私人工具集6——webapi中的Token功能

已于 2022-02-19 17:31:27 修改
阅读量2.2k 收藏 7
点赞数
分类专栏: 小徐的私人工具集 文章标签: c# token webapi asp.net restful
于 2022-02-16 11:44:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redRnt/article/details/122956092
版权

子曰:工欲善其事,必先利其器

github:https://github.com/redAntCpp/CSharpTools

token的基本原理

token,引用百度百科的话语来说,就是:在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。
简单理解,在使用系统功能时,如果对安全要求比较高,则需要启动访问控制。举个例子,去电影院看电影,需要电影票。去医院看病,需要出示挂号凭证。
上述的电影票、挂号凭证就可以理解为是一种token。在规定的时间内有效,持此凭证即可使用相应的服务

基本流程

  1. 客户端请求服务端提供token。
  2. 服务端产生一个token,并设置token的有效期后,返回给客户端。
  3. 客户端持此token,调用服务端的其他服务。

通常,token广泛应用于WebApi的访问控制中。

实现逻辑

下载工具集

在这里插入图片描述

引用工具集

using JWT;
using JWT.Algorithms;
using JWT.Serializers;
using Newtonsoft.Json.Linq;//使用json对象要用到

生成token、解析token帮助类

建立一个帮助类,用来生成token、解析token。假设文件名为tokenHelper。这里实现的是步骤中的第二步。

private static string secret = HOTConfig.GetConfig().GetTokenSecret(); //"GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";
        /// <summary>
        /// 生成token
        /// </summary>
        /// <param name="payload">一个json对象,一般是验证信息。对这个json进行加密</param>
        /// <returns></returns>
        public static string SetJwtEncode(JObject payload)
        {
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serializer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
            var token = encoder.Encode(payload, secret); //加密
            return token;
        }
        /// <summary>
        /// 解析token
        /// </summary>
        /// <param name="token">之前生成的token</param>
        /// <returns>返回解析后的结果,这个返回类型必须与加密的入参类型一致。</returns>
        public static JObject GetJwtDecode(string token)
        {
            IJsonSerializer serializer = new JsonNetSerializer();
            IDateTimeProvider provider = new UtcDateTimeProvider();
            IJwtValidator validator = new JwtValidator(serializer, provider);
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            var algorithm = new HMACSHA256Algorithm();
            IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);
            var userInfo = decoder.DecodeToObject<JObject>(token, secret, verify: true);//token为之前生成的字符串
            return userInfo;
        }

获取token入口

这里实现的是步骤中的第一步。创建一个控制器,用于客户调用,获取token值。

/// <summary>
        /// 客户端调用此接口,用来获取token,创建token路由。
        /// </summary>
        /// <param name="userName"></param>
        /// <param name="passWord"></param>
        /// <returns></returns>
        [Route("token")]
        [HttpGet]
        public HttpResponseMessage CreateToken(string userName,string passWord)
        {
            Log.AddInfo("TokenController.CreateToken()", "Begin");
            string return_code;
            string return_msg;
            try
            {
                JsonDocument InData = new JsonDocument();
                InData.add(new JsonElement("userName", userName));
                InData.add(new JsonElement("passWord", passWord));
                JObject JInData = (JObject)JsonConvert.DeserializeObject(InData.innerText);
                Log.AddTrack("TokenController.CreateToken()", "判断用户合法性...");
                if (isAPIUser(userName, passWord))
                {
                    Log.AddTrack("TokenController.CreateToken()", "准备生成token");
                    string token = TokenHelper.SetJwtEncode(JInData);//生成token
                    Log.AddTrack("TokenController.CreateToken()", "token生成完毕:" + token);
                    return_code = "SUCCESS";
                    return_msg = "生成token成功";
                    JsonDocument outParam = new JsonDocument();//出参部分
                    outParam.add(new JsonElement("return_code", return_code));
                    outParam.add(new JsonElement("return_msg", return_msg));
                    outParam.add(new JsonElement("Token", token));
                    outParam.add(new JsonElement("expires_in", HOTConfig.GetConfig().GetTokenTimeStamp()));
                    //返回纯文本text/plain  ,返回json application/json  ,返回xml text/xml
                    HttpResponseMessage result = new HttpResponseMessage
                    {

                        Content = new StringContent
                        (
                            outParam.innerText,
                            Encoding.GetEncoding("UTF-8"),
                            "application/json"
                        )
                    };
                    Log.AddTrack("TokenController.CreateToken()", "End");
                    return result;
                }
                else
                {
                    return_code = "SUCCESS";
                    return_msg = "生成token失败:无效用户用与密码";
                    Log.AddError("TokenController.CreateToken()", "生成token失败:无效用户用与密码");
                    JsonDocument outParam = new JsonDocument();//出参部分
                    outParam.add(new JsonElement("return_code", return_code));
                    outParam.add(new JsonElement("return_msg", return_msg));
                    //返回纯文本text/plain  ,返回json application/json  ,返回xml text/xml
                    HttpResponseMessage result = new HttpResponseMessage
                    {

