Asp.net WEBAPI 简单的OAUTH认证

最新推荐文章于 2024-04-15 18:17:58 发布
最新推荐文章于 2024-04-15 18:17:58 发布
阅读量7.7k 收藏 4
点赞数
文章标签: asp.net oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fwj380891124/article/details/52353101
版权

最近想买需要,公司使用了完全的前后端分离技术,后端使用ASP.NET WEBAPI实现,前端使用PHP作为中转服务器调用后端服务器提供的WEBAPI,前期测试环境没有加OAUTH 安全认证,但是实际的生产环境肯定要认证,不然暴露出去的WEB API就会很危险,很容易被别人利用来生成脏数据,所以经过仔细思考,前期暂时先使用认证指定IP的方式来防止异常注入操作,整体操作思路比较简单:1. 创建授权过滤器类【这是过滤的入口动作,主要负责连接用户请求和授权验证方法】。2. 创建授权验证方法,这里面是认证的核心内容,可以自定义认证规则,比如想复杂一点的可以加入Token认证什么的。3. 将过滤规则注册到全局过滤器中。 经过上面三步,就大功告成,只接受指定服务器IP的访问请求,其它的访问会被过滤拒绝掉,这样安全性就高了很多!
具体操作如下:
1.新建授权过滤器类APIAuthorizeAttribute.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Security.Principal;
using System.Text;
using System.Threading;
using System.Web;
using System.Web.Http.Filters;
using Uuch.HP.WebAPI.Helper;
namespace Uuch.HP.WebAPI.Filter
{
  public class APIAuthorizeAttribute : AuthorizationFilterAttribute
  {
    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
      //如果用户使用了forms authentication,就不必在做basic authentication了
      if (Thread.CurrentPrincipal.Identity.IsAuthenticated)
      {
        return;
      }
      var authHeader = actionContext.Request.Headers.Authorization;
      if (authHeader != null)
      {
        if (authHeader.Scheme.Equals("basic", StringComparison.OrdinalIgnoreCase) &&
          !String.IsNullOrWhiteSpace(authHeader.Parameter))
        {
          var credArray = GetCredentials(authHeader);
          var userName = credArray[0];
          var key = credArray[1];
          string ip = System.Web.HttpContext.Current.Request.UserHostAddress;
          //if (IsResourceOwner(userName, actionContext))
          //{
            //You can use Websecurity or asp.net memebrship provider to login, for
            //for he sake of keeping example simple, we used out own login functionality
          if (APIAuthorizeInfoValidate.ValidateApi(userName,key,ip))//Uuch.HPKjy.Core.Customs.APIAuthorizeInfo.GetModel(userName, key, ip) != null
            {
              var currentPrincipal = new GenericPrincipal(new GenericIdentity(userName), null);
              Thread.CurrentPrincipal = currentPrincipal;
              return;
            }
           //}
        }
      }
      HandleUnauthorizedRequest(actionContext);
    }
    private string[] GetCredentials(System.Net.Http.Headers.AuthenticationHeaderValue authHeader)
    {
      //Base 64 encoded string
      var rawCred = authHeader.Parameter;
      var encoding = Encoding.GetEncoding("iso-8859-1");
      var cred = encoding.GetString(Convert.FromBase64String(rawCred));
      var credArray = cred.Split(':');
      return credArray;
    }
    private bool IsResourceOwner(string userName, System.Web.Http.Controllers.HttpActionContext actionContext)
    {
      var routeData = actionContext.Request.GetRouteData();
      var resourceUserName = routeData.Values["userName"] as string;
      if (resourceUserName == userName)
      {
        return true;
      }
      return false;
    }
    private void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
      actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);
