一沙框架(YiShaAdmin) -WebAPI添加身份认证

最新推荐文章于 2024-09-13 22:20:47 发布
最新推荐文章于 2024-09-13 22:20:47 发布
阅读量5k 收藏 8
点赞数 1
分类专栏: YiShaAdmin 文章标签: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shiyiyuedeliuye/article/details/122263803
版权

记录YiShaAdmin webAPI站点添加身份认证功能。

Github 下载下来代码发现API身份认证功能貌似没有写完,所以补充这个功能。

没有身份认证时,不用输入token 可以任意调用api接口,显然不符合常理。

接下来进行改造,三步走:

  1. 设置Authorization header
  2. 修改AuthorizeFilterAttribute
  3. API接口授权

具体如下:

  1. 设置Authorization header

        StartUp.cs文件ConfigureServices方法增加如下代码

 

#region Auth
            //Bearer 的scheme定义
            var securityScheme = new OpenApiSecurityScheme()
            {
                Description = "JWT Authorization header using the  scheme. Example: \"Authorization: {token}\"",
                Name = "Authorization",
                In = ParameterLocation.Header,
                Type = SecuritySchemeType.ApiKey,
                Scheme = "",
                BearerFormat = "JWT"
            };
            var securityRequirement = new OpenApiSecurityRequirement
                        {
                        {
                                new OpenApiSecurityScheme
                                {
                                    Reference = new OpenApiReference
                                    {
                                        Type = ReferenceType.SecurityScheme,
                                        Id = "token"
                                    }
                                },
                                new string[] {}
                        }
                    };

 #endregion

        修改Swagger注入

	 services.AddSwaggerGen(options =>
	            {
	                var xmlPath = Path.Combine(AppContext.BaseDirectory, $"{Assembly.GetExecutingAssembly().GetName().Name}.xml");
	                options.SwaggerDoc("v1", new OpenApiInfo { Title = "YiSha Api", Version = "v1" });
	                options.IncludeXmlComments(xmlPath, true);
	
	                options.AddSecurityDefinition("token", securityScheme);
	                options.AddSecurityRequirement(securityRequirement);
	            });

        重新运行项目会发现Authorize在Swagger上已生效

2. 修改AuthorizeFilterAttribute 

AuthorizeFilterAttribute.cs文件添加如下代码

	private static readonly MenuAuthorizeBLL menuAuthorizeBLL = new MenuAuthorizeBLL();
        private static readonly MenuBLL menuBLL = new MenuBLL();

OnActionExecutionAsync方法在sw.Start();和sw.Stop();间修改代码如下:

	ActionExecutedContext resultContext = null;
	            string token = context.HttpContext.Request.Headers["Authorization"].ParseToString();
	
	            var actionName = context.ActionDescriptor.RouteValues["action"];
	
	            OperatorInfo user = await Operator.Instance.Current(token);
	            if (user != null)
	            {
	
	                #region 验证权限
	                var temp = await menuAuthorizeBLL.GetAuthorizeList(user);
	                // 获取当前请求的URL
	                var url = context.HttpContext.Request.Path.ToString();
	                var menu = menuBLL.GetEntity(url);
	                if (menu != null && menu.Result.Data != null)
	                {
	                    var menuid = menu.Result.Data.Id;
	                    var t = temp.Data.Where(w => w.MenuId == menuid).Any();
	                    if (t)
	                    {
	                        //有授权
	                    }
	                    else
	                    {
	                        //未授权
	                        //context.HttpContext.Response.StatusCode = 401;
	                        TData obj = new TData();
	                        obj.Tag = 0;
	                        obj.Message = "抱歉,您没有权限";
	                        context.Result = new JsonResult(obj);
	                        return;
	                    }
	                }
	                else
	                {
	                    //未授权
	                    //context.HttpContext.Response.StatusCode = 401;
	                    TData obj = new TData();
	                    obj.Tag = 0;
	                    obj.Message = "抱歉,您没有权限";
	                    context.Result = new JsonResult(obj);
	                    return;
	                }
	                #endregion
	       resultContext = await next();
	                // 根据传入的Token,设置CustomerId
	                if (context.ActionArguments != null && context.ActionArguments.Count > 0)
	                {
	                    PropertyInfo property = context.ActionArguments.FirstOrDefault().Value.GetType().GetProperty("Token");
	                    if (property != null)
	                    {
	                        property.SetValue(context.ActionArguments.FirstOrDefault().Value, token, null);
	                    }
	                    switch (context.HttpContext.Request.Method.ToUpper())
	                    {
	                        case "GET":
	                            break;
	
	                        case "POST":
	                            property = context.ActionArguments.FirstOrDefault().Value.GetType().GetProperty("CustomerId");
	                            if (property != null)
	                            {
	                                property.SetValue(context.ActionArguments.FirstOrDefault().Value, user.UserId, null);
	                            }
	                            break;
	                    }
	                }
	            }
	            else
	            {
	                if (IgnoreToken.Contains(actionName))
	                {
	                    resultContext = await next();
	                }
	                else
	                {
	                    context.HttpContext.Response.StatusCode = 401;
	                    return;
	                }
	
