WebApi基于令牌的简述和应用

最新推荐文章于 2024-07-19 11:13:15 发布
最新推荐文章于 2024-07-19 11:13:15 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: .NET学习 文章标签: webapi 令牌 token
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lytit/article/details/88410113
版权
本文介绍了OAuth2.0的基本概念,包括授权码模式和简化模式,并详细阐述了如何在WebApi项目中实现基于令牌的认证。通过安装相关NuGet包,创建Startup类和SimpleAuthorizationServerProvider类,以及在控制器方法上添加[Authorize]标记,确保接口调用的安全性。通过Postman演示了获取和使用access_token进行接口调用的过程。
摘要由CSDN通过智能技术生成

我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。然而在WebAPI中,我们采用类似的方式,带有验证的令牌模式,方便移动端和项目内部调用,能够解耦合,便于维护,可扩展延伸。

一、OAuth简介

1、什么是OAuth
OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版。注意是Authorization(授权),而不是Authentication(认证)。用来做Authentication(认证)的标准叫做openid connect,我们将在以后的文章中进行介绍。
2、名词定义
理解OAuth中的专业术语能够帮助你理解其流程模式,OAuth中常用的名词术语有4个,为了便于理解这些术语,我们先假设一个很常见的授权场景:
你访问了一个日志网站(third party application),你(client)觉得这个网站很不错,准备以后就要在这个网站上写日志了,所以你准备把QQ空间(Resource owner)里面的日志都导入进来。此日志网站想要导入你在QQ空间中的日志需要知道你的QQ用户名和密码才行,为了安全期间你不会把你的QQ用户名和密码直接输入在日志网站中,所以日志网站帮你导航到了QQ认证界面(Authorization Server),当你输入完用户名和密码后,QQ认证服务器返回给日志网站一个token, 该日志网站凭借此token来访问你在QQ空间中的日志。
1) third party application 第三方的应用,想要的到Resource owner的授权
2) client 代表用户
3) Resource owner 资源拥有者,在这里代表QQ
4) Authorization server 认证服务,这里代表QQ认证服务,Resource owner和Authorization server可以是不同的服务器,也可以是同一个服务器。
3、OAuth2.0中的四种模式
OAuth定义了四种模式,覆盖了所有的授权应用场景:
1) 授权码模式(authorization code)
2) 简化模式(implicit)
3) 密码模式(resource owner password credentials)
4) 客户端模式(client credentials)
前面我们假设的场景可以用前两种模式来实现,不同之处在于:
当日志网站(third party application)有服务端,使用模式1;
当日志网站(third party application)没有服务端,例如纯的js+html页面需要采用模式2;
本文主描述利用OAuth2.0实现自己的WebApi认证服务,前两种模式使用场景不符合我们的需求。