      actionContext.Response.Headers.Add("WWW-Authenticate",
                         "Basic Scheme='eLearning' location='http://localhost:8323/APITest'");
    }
  }
}
  1. 添加验证方法类APIAuthorizeInfoValidate.cs
using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
namespace Uuch.HP.WebAPI.Helper
{
  public class APIAuthorizeInfo
  {
    public string UserName { get; set; }
    public string Key { get; set; }
  }
  public class APIAuthorizeInfoValidate
  {
    public static bool ValidateApi(string username, string key, string ip)
    {
      var _APIAuthorizeInfo = JsonConvert.DeserializeObject <List<APIAuthorizeInfo>>(WebConfigHelper.ApiAuthorize);
      var ips = WebConfigHelper.IPs.Contains(",") ? WebConfigHelper.IPs.Split(',') : new string[] { WebConfigHelper.IPs };
      if (_APIAuthorizeInfo != null && _APIAuthorizeInfo.Count > 0)
      {
        foreach (var v in _APIAuthorizeInfo)
        {
          if (v.UserName == username && v.Key == key && ips.Contains(ip))
          {
            return true;
          }
        }
      }
      return false;
    }
  }
}

3、把添加到全局过滤器中,这里要注意了,不要添加到FilterConfig.cs,而要添加到WebApiConfig.cs,因为FilterConfig是MVC用的,我们这里是WebAPI。

public static class WebApiConfig
{
  public static void Register(HttpConfiguration config)
  {
    config.Routes.MapHttpRoute(
      name: "DefaultApi",
      routeTemplate: "api/{controller}/{id}",
      defaults: new { id = RouteParameter.Optional }
    );
    config.Filters.Add(new APIAuthorizeAttribute());
  }
}
星火燎猿
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
netcore+webapi+jwt+oauth2+swagger的例子
05-06
解决方案包含五个项目 1.WebApiClient:控制台调用接口项目 2.WebApiTest:.NetCore+jwt+swagger编写的接口 3.WebApiTest.ApiOauth2:.Net4.5+oauth2+swagger编写的接口 4.WebApiTest.ApiController:.Net4.5+jwt+swagger编写的接口 5.WebApiTest.MVC:在mvc中使用webapiWebApiTest.ApiOauth2)
WebApi必须知道的RestFul,Swagger,OAuth2.0
Documentlv的博客
05-19 1083
RestFul是一种软件架构风格,它是基于HTTP协议设计的。它是一种轻量级的、简单易懂、易于维护的架构风格,主要用于Web服务的设计。它的设计原则是面向资源,每个资源都有唯一的标识符,客户端通过HTTP协议对这些资源进行操作。
ASP.NET Core 基础知识】--Web API--创建和配置Web API(一)
喵叔
01-31 1613
Web APIWeb Application Programming Interface)的重要性在于其在现代软件开发中扮演着关键的角色。跨平台交互Web API允许不同平台、不同技术栈的应用程序进行通信。无论是Web应用、移动应用、桌面应用还是其他服务,它们都可以通过Web API实现数据和功能的共享。服务间通信在分布式系统中,不同的服务需要相互通信。Web API提供了一种标准化的方式,使得这些服务可以以一致的方式进行数据交换和功能调用。前后端分离Web API促使了前后端分离的架构。
使用OAuth打造webapi认证服务供自己的客户端使用
weixin_34060299的博客
10-28 784
一、什么是OAuth OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版。注意是Authorization(授权),而不是Authentication(认证)。用来做Authentication(认证)的标准叫做openid connect,我们将在以后的文章中进行介绍。 二、名词定义 理解OAuth中的专业术语能够帮助你理解其流程模式,OAuth中常用的名...
.Net Core WebApi 2.0使用Oauth2 + IdentityServer4进行身份认证
Ling、bug
12-26 2368
直接上代码,该说明的我都把注释写在代码中了 逻辑图如下: 一、创建WebApi(用于IdentityServer4发送token和验证token)(IdentityServerSolution) 1.nuget安装identityServer4(最新版必须是.net core3.0才可以,我是2.0,所以装不了最新版的): Install-Package Identit...
基于asp.net MVC 的服务器和客户端的交互(二)之获取Oauth 2.0认证权限
aimolia8633的博客
07-06 242
基本Web APIASP.NETOauth2认证 增加Token额外字段 增加Scope授权字段 持久化Token 设计Token的时间间隔 刷新Token后失效老的Token 自定义验证【重启IIS池Token失效,验证权限】 Oauth2 认证的流程 客户端发送口令(grant_type,client_id,client_secret)到服务...
