        /// 获取结果集  
        /// </summary>  
        /// <param name="rel">状态</param>  
        /// <param name="msg">提示信息</param>  
        /// <param name="data">数据集</param>  
        /// <returns></returns>  
        public static object GetResult(bool rel, string msg, object data)
        {
            return new Dictionary<string, object> { { "rel", rel }, { "msg", msg }, { "obj", data } };
        }

        /// <summary>  
        /// 保存Cookie  
        /// </summary>  
        /// <param name="key"></param>  
        /// <param name="value"></param>  
        /// <param name="expires">过期时间</param>  
        public void Save(string key, string value, DateTime expires)
        {
            var httpCookie = System.Web.HttpContext.Current.Response.Cookies[key];
            if (httpCookie == null) return;
            httpCookie.Value = value;
            httpCookie.Expires = expires;
        }
        /// <summary>  
        /// 检索Cookie  
        /// </summary>  
        /// <param name="key"></param>  
        /// <returns></returns>  
        public string Retrieve(string key)
        {
            var cookie = System.Web.HttpContext.Current.Request.Cookies[key];
            return cookie != null ? cookie.Value : "";
        }
        #endregion
    }


    #region 防止CSRF攻击特性  
    /// <summary>  
    /// 防止CSRF攻击特性  
    /// </summary>  
    public class ExtendedValidateAntiForgeryToken : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            if (request.HttpMethod != WebRequestMethods.Http.Post) return;
            if (request.IsAjaxRequest())
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
                //从cookies 和 Headers 中 验证防伪标记  
                //这里可以加try-catch  
                AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);
            }
        }
    }
    #endregion

    //Model  
    public class User
    {
        public int Id { get; set; }
        public string LoginName { get; set; }
        public string Password { get; set; }
    }