二、基于令牌的认证和应用

1、需要安装的工具:postman-4.1.2
可以百度安装pos

最低0.47元/天 解锁文章
StevenLdh
关注
专栏目录
【网络安全】Web应用程序的工作原理
等风来
08-27 7656
Web应用程序是一种通过网络(通常是互联网)访问的、具有交互性和动态功能的软件应用。与普通网页相比,Web应用程序具有以下区别:1.Web应用程序通过与用户进行双向通信,实现了更高级的交互性。用户可以与应用程序进行数据输入、提交表单、执行操作等,而不仅仅是被动地查看静态内容。Web应用程序可以根据用户的输入和行为动态地响应和改变。2.Web应用程序能够根据用户的请求和服务器端的处理,在客户端动态生成内容。相比之下,普通网页是静态的,其内容在服务器上预先生成,并以相同的形式发送给所有用户。3.
webapi鉴权使用token令牌
小鱼破浪的博客
07-08 7872
一为什么使用Token验证:在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认 证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保 存的session中,然后在存一份到cookie中,来保持用户的会话有效性,但是会在客户...
19-7-14 学习笔记
qq_42535651的博客
07-14 164
一、什么是DOM        文档对象模型 (DOM) 是HTML和XML文档的编程接口。它提供了对文档的结构化的表述,并定义了一种方式可以使从程序中对该结构进行访问,从而改变文档的结构,样式和内容。DOM 将文档解析为一个由节点和对象(包含属性和方法的对象)组成的结构集合。简言之,它会将web页面和脚本或程序语言连接起来。 ...
什么是 API Token 以及如何使用它
最新发布
07-19 1427
API Token 是一种用于识别和验证 API 调用的安全凭证。当开发者或应用程序需要访问受保护的资源或服务时,他们会使用 API Token 进行身份验证。这个 Token 是一个独特的字符串,通常用作访问 API 的钥匙。简而言之,API Token 就像是一个可以打开特定保险箱的钥匙,只要拥有这个钥匙,就能访问保险箱内的资源。同样,API Token 使得应用程序能够确定请求的来源是否合法,并决定是否授予其访问权限。
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
ASP.NET Web API 2基于令牌的身份验证
weixin_30319153的博客
10-31 179
ASP.NET Web API 2基于令牌的身份验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调...
什么是API Token
par@ish的博客
12-11 3042
API令牌是一种用于访问和验证API应用程序编程接口)的安全凭证。它是一个字符串,用于识别和授权应用程序或用户访问特定的API服务或资源。API令牌可以是访问令牌(Access Token)或密钥(API Key)。Access Token通常是通过身份验证协议(比如OAuth)获取的,用于访问受保护的资源。API Key则是直接向API服务提供方获取的密钥,用于标识应用程序或用户。
现代 Web 应用程序的体系结构
12-14
现代Web应用程序的体系结构是构建高效、可扩展和用户友好的网络应用的关键所在。随着互联网技术的不断发展,现代Web应用已经不再局限于简单的HTML和JavaScript页面,而是采用了多种技术和架构模式来提升性能、安全性...
优化WebAPI响应时间与性能
# 1. 引言 ## 1.1 什么是WebAPI响应时间与性能 WebAPIWeb Application Programming Interface...性能优化是为了提升WebAPI的响应时间与性能,减少用户等待时间,提高系统的吞吐量和并发性能。 ## 1.2 为什么优化We
Angular之jwt令牌身份验证
FlyWine的博客
02-10 2357
Angular之jwt令牌身份验证 demo https://gitee.com/powersky/jwt 介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
CS框架-WebService架构用户凭证(令牌)解决方案
06-11
CS框架-WebService架构用户凭证(令牌)解决方案,客户端TokenClient,令牌服务器端TokenManage,WebService是TokenService
ASP.NET WEB API2+Owin+AngularJS实现Token验证
03-03
基于ASP.NET WEB API2,Owin和ASP.NET Identity的Token令牌验证,允许刷新令牌Refresh Token,并且实现认证服务和资源服务分离
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
C#WEB用户令牌TOKEN验证,防止HTTP、GET、POST等提交包含服务端和客户端源码。Nginx集群,SSL证书的WebApi令牌验证
C/S框架-WebService架构用户凭证(令牌)解决方案
konvay的专栏
09-21 2847
C/S框架-WebService架构用户凭证(令牌)解决方案 C/S框架高级版引用WebService技术,WebService架构的应用系统不可忽视其安全性,WebServcie页面(*.asmx)提供了一组接口(WebMethod,Web方法),任何人在任何地方只要网络相通都能访问,确保这些接口能被安全使用是核心问题。C/S框架高级版内提供了一套安全机制,数据通过特殊的加密处理,所以
php什么是api,php – 什么是API令牌
weixin_33481663的博客
03-19 833
我不是专家,但我会给你几美分,我已经拿起了:1)API令牌是一个通用术语.通常,API令牌是请求访问您的服务的应用程序的唯一标识符.您的服务将生成API令牌,供应用程序在请求服务时使用.然后,您可以将它们提供的令牌与您存储的令牌相匹配,以进行身份​​验证.可以使用会话ID,但其目的与API令牌不同.会话ID不是认证的形式,而是授权的结果.通常,一旦用户被授权使用资源(例如您的服务),就建立会话.因...
WebApi 接收参数不能为+ 需要前台对特殊字符进行转义
l123y123c123的博客
11-07 596
参考的这个博客:https://blog.csdn.net/ligaoming_123/article/details/84854002 用于学习记录,谢谢 如图:
WebAPI--安全性,身份验证和授权
耀的专栏
07-10 1924
WebAPI--安全性,身份验证和授权 在本系列文章中,介绍一些保护未经授权用户的Web API的选项。本系列将涵盖身份验证和授权。 1、身份验证是了解用户的身份。例如,Alice使用其用户名和密码登录,服务器使用密码对Alice进行身份验证。 2、授权决定是否允许用户执行操作。例如,Alice有权获取资源但不能创建资源。 本系列的第一篇文章概述了ASP.NET Web API中的身份验证和授权。其他主题描述了Web API的常见身份验证方案 WebAPI中的身份验证和授权 认证:WebA.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值