Asp.Net WebApi身份认证ticket(随手笔记)

最新推荐文章于 2024-06-13 10:15:54 发布
最新推荐文章于 2024-06-13 10:15:54 发布
阅读量1.2k 收藏
点赞数
分类专栏: .NET Framework
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41863998/article/details/109580051
版权

WebApi身份认证ticket

a.授权配置

a1.命名空间引用

  • System.Web.Http
  • System.Web.Http.Controllers
  • System.Web.Security

a2.身份认证授权配置

/// <summary>
/// 身份认证配置
/// </summary>
public class CommonBasicAuthorize: AuthorizeAttribute
{
    /// <summary>
    /// 接收身份票据 2020-11-09 09:10 abel
    /// </summary>
    /// <param name="actionContext">请求操作上下文</param>
    public override void OnAuthorization(HttpActionContext actionContext)
    {
        //1.从当前请求中获取HTTP内容包含的用户代理的身份认证信息
        var userAuthorization = actionContext.Request.Headers.Authorization;

        //2.判断用户代理的身份认证信息是否有数据;如果有(解密ticket),如果没有(走允许匿名访问)
        if (userAuthorization != null && userAuthorization.Parameter != null)
        {
            //3.验证用户代理的身份认证信息的凭据
            if (CheckTicket(userAuthorization.Parameter))
                //4.1如果认证通过,则让当前请求获得授权(如果控件已获得授权,则为:true;否则为:false)
                base.IsAuthorized(actionContext);
            else
                //4.2认证没有被通过授权(拒绝访问:401)
                HandleUnauthorizedRequest(actionContext);
        }
        else
        {
            var attributeList = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
            //1.判断每一个元素是否允许匿名特性(也就是说请求接口是否设置成匿名访问:[AllowAnonymous])
            bool allowAnonymous = attributeList.Any(attribute => attribute is AllowAnonymousAttribute);
            if (allowAnonymous)
                //2.1如果确实有匿名特性,则认证通过
                base.OnAuthorization(actionContext);
            else
                //2.2没有匿名特性不通过授权(拒绝访问:401)
                HandleUnauthorizedRequest(actionContext);
        }
    }

    /// <summary>
    ///验证票据信息中用户名和密码是否正确 2020-11-09 09:22 abel
    /// </summary>
    /// <param name="ticket">加密后的票据信息</param>
    /// <returns></returns>
    private bool CheckTicket(string ticket)
    {
        //1.先解密ticket
        var userData = FormsAuthentication.Decrypt(ticket).UserData;
        //2.从解密后的字符串中获取用户名和密码
        int p = userData.IndexOf("&");
        string userName = userData.Substring(0, p);
        string userPwd = userData.Substring(p + 1);
        //3.到数据库中查询是否能够找到用户信息
        return true;
    }
}

b.获取授权

b1.用户登陆,返回ticket接口

 /// <summary>
 /// 登陆
 /// </summary>
 public class LoginController : ApiController
 {
     /// <summary>
     /// 用户登陆接口 2020-11-09 11:32 abel
     /// </summary>
     /// <returns></returns>
     [AllowAnonymous] //跳过身份验证
     [HttpPost]
     public object UserLogin() 
     {
         object encryptTicket = new { };
         try
         {
             HttpContextBase context = (HttpContextBase)Request.Properties["MS_HttpContext"];//获取传统context     
             HttpRequestBase request = context.Request;//定义传统request对象
             string UserCode = request["UserCode"].ToString();

             //1.生成身份验证票据
             FormsAuthenticationTicket userTicket = new FormsAuthenticationTicket(0, "UserName", DateTime.Now, DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", "UserName", "UserPwd"), FormsAuthentication.FormsCookiePath);
             //2.将身份票据返回
             encryptTicket = new { Success = true, Ticket = FormsAuthentication.Encrypt(userTicket), Msg = "获取成功" };
         }
         catch (Exception)
         {
             encryptTicket = new { Success = false, Msg = "出现异常" };
         }

         return encryptTicket;
     }
 }

b2.前端请求ticket

$.ajax({
     url: "/api/Login/UserLogin",
     type: "post",
     data: {
         UserCode: "620915"
     },
     success: function (data) {
         if (data.Success == true) {
             userTicket = data.Ticket;
         }
     }
 });

c.携带ticket,请求数据

c1.需要授权认证的数据接口

/// <summary>
/// 测试授权认证特性的控制器
/// </summary>
[CommonBasicAuthorize]
public class StudentController : ApiController
{
    /// <summary>
    /// 查询学生数据 2020-11-09 13:23 abel
    /// </summary>
    /// <returns></returns>
    //[AllowAnonymous] //匿名验证
    [HttpPost]
    public object GetSearchStudentData() 
    {
        object json = new { };