    public class UserService
    {
        public static IList<User> GetUsers()
        {
            return new List<User>
            {
                new User
                {
                    Id=1,
                    LoginName = "admin",
                    Password = "admin1234"
                }
            };
        }
    }
}
namespace MvcAjaxDemo.Models
{
    public class LoginInfo
    {
        /// <summary>  
        /// 用户名  
        /// </summary>  
        public string UserName { get; set; }
        /// <summary>  
        /// 密码  
        /// </summary>  
        public string Password { get; set; }
        /// <summary>  
        /// 记住我?  
        /// </summary>  
        public string RememberMe { get; set; }
    }
}
ashcn2001
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ajax authorization,jquery ajax 添加自定义请求头 - Authorization 字段.txt
weixin_42344395的博客
08-06 1956
jquery ajax 添加自定义请求头 - Authorization 字段.txt参考:https://www.cnblogs.com/yanggb/p/12039665.htmlhttps://www.w3school.com.cn/jquery/ajax_ajax.asphttps://www.cnblogs.com/winyh/p/6405437.html0.tokenlet token...
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9422
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
浅谈AJAX
m0_57923701的博客
09-28 315
Ajax介绍 AJAX是异步的JavaScript和XML(Asynchronous JavaScript And XML)。简单点说,就是使用浏览器内置对象 XMLHttpRequest 与服务器通信。 可以使用JSON,XML,HTML和text文本等格式发送和接收数据。 Ajax的应用场景 搜索建议提示 地图 验证用户名是否存在 网页聊天室 无刷新的分页 总之,在不刷新页面的情况下,还要完成页面和服务器的数据交互,都可以使用Ajax GET和POST请求方式 当使用浏览器和服务器
ajax 请求头Authorization 添加账号密码访问
Mr-k的博客
11-09 2491
在header中添加 "Authorization"字段,值为 "[api_key]:[api_secret]"进行base64加密后。在前面加入"Basic "(Basic后有空格)字符串。最后形式为"Basic xxxxx",'xxxx'为base64后的字符串。
ajax authorization,ajax跨域,_ajax Authorization 鉴权失败,ajax跨域 - phpStudy
weixin_36160690的博客
08-06 650
ajax Authorization 鉴权失败$.ajax({type: "get",url: "http://example.com.cn/api/api/web/v3/user/login?password=e52d6ad8a22e93a6760df02fc764f8c9&username=15700153240",dataType: "jsonp",jsonp: "callback"...
$.ajax ,ajax请求添加请求头,添加Authorization字段
aisu4981的博客
03-08 6821
beforeSend : function(request) { request.setRequestHeader("Authorization", sessionStorage.getItem("Authorization")); }, 转载于:https://www.cnblogs.com/jack-zou/p/8527024.html
ajax 实现微信网页授权登录的方法
10-18
总之,通过Ajax实现微信网页授权登录,需要前端和后端协同工作,前端引导用户授权并获取code,后端通过code换取用户信息,最后将信息返回给前端。这种方式在前后端分离的项目中特别有用,确保了用户体验的连续性。...
spring security ajax请求与html共存
03-23
为了区分Ajax和非Ajax请求,我们可以使用`@Secured`或`@PreAuthorize`注解,或者自定义访问决策管理器。 3. **配置Ajax支持** 在Spring Security配置中,我们需要确保Ajax请求不会因为没有适当的HTTP头而被拒绝。...
h5和微信授权头像,jq封装ajax源码
10-02
它提供了许多增强用户体验的新特性,包括离线存储、拖放功能、媒体元素、 canvas 绘图以及Geolocation定位等。而微信作为中国最受欢迎的社交平台之一,其开放平台API为开发者提供了丰富的接口,其中包括用户授权获取...
Asp.net Mvc Authorize 详细说明.docx
07-27
3. 接下来,`AuthorizeCore`方法会被调用,检查当前登录用户的用户名和角色是否在`[Authorize]`注解中指定的范围内。 4. 如果验证通过,请求将继续并执行目标操作。否则,系统会根据`web.config`中的身份验证设置...
Spring Boot和Spring Security应用例子
08-12
通过这个示例,你已经了解了如何使用Spring Boot和Spring Security来构建一个基础的Web应用程序,实现用户认证和授权。Spring Security提供了强大的安全框架,可以自定义许多方面,包括权限管理、记住我功能、会话...
ajax添加token、Authorization请求跨域问题
qq_40010745的博客
07-03 2017
package com.zrgk.yfs.framework.config; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cor.
NetCore Webapi XSRF/CSRF 跨站请求伪造过滤中间件
最新发布
csdn_aspnet的专栏
01-04 1509
Token验证:通过在每个请求中包含一个随机生成的令牌,并在服务器端验证该令牌的有效性,可以防止CSRF攻击。在.NET Core中,可以使用`[ValidateAntiForgeryToken]`属性来自动验证令牌,或者使用`IAntiforgery`服务手动验证令牌。如果验证失败,将抛出异常,请求将被终止。SameSite Cookie属性:在设置cookie时,可以通过将`SameSite`属性设置为`Strict`或`Lax`来限制cookie的跨站点行为,从而减少XSRF攻击的可能性。
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
asp.net core Antiforgery Token 防范anti 攻击 最简单的使用方法
走错路的程序员
03-01 2788
本来想全局取消这种验证的. 弄来弄去就是关不掉这个验证. 最终敌不过微软的强大. 妥协了. 还是乖乖的在ajax中增加RequestVerificationToken 属性吧. 但是又嫌在每个请求中都加这个参数实在是太麻烦. 后来灵光一闪. 可以像下面这样搞. 简单多了. 在_layout.cshtml 页面中增加一个标记就可以了. &lt;script src="jquery.js"&gt;&...
@Html.AntiForgeryToken() 源码分析,表单防伪码的生成
weixin_30430169的博客
01-17 840
源码来自MVC4@Html.AntiForgeryToken() 源码分析 public MvcHtmlString AntiForgeryToken() { return new MvcHtmlString(AntiForgery.GetHtml().ToString()); } AntiForgery源自System.Web.Helpers.AntiForgery ...
ASP.NET Core 防止跨站请求伪造(XSRF/CSRF)攻击 (转载)
01-31 816
什么是反伪造攻击? 跨站点请求伪造(也称为XSRF或CSRF,发音为see-surf)是对Web托管应用程序的攻击,因为恶意网站可能会影响客户端浏览器和浏览器信任网站之间的交互。这种攻击是完全有可能的,因为Web浏览器会自动在每一个请求中发送某些身份验证令牌到请求网站。这种攻击形式也被称为 一键式攻击 或 会话控制 ,因为攻击利用了用户以前认证的会话。 CSRF攻击的...
http.authorizeRequests() 登录配置
03-26
例如,对于一个需要登录的网站,我们可以将所有 URL 都设为需要登录才能访问,并且对不同的用户赋予不同的角色。而对于一个开放的 API,我们则需要更加严格的访问控制,例如要求用户在每次访问前进行身份验证等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值