ajax的AntiForgery和Authorize 以及ajax登录例子

最新推荐文章于 2022-11-09 16:13:19 发布
最新推荐文章于 2022-11-09 16:13:19 发布
阅读量3.1k 收藏 1
点赞数 2
分类专栏: NET-MVC c# javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ashcn2001/article/details/53409256
版权
NET-MVC 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
c#
11 篇文章 0 订阅
订阅专栏
javascript
6 篇文章 0 订阅
订阅专栏

现有的mvc无法用无刷的形式来对数据进行验证 特别是对于ajax 进行数据访问,如果是机密信息则有很大的风险。现在可以用自定义attribute的方法来加入针对数据信息验证。

针对AntiForgery的验证方法

attrbute属性的定义

    [AttributeUsage(AttributeTargets.Class)]
    public class ValidateAntiForgeryTokenOnAllPosts : AuthorizeAttribute
        {
            public override void OnAuthorization(AuthorizationContext filterContext)
            {
                var request = filterContext.HttpContext.Request;

            //  Only validate POSTs
            if (request.HttpMethod == WebRequestMethods.Http.Post)
            {
                //  Ajax POSTs and normal form posts have to be treated differently when it comes
                //  to validating the AntiForgeryToken
                if (request.IsAjaxRequest())
                {
                    var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];

                    var cookieValue = antiForgeryCookie != null
                        ? antiForgeryCookie.Value
                        : null;

                    try {

                        AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
                    }
                    catch (Exception e) { 
                    //filterContext.Result = new RedirectResult("/Account/Login?returnUrl=" +
                    // HttpUtility.UrlEncode(filterContext.HttpContext.Request.Url.ToString()));

                    ContentResult result = new ContentResult();
                    result.Content = "<div style='text-align:center;padding:1em;' >当前已经处于退出状态,请重新登录</div>";
                    filterContext.Result = result;

                    }
                }
                else
                {
                    new ValidateAntiForgeryTokenAttribute()
                        .OnAuthorization(filterContext);
                }
            }
            else {
                throw new Exception("没有权限");
                //base.HandleUnauthorizedRequest(filterContext);
            }
            }
    }

或者这里有令外一个替代方法用来备选,本质上是一样的 (备选)

    public class ExtendedValidateAntiForgeryToken : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            if (request.HttpMethod != WebRequestMethods.Http.Post) return;
            if (request.IsAjaxRequest())
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
                //从cookies 和 Headers 中 验证防伪标记  
                //这里可以加try-catch  
                    try {

                        AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
                    }
                    catch (Exception e) { 
                    //filterContext.Result = new RedirectResult("/Account/Login?returnUrl=" +
                    // HttpUtility.UrlEncode(filterContext.HttpContext.Request.Url.ToString()));

                    ContentResult result = new ContentResult();
                    result.Content = "<div style='text-align:center;padding:1em;' >当前已经处于退出状态,请重新登录</div>";
                    filterContext.Result = result;

                    }
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);
            }
        }
    }

使用方法为
客户端 cshtml里面需要用js来发送post数据到服务器。

 //获取防伪标记
    var token = $('@Html.AntiForgeryToken()').val();
    @*var token = $("[name='__RequestVerificationToken']").val();*@
        var headers = {};
        //防伪标记放入headers
        //也可以将防伪标记放入data
        headers["__RequestVerificationToken"] = token;
        $(document).on("click", ".nav-tabs a", function (e) {

            if ($(this).parent().parent().hasClass("nav")) {
                $(".nav-tabs li").removeClass("active");
                $(this).parent().addClass("active");
            }
           e.preventDefault();
            //alert($(this).attr("href"));
        $.ajax({
            type: 'POST',
            url: $(this).attr("href"),
            cache: false,
            headers: headers,
            data: {},
            beforeSend: function () {
                $("#myTabContent").html("正在索取数据");
            },

            success: function (data) {
                //alert(data)
                $("#myTabContent").html(data);
            },
            error: function (data) {
                $("#myTabContent").html(data);
            }
        });


    })