	            }

验证一下直接请求接口,返回401 符合预期

设置token后,再请求看看

 

         返回没有权限,接下来看看如何授权

3. API接口授权

        在菜单中添加API请求URL,然后授权该菜单到需要的角色,当用户的token请求时会解析当前token所属用户属于哪个角色,以及这个角色可访问哪些菜单,在AuthorizeFilter中检测当前请求的Url是否在该用户可访问的菜单中来验证用户是否有调用该API的权限

         添加菜单

        API授权给角色 

 再次请求接口,发现已可以正常请求到数据

最后,优化下授权页面

 新增菜单类型"API",菜单列表页添加API类型图标显示,如下图

 菜单“API清单”设置禁用状态,这样避免在左侧显示API链接。

至此,所有功能设置完毕。

源码地址:GitHub - 6Qiang/YiShaAdmin: 基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观。演示版 http://106.14.124.170/admin基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观。演示版 http://106.14.124.170/admin - GitHub - 6Qiang/YiShaAdmin: 基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观。演示版 http://106.14.124.170/adminhttps://github.com/6Qiang/YiShaAdmin/

 

6.Qiang
关注
专栏目录
YiShaAdmin:基于.NET Core MVC的权限管理系统,代码易读易懂,界面简洁美观。演示版http:106.14.124.170admin
02-04
YiShaAdmin YiShaAdmin基于.NET Core Web开发,嵌入了很多开源项目的优点,让你开发Web管理系统和移动端Api更简单,所以我也把她开源了。她可以使用所有的Web应用程序,例如网站管理后台,CMS,CRM,ERP,OA类别的系统和移动端Api。如果对你有帮助,请帮忙给个star :) YiShaAdmin版本 .NET Core版本 是否支持 3.1(当前) 3.1 支持 2.2 2.2 支持(已发布) 内置功能 员工管理:员工是系统操作者,该功能主要完成系统用户配置 部门管理:配置系统组织机构(公司,部门,小组) 职位管理:配置系统用户所担任职务 文章中心
一沙框架(YiShaAdmin) -修改数据后回到起始页的解决办法
Shiyiyuedeliuye的专栏
01-12 2553
yishaadmin修改数据后回到起始页的解决办法,保持在修改前的页码,分页组件在修改数据后不返回到第一页
【.net core】yisha框架获取api接口中的传入token
MoFe1的博客
09-13 169
【.net core】yisha框架获取api接口中的传入token
YiShaAdmin安装与配置完全指南
最新发布
gitblog_09171的博客
09-13 493
YiShaAdmin安装与配置完全指南 YiShaAdmin 基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观 项目地址: https://gitcode.com/gh_mirrors/yi/YiSha...
【.Net Core】yisha框架,配置SQL SERVER数据库读写分离,及多库操作
MoFe1的博客
07-08 1215
【.Net Core】yisha框架,配置SQL SERVER数据库读写分离,及多库操作
推荐项目:YiShaAdmin
gitblog_00005的博客
03-23 718
推荐项目:YiShaAdmin 项目地址:https://gitcode.com/gh_mirrors/yi/YiShaAdmin 简介 YiShaAdmin 是一个基于 .NET Core 技术栈的后台管理系统模板。它采用了现代化的前端框架 Vue.js 和 Element UI 来搭建用户界面,提供了丰富的后台管理功能,包括用户管理、角色管理、权限管理、部门管理等。同时,它还提供了一些常用的工...
[开源项目] Net.Core -iShaAdmin 基于.NET Core Web开发
混迹自留地
02-25 1254
YiShaAdmin 是一款基于.NET Core Web + Bootstrap的企业级快速后台开发框架。内置模块如:用户管理、部门管理、菜单管理、角色权限设置、日志管理、新闻管理等。 在线定时任务配置;支持Sql Server、MySql和Oracle数据库(最后附上壁纸) YiShaAdmin 是一个开源的后台管理系统快速开发框架,基于.NET Core Web技术(ASP.NET Core Web,ASP.NET Core Web Api),主要目的让开发者专注业务, 降低技术难度,从而节省人力成本
YiShaAdmin常用
weixin_52182681的博客
06-16 2595
$("#paperType").ysComboBox({ url: "/Course/Course/GetListJson", key: "Id", value: "CourseName", class: "form-control" }) $("#marriage").ysComboBox({ data: top.getDataDict("IsOrNot"), key: "DictKey", value: "DictValue", clas.
一沙C#框架 yishaadmin FindList() sql语句查询方法使用
gold_su的博客
05-08 1904
