自己开发实现OAuth做webapi认证

最新推荐文章于 2023-09-21 14:56:53 发布
最新推荐文章于 2023-09-21 14:56:53 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: Java后台 文章标签: OAuth做webapi认证

一、作为认证服务器,首先需要提供一个可以通过appid/appsecret来获取token这样的一个接口,于是便有了以下代码。

复制代码 
    public class AuthController : ApiController
    {
        [HttpGet]
        public HttpResponseMessage Token(string appid = "", string appsecret = "")
        {
            ApiResponseEntity rep;
            var isv = AppManage.Instance.GetAppISV(appid, appsecret);
            if (isv != null)
            {
                string token = TokenManage.Instance.CreateToken(appid);

                rep = new ApiResponseEntity
                {
                    Status = InterfaceStatus.Success,
                    BizData = new
                    {
                        AccessToken = token
                    }
                };
            }
            else
            {
                rep = new ApiResponseEntity()
                {
                    Status = InterfaceStatus.Parm_Missing,
                    Message = "param error"
                };
            }
            return rep.ToHttpResponseMessage();
        }
}
复制代码

创建token的算法可以自行实现,我是将新生成的Guid做了一下md5处理,代码如下:

public string CreateToken(string appid)
        {
            string token = Guid.NewGuid().ToString().ToMd5();
            Set(token, appid);
            return token;
        }

上文可以看到,在生成token了以后,就一个SetToken,就是将token存储在缓存里面,并设置了一定时间的生存周期,代码如下:

public void Set(string token, string appid)
        {
            var config = ServerConfigManage.Instance.GetServerConfig();
            string key = string.Format(RedisCacheKey.App_Token, token);
            RedisNetHelper.Set<string>(key, appid, DateTime.Now.AddSeconds(config.TokenSurvivalTime));
        }

为什么要用token做key,是因为token的变更会导致isv token验证失效,但是用token做key就可以在存活周期内,这个key都可以使用,避免了多线程获取token,或是其他原因导致的token失效。作为认证服务器,还需要提供一个RefreshToken这样的接口,用来给刷新token的存活周期,代码相似这里就不再赘述。

 

二、在Api做验证的时候,就需要开始对Token进行验证了,代码如下:

复制代码 
 public class OAuthHandler : DelegatingHandler
    {
        protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, System.Threading.CancellationToken cancellationToken)
        {
            ApiResponseEntity repEntity = null;
            string appid = "";
            string ip = RequestHelper.GetWebClientIp();
            if (!OAuthValidate.IpValidate(ip))
            {
                repEntity = new ApiResponseEntity
                {
                    Status = InterfaceStatus.IllegalIp,
                    Message = "ip access limit"
                };
            }
            else
            {
                string token = "";
                string url = request.RequestUri.AbsoluteUri;
                var routeData = request.GetRouteData();
                string controller = routeData.Values["controller"].ToString().ToLower();
                string action = routeData.Values["action"].ToString().ToLower();
                if (controller.Equals("auth") && action.Equals("token"))
                {
                    return base.SendAsync(request, cancellationToken);
                }

                if (request.Method == HttpMethod.Get)
                {
                    var query = request.RequestUri.ParseQueryString();
                    token = query["token"];
                }

                if (token == null || token.Length == 0)
                {
                    repEntity = new ApiResponseEntity
                    {
                        Status = InterfaceStatus.Token_Faild,
                        Message = "token invalid"
                    };
                }
                else
                {
                    appid = TokenManage.Instance.Get(token);
                    if (appid == null || appid.Length == 0)
                    {
                        repEntity = new ApiResponseEntity
                        {
                            Status = InterfaceStatus.Token_Faild,
                            Message = "token invalid"
                        };
                    }
                    else
                    {
                        if (!OAuthValidate.ApiValidate
                            (
                            string.Format("{0}/{1}", controller, action),
                            appid
                            ))
                        {
                            repEntity = new ApiResponseEntity
                            {
                                Status = InterfaceStatus.No_Access,
                                Message = "api access limit"
                            };
                        }
                    }
                }
            }

            if (repEntity != null)
            {
                var tsc = new TaskCompletionSource<HttpResponseMessage>();
                tsc.SetResult(repEntity.ToHttpResponseMessage());
                return tsc.Task;
            }
            else
            {
                return base.SendAsync(request, cancellationToken);
            }
        }
    }
复制代码

使用比较传统的方式,继承于DelegatingHandler,然后进行处理,首先是做的IP验证,然后再进行token有效期验证,最后再进行Api的权限调用验证。验证的代码如下:

复制代码 
 public static bool IpValidate(string ip)
        {
            var config = ServerConfigManage.Instance.GetServerConfig();
            bool isPass = true;
            if (isPass && config.IsStartIpWhiteList)
            {
                isPass = config.IpWhiteList.Contains(ip);
            }
            if (isPass && config.IsStartIpBlackList)
            {
                isPass = !config.IpBlackList.Contains(ip);
            }
            return isPass;
        }

        public static bool ApiValidate(string api, string appid)
        {
            var config = ServerConfigManage.Instance.GetServerConfig();
            if (config.IsStartApiControl)
            {
                var apis = AppManage.Instance.GetAppApiResource(appid);
                return apis != null && apis.Contains(api);
            }
            return true;
        }
复制代码