服务器端则可以使用
因为是在class上使用的属性 所以

 [HealthCareCore.ValidateAntiForgeryTokenOnAllPosts]
 public class AJAXController : Controller
 {
    public ActionResult Order(string tabName)
        {
            IQueryable<nongfuEntityframework.Info> quene = db.Info;
            Regex reg = new Regex(@"page=.{1,}?(&|$)");//获取page的页数 
            var url = reg.Replace(Request.QueryString.ToString(), "");
            switch (tabName)
            {
                case "allOrder":
                      return PartialView("Order_tab", quene);
                case "notPaid":
                    quene= quene.Where(m => m.pay_status == 0);
                    return PartialView("Order_tab", quene);
            }
            return View();
        }
   }

如何对登陆信息进行验证呢,这里可以使用

针对Authorize的验证方法

attribute属性的定义

 public class AjaxAuthorizeAttribute : AuthorizeAttribute
    {
        protected override void HandleUnauthorizedRequest(AuthorizationContext context)
        {
            if (context.HttpContext.Request.IsAjaxRequest())
            {
                var urlHelper = new UrlHelper(context.RequestContext);
                context.HttpContext.Response.StatusCode = 403;
                context.Result = new JsonResult
                {
                    Data = new
                    {
                        Error = "NotAuthorized",
                        LogOnUrl = urlHelper.Action("LogOn", "Account")
                    },
                    JsonRequestBehavior = JsonRequestBehavior.AllowGet
                };
            }
            else
            {
                base.HandleUnauthorizedRequest(context);
                //throw new Exception("No enough right");
            }
        }
    }

客户端cshtml的使用

  $(function()
    {
        $(document).ajaxError(function(e, xhr) {
            if (xhr.status == 403)
            {
                var response = $.parseJSON(xhr.responseText);
                window.location = response.LogOnUrl;
            }
        });
    });

服务器端的使用
在action上面加上[AjaxAuthorize]

服务器上ajax登录

在mvc当中我们使用jquery的ajax向服务器发送登录信息捎带手当然我们必须使用ValidateAntiForgeryToken来做方位认证,当然这里还有个问题,那就是我们用ajax所发出的数据是透明的,实际上在截获的发送数据中我们的用户名和密码都是明文的

使用ajax登录的技术为
ajax发送数据(带有用户名密码和forgerytoken)->
服务器进行登录,mvc内置的登陆中回想response写入登录cookie->
ajax接收相关登录成功信息,并自动从返回的信息中把cookie写到客户端

[HttpPost]
[ExtendedValidateAntiForgeryToken]
public ActionResult Login(LoginInfo model){
    if(登录成功){
         var httpCookie = System.Web.HttpContext.Current.Response.Cookies[key];
         if (httpCookie == null) return;
        httpCookie.Value = value;
        httpCookie.Expires = expires;
        return Json(登录成功!);
    }else{
        return Json(登录失败了!);
    }
}

综合演示
cshtml端

<!DOCTYPE html>
@{ 
    Layout = null;
}
<html>
<head>
    <title>Ajax Login</title>
</head>
<body>
   username: @ViewBag.username
    <div class="container">
        <form id="login-form" action="#" method="POST">
            @*生成防伪标记*@
            @Html.AntiForgeryToken()
            <div class="controls">
                <label for="userName">用户名:</label>
                <input type="text" name="userName" id="userName" placeholder="用户名" value="@ViewBag.UserName" />
            </div>
            <div class="controls">
                <label for="password">密 码:</label>
                <input type="password" name="password" id="password" placeholder="密码" />
            </div>
            <div class="controls">
                <input type="checkbox" name="rememberMe" id="rememberMe" />
                <label for="rememberMe">记住我?</label>
            </div>
            <input type="submit" value="登录" class="btn" />
        </form>
    </div>
    <script src="~/Scripts/jquery-1.10.2.js"></script>
    <script src="~/Scripts/jquery.validate.js"></script>