        try
        {
            HttpContextBase context = (HttpContextBase)Request.Properties["MS_HttpContext"];//获取传统context     
            HttpRequestBase request = context.Request;//定义传统request对象
            int UserCode = int.Parse(request["UserCode"].ToString());
            DataTable dt = CreateStudent_Dt();
            for (int i = 0; i < 10; i++)
            {
                DataRow dataRow = dt.NewRow();
                dataRow["Stu_ID"] = i + 1;
                dataRow["UserCode"] = UserCode;
                dataRow["Stu_Name"] = "张三";
                dataRow["Stu_Age"] = 18 + i;
                dt.Rows.Add(dataRow);
            }

            json = new { Success = true, data = dt, Msg = "查询成功" };
        }
        catch (Exception)
        {
            json = new { Success = false, Msg = "出现异常" };
        }
        return json;
    }

    public DataTable CreateStudent_Dt()
    {
        using (DataTable dt = new DataTable())
        {
            dt.Columns.Add("Stu_ID", typeof(int));
            dt.Columns.Add("UserCode", typeof(int));
            dt.Columns.Add("Stu_Name", typeof(string));
            dt.Columns.Add("Stu_Age", typeof(string));
            return dt;
        }
    }
}

c2.请求数据

$.ajax({
    url: "/api/Student/GetSearchStudentData",
    type: "post",
    data: {
        UserCode: "620915"
    },
    beforeSend: function (xmlHttpRequest) {
        xmlHttpRequest.setRequestHeader("Authorization", "BasicAuthorize " + userTicket); //异步请求之前向Http的head里面加入票据信息
    },
    success: function (Result) {
        console.log(Result);
    },
    error: function (XHR) {
        var status = JSON.stringify(XHR.status);
        if (status == 400) {
            alert("错误请求,如语法错误");
        } else if (status == 401) {
            alert("请求授权失败");
        } else if (status == 403) {
            alert("请求不允许");
        } else if (status == 404) {
            alert("没有发现文件、查询或URL");
        } else if (status == 500) {
            alert("服务器产生内部错误");
        } else {
            alert("出现异常:" + JSON.stringify(XHR));
        }
    }
});