                        Content = new StringContent
                        (
                            outParam.innerText,
                            Encoding.GetEncoding("UTF-8"),
                            "application/json"
                        )
                    };
                    return result;
                }
               

            }
            catch (Exception ex)
            {
                return_code = "FAIL";
                return_msg = "获取token异常";
                JsonDocument outParam = new JsonDocument();//出参部分
                outParam.add(new JsonElement("return_code", return_code));
                outParam.add(new JsonElement("return_msg", return_msg + " :" + ex.Message));
                //返回纯文本text/plain  ,返回json application/json  ,返回xml text/xml
                HttpResponseMessage result = new HttpResponseMessage
                {

                    Content = new StringContent
                    (
                        outParam.innerText,
                        Encoding.GetEncoding("UTF-8"),
                        "application/json"
                    )
                };
                return result;
            }

        }

        //验证账号密码
        private bool isAPIUser(string userName,string password)
        {
            if(userName  == "test" && password == "1234")
            {
                return true;
            }
            else
            {
                return false;
            }
        }

实现token验证

这里实现第三步,实现验证。也是最重要的一步。
在app_start文件夹下,新建一个类文件,命名为APIFilter,命名可以随意,不过要记住,因为待会要用。
在这里插入图片描述
随后最关键的一步,这个类要继承验证类:

public class APIFilter : AuthorizeAttribute

下面介绍一下要重写的几个类:

  • OnAuthorization: 方法的解释为:为操作授权时使用。
  • IsAuthorized:指示指定的控件是否已经获得授权。如果已经获得授权,则返回true,否则返回false。
  • HandleUnauthorizedRequest:当授权失败时的处理。
token验证

我们的验证逻辑其实可以写在OnAuthorization或者IsAuthorized。这次我们写在IsAuthorized。
首先,声明全局变量private string ErrorMessage = "";
代码逻辑如下:

protected override bool IsAuthorized(HttpActionContext actionContext)
        {
            var httpContext = actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase;
            var authHeader = httpContext.Request.Headers["token"];
            if (authHeader == null)
            {
                ErrorMessage = "此接口必须携带token访问!";
                return false;//没有头文件为空,返回失败
            }
            else //字段值不为空
                {
                    JObject LoginInfo = TokenHelper.GetJwtDecode(authHeader);
                    string UserName = LoginInfo["userName"].ToString();
                    string PassWord = LoginInfo["PassWord"].ToString();
                    if (isAPIUser(UserName, PassWord))
                    {
                       //这里应该验证有效期,暂时没写,后续提供思路
                        return true;
                    }
                    else
                    {
                        ErrorMessage = "token验证失败:您没有权限调用此接口,请联系管理员!";
                        return false;
                    }

                }
        }

        private bool isAPIUser(string userName, string PassWord)
        {
            if (userName == "test" && PassWord == "1234")
            {
                return true;
            }
            else
            {
                return false;
            }
        }

注意:这里有一段代码var authHeader = httpContext.Request.Headers["token"];,意思是从请求头中获取token,所以调用者必须在请求头中带上token字段,并附上token字符串。类似下方:
在这里插入图片描述

token失败处理
protected override void HandleUnauthorizedRequest(HttpActionContext filterContext)
        {
            base.HandleUnauthorizedRequest(filterContext);

            var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage();
            response.StatusCode = HttpStatusCode.Forbidden;
            string erro = string.Format("{\"Error\" : \"{0}\"}", ErrorMessage);
            response.Content = new StringContent(erro, Encoding.UTF8, "application/json");
        }