</body>
</html>  
<script>

        $("#login-form").validate({
            rules: {
                userName: {
                    required: true,
                },
                password: {
                    required: true,
                    rangelength: [8, 20]
                }
            },
            messages: {
                userName: "请输入用户名!",
                password: {
                    required: "请输入密码!",
                    rangelength: "请输入{0}到{1}之间的密码!"
                }
            }, submitHandler: function (form) {
                //获取防伪标记
                var token = $('input[name=__RequestVerificationToken]').val();
                var headers = {};
                headers["__RequestVerificationToken"] = token;
                var params = $(form).serialize();
                $.ajax({
                    type: "POST",
                    url: "Login",
                    data: params,
                    headers: headers,
                    success: function (result) {
                        alert(result.msg);
                    },
                    error: function () {
                        alert("Error");
                    }
                });
            }
        });
</script>

accountcontroller.cs

using System;  
using System.Collections.Generic;  
using System.Linq;  
using System.Net;  
using System.Web.Helpers;  
using System.Web.Mvc;  
using MvcAjaxDemo.Models;  

namespace MvcAjaxDemo.Controllers
{
    public class AccountController : Controller
    {
        //  
        // GET: /Account/Login  
        public ActionResult Login()
        {
            ViewBag.UserName = Retrieve("UserName");

            return View();
        }

        [HttpPost]
        [ExtendedValidateAntiForgeryToken]
        public ActionResult Login(LoginInfo model)
        {
            //是否为Ajax请求  
            if (!Request.IsAjaxRequest())
                return View();
            if (model.UserName == null)
                return Json(GetResult(false, "用户名为空!", null));
            //根据用户名获取用户  
            var user = UserService.GetUsers().SingleOrDefault(p => p.LoginName == model.UserName);

            if (user == null)
                return Json(GetResult(false, "用户名或密码错误!", null));
            //验证密码  
            if (user.Password != model.Password)
                return Json(GetResult(false, "用户名或密码错误!", null));

            if (!string.IsNullOrWhiteSpace(model.RememberMe))
            {
                //保存帐户登录名  
                Save("UserName", model.UserName, DateTime.Now.AddDays(2));
            }

            return Json(GetResult(false, "登录成功!", null));

        }

        #region 辅助方法  
        /// <summary>  
        /// 获取结果集  
        /// </summary>  
        /// <param name="rel">状态</param>  
        /// <param name="msg">提示信息</param>  
        /// <param name="data">数据集</param>  
        /// <returns></returns>  
        public static object GetResult(bool rel, string msg, object data)
        {
            return new Dictionary<string, object> { { "rel", rel }, { "msg", msg }, { "obj", data } };
        }

        /// <summary>  
        /// 保存Cookie  
        /// </summary>  
        /// <param name="key"></param>  
        /// <param name="value"></param>  
        /// <param name="expires">过期时间</param>  
        public void Save(string key, string value, DateTime expires)
        {
            var httpCookie = System.Web.HttpContext.Current.Response.Cookies[key];
            if (httpCookie == null) return;
            httpCookie.Value = value;
            httpCookie.Expires = expires;
        }
        /// <summary>  
        /// 检索Cookie  
        /// </summary>  
        /// <param name="key"></param>  
        /// <returns></returns>  
        public string Retrieve(string key)
        {
            var cookie = System.Web.HttpContext.Current.Request.Cookies[key];
            return cookie != null ? cookie.Value : "";
        }
        #endregion
    }


    #region 防止CSRF攻击特性  
    /// <summary>  
    /// 防止CSRF攻击特性  
    /// </summary>  
    public class ExtendedValidateAntiForgeryToken : AuthorizeAttribute
    {
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            if (request.HttpMethod != WebRequestMethods.Http.Post) return;
            if (request.IsAjaxRequest())
            {
                var antiForgeryCookie = request.Cookies[AntiForgeryConfig.CookieName];
                var cookieValue = antiForgeryCookie != null ? antiForgeryCookie.Value : null;
                //从cookies 和 Headers 中 验证防伪标记  
                //这里可以加try-catch  
                AntiForgery.Validate(cookieValue, request.Headers["__RequestVerificationToken"]);
            }
            else
            {
                new ValidateAntiForgeryTokenAttribute().OnAuthorization(filterContext);
            }
        }
    }
    #endregion