c3.注意

  • [CommonBasicAuthorize] 声明控制器需要携带身份认证才能正常访问
  • [AllowAnonymous] 声明当前接口可以跳过身份验证直接访问接口(匿名验证)
无味无感
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
asp.net webapi2 基于token令牌的身份验证
03-27
本文将深入探讨ASP.NET WebAPI2如何实现基于Token的令牌身份验证。 首先,我们需要理解Token的身份验证原理。这种机制下,用户登录后,服务器会生成一个唯一的Token,这个Token包含了一些关于用户的信息,经过加密...
接口的安全设计三要素:ticket,签名,时间戳
资料免费分享,点击名片
08-06 439
概述与前端对接的API接口,如果被第三方抓包并进行恶意篡改参数,可能会导致数据泄露,甚至会被篡改数据,我主要围绕时间戳,token,签名三个部分来保证API接口的安全性1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。3.但这依然存在问题,可能会被进行恶意无限制访问,这时我们需要引入一个时间戳参数,
ticket、token、RPC是什么
热气球
08-19 6719
文章目录SSO技术中ticket和cookie有什么区别?sso技术中ticket和cookie的区别token是什么意思?什么是http接口?API 是什么ticket机制rpc是什么 SSO技术中ticket和cookie有什么区别? 其实无论是ticket还是cookie,都是验证信息的一种具体表现。 cookie是具体指在网页上缓存的已经验证的信息,而ticket则可以以任何形式存在,包括cookie。 sso技术中ticket和cookie的区别 1、dua ticket to +地点 (例:zh
基于用户Ticket的后台身份验证
最新发布
m0_74899849的博客
06-13 384
**HTTPS:** 所有涉及Ticket的通信都应该通过HTTPS进行,以保护Ticket不被网络攻击者窃取。- **加密与签名:** Ticket通常是加密的,并且可能包含服务器的数字签名,以防止伪造和篡改。- **绑定:** Ticket可以绑定到特定的客户端或设备,以防止被窃取后在其他设备上使用。- **用户体验:** 用户可以在有效期内无需重复登录,提供了更好的用户体验。- **时间限制:** Ticket有严格的有效期,过期后需要重新登录。
ASP.NET 身份验证、会话状态
u013400314的博客
09-26 885
持久性 Cookie 不超时。在认证阶段,ASP.NET会检查当前请求,根据web.config设置的认证方式,尝试构造HttpContext.User对象供我们在后续的处理中使用。在授权阶段,会检查当前请求所访问的资源是否允许访问,因为有些受保护的页面资源可能要求特定的用户或者用户组才能访问。mode="SqlServer" 存储在sql server中特点:工作负载会变大,但信息不会丢失 stateConnectionString :指定asp.net应用程序存储远程会话状态的服务器名,默认为本机。
java shiro做登陆权限控制
k21325的博客
10-27 2624
1.环境 jdk1.7 spring.version 4.2.2.RELEASE shiro.version 1.2.5 开发工具 eclipse Mars.1 Release (4.5.1) 2.pom引入 org.apache.shiro shiro-core ${shiro.version} org.apache.shiro shiro-web ${sh
.net的FormsAuthenticationTicket session、cookies验证用户信息用法的区别
weixin_34406061的博客
03-21 138
FormsAuthenticationTicket session、cookies为3种常用的验证用户登陆的方法,下边说一下他们的区别: 1)FormsAuthenticationTicket 是。net framework2.0及其以上版本中固有的验证机制,其本质是把用户的cookies信息加密存储在客户端,这样可以部分降低服务器端的内存消耗,不必像session那...
ASP.NET WebAPI连接数据库的方法
10-18
主要为大家详细介绍了ASP.NET WebAPI连接数据库的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
使用基于自定义令牌的身份验证保护ASP.NET Web API
04-11
总结来说,基于自定义令牌的身份验证是保护ASP.NET Web API的一种强大方式。通过结合适当的服务器配置、令牌生成和客户端集成,可以实现安全、无状态的身份验证,适合现代分布式应用的需求。同时,配合SQL数据库的...
创建一个完整的ASP.NET Web API项目
01-20
在本文中,我们将深入探讨如何创建一个完整的ASP.NET Web API项目,并介绍该框架的一些关键特性。 首先,我们来创建一个Web API项目。在Visual Studio 2013中,选择“新建项目”,然后在项目模板中找到"ASP.NET Web...
【转】WebApi 身份认证解决方案:Basic基础认证
sinolover的专栏
11-20 733
参考路径:https://www.cnblogs.com/landeanfen/p/5287064.html 前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要.
shiro框架如何保持登录状态
目标检测专栏持续更新中,改进YOLO系列通用,适用v5、v7、v8、所有博客均是团队原创博客,所有文章禁止转载,违者必究。
04-25 1262
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、shiro保持登录状态的方式? 二、具体过程 1.登录系统 2.关闭浏览器 3.登出系统 4.RememberMe功能 前言 最近一段时间在研究shiro框架,发现网上很少有讲在登录之后,shiro是如何保持登陆状态的,或者换句话说就是后台服务能够在你登录之后,知道你是谁,知道你有哪些权限,知道你的角色是什么 一、shiro保持登录状态的方式? 现在大部分的web项目都是采用前后端分离的架构,而保持登录状态
分布式权限 shiro + jwt + redis(第三期)
qq_21561833的博客
10-30 1402
但是自己这个项目最开始使用的shiro,而且权限对应的角色,菜单都已经写好了,所以主体采用的shiro。使用jwt 标识每个用户的身份。使用redis 存储每个用户的权限。JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串。在这个realm里面有认证和授权的逻辑。然后可以从jwt字符串中解析出用户的id。生成token,将用户id和锁拥有的权限存储进入redis。
Web用户的身份验证及WebApi权限验证流程的设计和实现
热门推荐
上步七星
01-18 5万+
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用
.NET 登录票据的后台验证及取值
weixin_57046706的博客
11-16 460
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Security; using Newtonsoft.Json; namespace StaffMsg { public class CommHelp { //创建票据 public static void GetTick(Models.LoginAdmin ...
webAPI中使用FormsAuthenticationTicket作为登录权限票据
weixin_30597269的博客
11-02 566
最近在做的项目得到经验,在做登录的时候,使用FormsAuthenticationTicket, 登录成功以后生成cookia作为登录态维护,票据作为调用其他接口的凭据,票据生成后传到前台作为调用接口的凭证,这里有二种情况 一:不在登录的时候使用cookia,而是根据用户名和webconfig里面的设置使用cookia作为登录的时效维护 (1)登录成功以后FormsAuthenticati...
Web Api Token验证
plx的IT路
10-04 4695
我最近刚学习web api,所以写的一token认证比较简单 1、新建一个web api的项目 2、打开Provides中的这个类 3、在这个类的GrantResourceOwnerCredentials方法中进行认证修改 4、注释掉这个方法中的东西,自己写认证 UserDomain user = new UserDomain(new UserRepos...
单点登录SSO(cookie和ticket)实现
づ開始懂了的博客
09-03 2万+
本篇是对项目中用到单点登录的一些总结整理,具体的内容是结合自己找的一篇博客(下面会给大家贴出),主要是用cookie和ticket实现的。 单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 WEB-SSO的实现 众所周知,Web协议(也就是HTTP)是一
ASP.NET编程知识】asp.net基于JWT的web api身份验证及跨域调用实践.docx
05-18
"asp.net基于JWT的web api身份验证及跨域调用实践" ASP.NET Web API 身份验证通常涉及确保只有经过验证的用户能够访问受保护的API资源。JSON Web Token (JWT) 是一种安全的身份验证和授权机制,适用于现代分布式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值