response.StatusCode = HttpStatusCode.Forbidden;是指的服务端的状态码。这里也可以设置为401,具体码表见百度。

此时,我们已经可以使用上述代码进行token的生成与解密了,下一篇介绍一下token的验证机制以及时效性设置。

信息安全领域的个人防护指南——密码管理、网络攻防、操作系统、反病毒软件等
AI天才研究院
08-06 1808
2020年是信息安全行业的元年,数字化进程不断推进,各种攻击手段层出不穷,相关部门对个人信息安全保障的高度重视也正在得到提升。越来越多的人把注意力从传统安全保障转移到新的网络安全防护上来。本文将从个人防护角度,分享一些对个人信息安全进行全方位防护的知识和技巧。密码管理(Password Management)是指保管、管理、使用、共享用户账号和密码,确保用户信息安全的一项重要环节。可以帮助保护个人信息免受各种恶意攻击,促进网络安全运营,提高信息安全水平。
LLMs之Falcon:《The RefinedWeb Dataset for Falcon LLM: Outperforming Curated Corpora with Web Data, and
近期请国内外头部出版社可尽快私信博主!——心比天高,仗剑走天涯,保持热爱,奔赴向梦想!低调,谦虚,自律,反思,成长,还算是比较正能量的博主,公益免费传播……内心特别想在AI界做出一些可以推进历史进程影响力的东西(兴趣使然,有点小情怀,也有点使命感呀)…
06-10 1040
​ LLMs之Falcon:《The RefinedWeb Dataset for Falcon LLM: Outperforming Curated Corpora with Web Data, and Web Data Only》翻译与解读 目录 《The RefinedWeb Dataset for Falcon LLM:Outperforming Curated Corpora with Web Data, and Web Data Only》翻译与解读 Abstract摘要
WebApi_Token
08-06
WEBAPI+TOKEN验证 token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api 3.服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息
ASP.NET WebApi 基于OAuth2.0实现Token签名认证
weixin_30840253的博客
03-24 839
一、课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说,如何确保数据的安全将是我们需要思考的问题。为了保护我们的WebApi数据接口不被他人非法调用,我们采用身份认证机制,常用的身份认证方式用Https基本认证(结合SSL证书),在ASP.NET WebService服务可以通过SoapHead验证机制来实现,那么在...
.Net WebApi Token/参数校验:你真的会了吗?
最新发布
java专栏
10-05 822
除了使用OAuth外,我们还可以创建自定义的过滤器来校验Token。这种方法更灵活,可以根据特定需求进行调整。// 进行Token有效性检查if (!// 这里应实现Token校验逻辑// 示例假定Token总是有效的[HttpGet]代码解析定义了一个名为的自定义过滤器。在方法检查请求头的字段。如果Token无效,则返回HTTP 403 Forbidden。如果Token不存在,则返回HTTP 401 Unauthorized。
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
webapi token验证例子
06-05
webapi token验证例子
WebApi实现Token验证
Sqsdhc的博客
12-02 2836
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
elasticsearch基础6——head插件安装和web页面查询操作使用、ik分词器_elasticsearch-head
2401_84166896的博客
04-29 844
分析插件是一类插件,可通过向es添加新的分析器、标记化器、标记过滤器或字符过滤器等扩展es的分析功能。Head 插件首页由 4 部分组成:节点地址输入区域、信息刷新区域、导航条、概览的集群信息汇总。1.安装node.js环境,注意版本不要太高,不然会跟linux本身的依赖库包版本冲突报错。2.解压es-head安装包,安装依赖。1.列出当前已安装的插件。这里显示的就是我们已经安装了一个ik分词器插件。5.修改es配置文件,添加如下两行,解决跨域问题。6.重启es,es-head就可以连接es了。
JWT---Json Web Token
龙梓琦的博客
04-22 1680
一. 了解Auth0 一.简介 Auth0是一个身份管理平台 Auth0主要提供身份认证(即登录账号)与授权服务(不同级别的用户被允许访问的应用资源不同,即权限不同) 你的应用可以连接Auth0并定义你想使用哪些身份提供者(IdP),这决定了你的用户可以通过哪些身份提供者(比如:微软AD、谷歌账号、Facebook账号、GitHub账号等)登录你的应用。 基于你的应用里所用的编程语言和技术,你可以选择Auth0提供的相关SDK(或者直接嗲用Auth0的API)。这样每次用户尝试身份认证(登录)时
面试04——整理
HRX98的博客
03-12 770
1.抽象类怎么模拟接口 2.项目负责 3.线程与进程 4.List list =new Arraylist(Array.aslist(“a”,“b”,“c”,“d”)); ​ for(s:list){ ​ s.equls(“a”){ ​ s.removes() ​ } ​ } 5.io 异常关闭 应该在哪里关闭 6.public class test{ ​ private int value; ​ public void get(int x){ ​ this.value=x } publ
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 4201
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系非常重要的部分,在计算机身份认证是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
.net6 webapi 添加认证token
weixin_44535079的博客
04-17 1087
Authentication(认证) 和 Authorization(授权)傻傻分不清楚。
WebApi学习2:Token的理解和用法
weixin_44352179的博客
11-28 1145
石NANA学习之路https://blog.csdn.net/weixin_44352179 WebApi学习2:Token的理解和用法 第一次使用Token基于令牌的身份验证,想把对于Token的理解和使用心得分享给大家,文章不足之处还望海涵! 如何创建一个Web Api项目 Token验证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求...
webapi token
syrs1987的专栏
10-09 351
/// &lt;summary&gt; /// Token实体 /// &lt;/summary&gt; public class TokenEntity { /// &lt;summary&gt; /// token字符串 /// &lt;/summary&gt; public string access_token { get; set; } /// ...
【笔记】ASP.NET Core Web APIToken验证
夜飞鼠的专栏
04-16 2183
在实际开发,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程,常用的一种JWT身份验证方式。SON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。主要用于认证和保护API之间信息交换。JWT通常由三部分组成: 头信息(header), 消息体(payload)和
WebAPI身份认证Token
qq_41264896的博客
03-26 513
WebAPI身份认证Token
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值