    //Model  
    public class User
    {
        public int Id { get; set; }
        public string LoginName { get; set; }
        public string Password { get; set; }
    }


    public class UserService
    {
        public static IList<User> GetUsers()
        {
            return new List<User>
            {
                new User
                {
                    Id=1,
                    LoginName = "admin",
                    Password = "admin1234"
                }
            };
        }
    }
}
namespace MvcAjaxDemo.Models
{
    public class LoginInfo
    {
        /// <summary>  
        /// 用户名  
        /// </summary>  
        public string UserName { get; set; }
        /// <summary>  
        /// 密码  
        /// </summary>  
        public string Password { get; set; }
        /// <summary>  
        /// 记住我?  
        /// </summary>  
        public string RememberMe { get; set; }
    }
}
ashcn2001
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9422
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
ajax authorization,jquery ajax 添加自定义请求头 - Authorization 字段.txt
weixin_42344395的博客
08-06 1956
jquery ajax 添加自定义请求头 - Authorization 字段.txt参考:https://www.cnblogs.com/yanggb/p/12039665.htmlhttps://www.w3school.com.cn/jquery/ajax_ajax.asphttps://www.cnblogs.com/winyh/p/6405437.html0.tokenlet token...
Ajax使用AntiForgeryToken,记录一下
ayanamireizero的专栏
08-28 1098
AddAntiForgeryToken = function (data) { data.__RequestVerificationToken = $('input[name=__RequestVerificationToken]').val(); return data; };
记得ajax中要带上AntiForgeryToken防止CSRF攻击
weixin_30279315的博客
10-16 175
经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可。 Html.AntiForgeryToken()会生成一对加密的字符串,分别存放在Cookies 和input 中。 我们在ajax post中也带上AntiForgeryToken @mode...
$.ajax ,ajax请求添加请求头,添加Authorization字段
aisu4981的博客
03-08 6821
beforeSend : function(request) { request.setRequestHeader("Authorization", sessionStorage.getItem("Authorization")); }, 转载于:https://www.cnblogs.com/jack-zou/p/8527024.html
ajax 实现微信网页授权登录的方法
10-18
总之,通过Ajax实现微信网页授权登录,需要前端和后端协同工作,前端引导用户授权并获取code,后端通过code换取用户信息,最后将信息返回给前端。这种方式在前后端分离的项目中特别有用,确保了用户体验的连续性。...
spring security ajax请求与html共存
03-23
为了区分Ajax和非Ajax请求,我们可以使用`@Secured`或`@PreAuthorize`注解,或者自定义访问决策管理器。 3. **配置Ajax支持** 在Spring Security配置中,我们需要确保Ajax请求不会因为没有适当的HTTP头而被拒绝。...
h5和微信授权头像,jq封装ajax源码
10-02
它提供了许多增强用户体验的新特性,包括离线存储、拖放功能、媒体元素、 canvas 绘图以及Geolocation定位等。而微信作为中国最受欢迎的社交平台之一,其开放平台API为开发者提供了丰富的接口,其中包括用户授权获取...
Asp.net Mvc Authorize 详细说明.docx
07-27
3. 接下来,`AuthorizeCore`方法会被调用,检查当前登录用户的用户名和角色是否在`[Authorize]`注解中指定的范围内。 4. 如果验证通过,请求将继续并执行目标操作。否则,系统会根据`web.config`中的身份验证设置...
Spring Boot和Spring Security应用例子
最新发布
08-12