asp.net core webapi验证
weixin_53370274的博客
12-29 1047
转载:https://www.cnblogs.com/ibeisha/p/jwt-webapi.html 一、Asp.Net Core Web项目的登录认证 在MVC Web项目中,做用户登录授权,是必不可少的工作,不知道大家平时是怎么做的,我想,大多朋友还是使用微软提供的一套认证机制,可以省去很多功夫。从WebForm时代的Form身份认证,无非是通过客户端Cookie中存储认证票据,在请求受保护的资源时,通过Cookie中携带的身份票据,再有Asp.net认证模块,完整对请求者的身份认证。这一过程,是
Asp.Net MVC 4 Web API 中的安全认证---使用OAuth
Denghejing的专栏
09-09 2412
//  Oauth授权处理 http://www.cnblogs.com/n-pei/archive/2012/05/29/2524673.html#undefined 各种语言实现的oauth认证: http://oauth.net/code/
WebApi使用OAuth2认证
07-06 430
本篇文章实现了四种认证方式中的客户端模式和密码模式,未实现token持久化 未介绍OAuth2的相关概念,全部是干货,可自己在网上搜索OAuth2相关知识,在这不做过多阐述 一、引用OAuth2所需的dll,使用nuget下载以下依赖项 Microsoft.AspNet.WebApi.Owin Microsoft.Owin.Host.SystemW...
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
ASP.NET WebAPI连接数据库的方法
10-18
主要为大家详细介绍了ASP.NET WebAPI连接数据库的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
创建一个完整的ASP.NET Web API项目
01-20
Visual Studio为我们提供了专门用于创建ASP.NET Web API应用的项目模板,借助于此项目模板提供的向导,我们可以“一键式”创建一个完整的ASP.NET Web API项目。在项目创建过程中,Visual Studio会自动为我们添加必要...
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
ASP.NET基于BS结构的实验室预约模型系统
大叔_爱编程 的博客
04-15 1090
本系统主要实现了教师根据实际教学情况预约实验室、查看预约结果,学生查询实验室教学安排,实验室管理员对实验室的管理、用户信息的管理和系统消息发布等功能,同时系统提供了简单友好的用户界面,并通过身份验证机制实现了系统的安全性。考虑到可能出现的教师同时预约实验室的情况,本系统采用了预约时避免冲突、受理时解决冲突的方法,尽最大努力实现实验室资源的优化配置。系统具有网络化、界面友好、操作简单、功能强大、管理方便等优点,能够完全按照用户的需要,稳定、安全快速地运行于校园局域网之上。最后总结了本系统的不足之处,和还有待开
ASP.NET MVC企业级程序设计 (商品管理:小计,总计,删除,排序)
最新发布
Mr_wangzu的博客
04-15 440
【代码】ASP.NET MVC企业级程序设计 (EF+三层架构+MVP实现查询数据)
ASP.NET公交车管理系统的实现与设计
大叔_爱编程 的博客
04-12 1247
该系统主要根据实际的需求,以需求分析、系统的设计目标,并且重点进行系统功能模块的详细设计和实现,采用了Visual Studio .NET 2003开发平台和 SQL Server 2000数据库,实现了车辆信息管理、司机信息管理、线路信息管理和车辆分配线路管理等功能。在针对数据操作方面,主要通过存储过程的方式实现数据的添加、删除和查询等操作。通过系统测试,解决了公交车辆管理系统主要问题。
ASP.NET MVC企业级程序设计 (EF+MVP实现显示数据)
Mr_wangzu的博客
04-12 343
ASP.NET MVC企业级程序设计 (EF+MVP实现显示数据)
云LIS系统源码,ASP.NET区域LIS系统源码,实验室信息系统
高端源码平台
04-12 553
系统实现了从申请、采样、标本核收、计费、检验、审核、发布检验结果、质量控制、查询检验报告、耗材控制等临床科研整个流程的自动化。区域LIS可促进基层医疗机构条码化检验业务管理,为基层搭建标本采集、标本核收、标本检验、室内质控、报告发布、统计分析的规范流程,同时为医疗机构提供检验诊断知识库提升检验业务水准。8、技术特点:采用.Net Core新的技术框架、DEV报表、前端js封装、分布式文件存储、分布式缓存等,支持LIS独立部署,Docker部署等多种方式。试剂管理、人员管理、收费管理、成本管理,
asp.net webapi快速开发框架
07-18
另外,ASP.NET WebAPI还提供了强大的行为和过滤器特性,例如认证过滤器、授权过滤器和异常过滤器等,使得开发者能够在不同阶段对请求进行处理和验证。同时,开发者还可以通过自定义过滤器来扩展现有特性或添加新的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星火燎猿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值