GetServerConfig()是从DB/Cache里面获取服务器的自定义配置,然后看是否开启ip白名单/黑名单,下面的代码同理,是否开启权限验证。

那认证服务器到这里实际上就结束了,关于isv申请appid/appsecret。然后用户同意授权以后,存储appid和user之间的关联关系,就需要看客自行实现了。

 

另外有一个扩展代码这里也提一下,就是关于ApiResponseEntity的返回值处理,代码如下:

复制代码 
public static HttpResponseMessage ToHttpResponseMessage(this ResponseEntity rep, bool isEncrypt = false)
        {
            return new HttpResponseMessage(HttpStatusCode.OK)
            {
                Content = new StringContent
                    (
                    isEncrypt
                    ? EncryptHelper.Base64Replace(EncryptHelper.AESEncryptBase64(JsonHelper.ToJson(rep), Config.ApiEncryptKey))
                    : JsonHelper.ToJson(rep), 
                    System.Text.Encoding.UTF8,
                    "application/json"
                    )
            };
        }
复制代码
似曾相识-
关注
专栏目录
WebApi_OAuth_Demo
05-04
WebApi + OWin + Auth + ClientTest
OAuth4WebAPI 开源项目使用教程
最新发布
gitblog_01043的博客
08-24 254
OAuth4WebAPI 开源项目使用教程 oauth4webapiOAuth 2 / OpenID Connect for JavaScript Runtimes项目地址:https://gitcode.com/gh_mirrors/oa/oauth4webapi 本指南旨在帮助您快速了解并上手 OAuth4WebAPI 开源项目,我们将依次解析其目录结构、启动文件以及配置文件的关键要素,使您...
创建自己的OAuth2.0服务端(一)
weixin_34250709的博客
06-07 636
创建自己的OAuth2.0服务端(一) 如果对OAuth2.0有任何的疑问,请先熟悉OAuth2.0基础的文章:http://www.cnblogs.com/alunchen/p/6956016.html 1. 前言 本篇文章时对 客户端的授权模式-授权码模式 的创建,当然你理解的最复杂的模式之后,其他模式都是在授权码模式上面...
WebApi中基于Owin OAuth使用授权发放Token
jzdzhiyun的专栏
04-19 5307
转自:http://www.tuicool.com/articles/Ene2uaj 如何基于Microsoft.Owin.Security.OAuth,使用Client Credentials Grant授权方式给客户端发放access token? Client Credentials Grant的授权方式就是只验证客户端(Client),不验证用户(Resource O
webapi基于Microsoft.Owin.Security.OAuthOAuth实现
马立弘
12-04 5020
webapi基于Microsoft.Owin.Security.OAuthOAuth实现一、在ASP.NET中基于Owin OAuth使用Client Credentials Grant授权发放Token和调用webapi建一个Web API项目 打开Startup.Auth.cs ,精简一下代码,我们只需要实现以Client Credentials Grant授权方式拿到token,其它无关代码
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
在IT行业中,Windows Forms(WinForms)是一种常用的桌面应用程序开发框架,而WebAPI则是用于构建RESTful服务的ASP.NET框架。本案例主要涉及如何在WinForm应用中通过HttpClient调用使用OAuth2.0授权的WebAPI接口。...
于 Spring Boot 开发OAuth 认证服务器
11-05
在现代Web应用开发中,安全性和用户认证是至关重要的部分。Spring Boot以其强大的功能和便捷的集成能力,已经成为Java开发者构建应用程序的首选框架。OAuth 2.0 是一个授权框架,广泛用于实现第三方应用的授权访问,...
使用Java开发实现OAuth安全认证的应用
09-03
OAuth是开放授权协议,它为Web应用提供了一种安全、开放的方式来访问用户的受保护资源,例如社交媒体...在Java开发中,你可以利用OAuth库(如Spring Security OAuth2等)来简化OAuth实现过程,实现安全的API调用。
OAuth2 WebApi身份验证教程:从零开始到实现
本教程是关于如何在Web项目中实现OAuth2的身份验证,主要针对的是使用ASP.NET Web API开发的应用。OAuth2是一个开放标准,用于授权第三方应用程序访问用户的资源,而无需分享用户的凭据。在这个教程中,我们将一步步...
WebApi认证共8页.pdf.zip
11-21
通过"WebApi认证共8页.pdf.zip"这个压缩包,我们可以期待学习到上述知识点的详细信息,包括每种认证机制的配置、实现和优缺点,以及如何在实际项目中安全有效地应用它们。在学习过程中,结合实际案例和代码示例,将...
webapi token验证例子
06-05
webapi token验证例子
oauth2.0个人开发心得
YlrSmart的博客
06-04 1253
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
web API
m0_53755302的博客
03-17 81
Ajax
Java调用webApi接口,接口需要令牌验证Authorization
happy_zds的博客
02-14 693
【代码】Java调用webApi接口,接口需要令牌验证Authorization。Bearer
VS2022创建WebAPI项目
分享DotNet技术和日常开发笔记,DotNet,Python为主。
09-21 5937
在 Visual Studio 2022 中,创建 Web API 项目是一种创建用于构建 RESTful API 的 ASP.NET Core 项目的方式。Web API 项目提供了一种简单且灵活的方法来构建和公开 API,以便其他应用程序可以通过 HTTP 请求与之交互。MVC 架构:Web API 项目使用 ASP.NET Core MVC 架构,可以轻松地定义和处理控制器、路由、模型绑定、过滤器等。
WebApi实现Token验证
Sqsdhc的博客
12-02 2838
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值