通过这个示例,你已经了解了如何使用Spring Boot和Spring Security来构建一个基础的Web应用程序,实现用户认证和授权。Spring Security提供了强大的安全框架,可以自定义许多方面,包括权限管理、记住我功能、会话...
ajax authorization,ajax跨域,_ajax Authorization 鉴权失败,ajax跨域 - phpStudy
weixin_36160690的博客
08-06 650
ajax Authorization 鉴权失败$.ajax({type: "get",url: "http://example.com.cn/api/api/web/v3/user/login?password=e52d6ad8a22e93a6760df02fc764f8c9&username=15700153240",dataType: "jsonp",jsonp: "callback"...
ajax 请求头Authorization 添加账号密码访问
Mr-k的博客
11-09 2491
在header中添加 "Authorization"字段,值为 "[api_key]:[api_secret]"进行base64加密后。在前面加入"Basic "(Basic后有空格)字符串。最后形式为"Basic xxxxx",'xxxx'为base64后的字符串。
ajax添加token、Authorization请求跨域问题
qq_40010745的博客
07-03 2017
package com.zrgk.yfs.framework.config; import org.springframework.boot.web.servlet.FilterRegistrationBean; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.web.cor.
MVC Html.AntiForgeryToken() 防止CSRF攻击
热门推荐
cpytiger的专栏
04-10 4万+
(一)MVC Html.AntiForgeryToken() 防止CSRF攻击 MVC中的Html.AntiForgeryToken()是用来防止跨站请求伪造(CSRF:Cross-site request forgery)攻击的一个措施,它跟XSS(XSS又叫CSS:Cross-Site-Script),攻击不同,XSS一般是利用站内信任的用户在网站内插入恶意的脚本代码进行攻击,而CSRF则是
.net core 一个避免跨站请求的中间件
weixin_30598225的博客
10-30 149
前提: 前几天看到博客园首页中有这么一篇文章:跨站请求伪造(CSRF),刚好前段时间自己一直也在搞这个东西,后来觉得每次在form表单里添加一个@Html.AntiForgeryToken,在对应的方法上添加特性[ValidateAntiForgeryToken],很是麻烦,于是自己动手写了一个全局的中间件,只要是post请求就会生成一个表单验证的token。 话不...
ValidateAntiForgeryToken的用途,解释和示例
p15097962069的博客
07-20 2711
Could you explain ValidateAntiForgeryToken purpose and show me example about ValidateAntiForgeryTok
ajax antiforgery,在 AJAX 裡使用 AntiForgeryToken - (MVC)
weixin_36297610的博客
08-06 392
AJAX 裡使用 AntiForgeryToken - (ASP.NET MVC 防範 CSRF 攻擊)在MVC的架構底下,要防止CSRF 攻擊可以在檢視頁面上加入使用 AntiFrogeryToken,並且在後端所對應的 Action 方法加上Attribute[ValidateAntiForgeryToken]作法很簡單,但是如果我今天想要使用Ajax去跟後端互動,該如何使用AntiFr...
Jquery 添加Authorization认证
斗战圣佛91的博客
01-25 1万+
$.ajax({ type: "GET", url: "http://localhost:8080/books", beforeSend: function(xhr) { xhr.setRequestHeader("Authorization", "Bearer eyJhbGciOiJIUzI1NiJ9.eyJwcmluY2
http.authorizeRequests() 登录配置
03-26
http.authorizeRequests() 是 Spring Security 中的一个方法,用于配置对 HTTP 请求的安全访问控制,即对用户是否有权限访问特定 URL 进行控制。 该方法返回一个对象,可以调用该对象的方法进行配置。以下是一些常用的配置项: 1. antMatchers(String pattern).permitAll() 允许所有用户访问匹配该模式的 URL,pattern 使用ant风格的表达式。 2. antMatchers(String pattern).hasRole(String role) 只允许特定角色的用户访问匹配该模式的 URL。 3. anyRequest().authenticated() 保证所有的请求都需要身份认证(默认行为)。 4. formLogin() 配置基于表单的登录。 5. httpBasic() 配置 HTTP Basic 认证。 6. logout() 配置退出登录并删除会话的逻辑。 7. rememberMe() 配置“记住我”功能。 在使用 http.authorizeRequests() 时,我们通常需要根据具体的业务需求进行不同的配置。例如,对于一个需要登录的网站,我们可以将所有 URL 都设为需要登录才能访问,并且对不同的用户赋予不同的角色。而对于一个开放的 API,我们则需要更加严格的访问控制,例如要求用户在每次访问前进行身份验证等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值