一沙MVC框架应用 数据查询功能,BaseRepository()中sql语句查询 sql语句分页查询方法:public async Task<(int total, IEnumerable<T> list)> FindList<T>(string strSql, Pagination pagination) where T : class 非sql的方法调用语句:await this.BaseRepository().FindList(expression, pa
混合式开发框架-WebAPI整合说明书
12-24
**2.3 WebAPI使用安全令牌的实现**:安全令牌是另一种常用的WebAPI安全机制,通常用于实现无状态的认证。客户端在登录成功后会获得一个唯一的令牌,之后的每次请求都会携带该令牌,服务器端会根据令牌验证用户身份。...
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
C#WebApi提供了多种身份验证方式,其中Basic认证是一种简单但实用的策略。本文将详细介绍Basic认证的原理及实现方法。 一、为什么需要身份认证 WebApi服务若无身份认证,任何知道接口URL的人都能通过HTTP请求...
YiShaAdmin:基于 .NET Core MVC 的权限管理系统,代码易读易懂、界面简洁美观。演示版 http
05-10
YiShaAdmin YiShaAdmin 基于.NET Core Web开发,借鉴了很多开源项目的优点,让你开发Web管理系统和移动端Api更简单,所以我也把她开源了。 她可以用于所有的Web应用程序,例如网站管理后台、CMS、CRM、ERP、OA这类的系统和移动端ApiYiShaAdmin 版本 .NET Core 版本 是否支持 3.1(当前) 3.1 支持 2.2 2.2 支持(Released) 内置功能 员工管理:员工是系统操作者,该功能主要完成系统用户配置 部门管理:配置系统组织机构(公司、部门、小组) 职位管理:配置系统用户所担任职务 文章中心:管理新闻及公司案例 角色管理:角色菜单权限分配,角色对应权限,员工属于某个角色 菜单管理:配置系统菜单,操作权限,按钮权限标识 通用字典:系统里动态改变的数据,像文章类型,用字典进行维护,不变的数据,可以用枚举 行政区划:全国的
asp.net基于JWT的web api身份验证及跨域调用实践
10-18
本文将介绍使用 JWT(JSON Web Tokens)在 *** 中实现 Web API 身份验证以及如何处理跨域调用的实践技巧。 首先,我们来解释什么是 JWT。JWT 是一种开放标准(RFC 7519),它定义了一种简洁的、自包含的方式用于...
.Net WebAPi JWT身份验证
11-07
JSON Web Token(JWT)是一种轻量级的身份验证和授权机制,被广泛应用于API访问控制。本文将深入探讨如何在.NET Framework 4.6.2的WebAPI项目中实现JWT身份验证。 首先,理解JWT的基础概念。JWT是一个自包含的令牌...
django-rest-framework-api-key:使用Django REST框架Web API进行身份验证的额外层
02-04
framework-api-key 验证使用Django REST Framework创建的Web API支持Python(2.7、3.3、3.4、3.5) Django(1.8、1.9、1.10) Django Rest框架(3+)安装使用pip安装: pip install drfapikey将“ rest_framework_...
yishaadmin报错,Sequence contains no elements:序列不包含元素
gold_su的博客
09-24 2809
我的代码: var list = await this.BaseRepository().FindList<EmployeeEntity>(sql); List < EmployeeEntity> srList = list.ToList(); return srList.First(); 连接数据库查询后,srList没有查询到数据, 因此 srList.First() 取集合第一个对象时就会出现这个异常, 解决方案: ...
IIS部署YiShaAdmin
南意的博客
04-24 1114
IIS部署YiShaAdmin背景要求和材料具体步骤效果 背景 作业 要求和材料 dotnet 2.2 IIS YiShaAdmin 具体步骤 下载dotnet,版本2.2 安装IIS 执行以下任意两个bat文件,打包发行YiShaAdmin 同级目录下生成以下两个文件,对Admin授予访问权限 打开IIS,创建网站,文件目录锁定至Admin 效果 ...
软件测试:IIS部署发布YiShaAdmin
热门推荐
qq_44459787的博客
04-23 1万+
- 第一步:IIS功能开启 [控制面板]->[程序与功能]->[启用或关闭Windows功能]。 确认开启之后,在浏览器url一栏输入localhost验证是否正确启用IIS。 - 第二步:YiShaAdmin环境配置 IDE选择 由于C盘容量限制,笔者选择使用VsCode来部署项目,事实上代码部分需要修改的是很少的,因此不会有很大的影响。 数据库选择 根据YiShaAdmin的官方文档给出的配置选择 ,笔者选择使用了之前使用过的Navicat for MySQL,版本满足5.7以上即
.NET-1.理论知识(历史介绍和了解)
joyyi9的博客
04-05 5870
理论知识 .Net 理论知识前言一、 .NET是开发平台1.**.NET是 .NET Framework、.NET Core、Xamarin/Mono的统称。**2、.NET Framework缺点3、.NET Core的优点4、.NET Standard类库5、.NET 开发工具6、常用的dotnet 命令行7、其他二、学习参考1. NuGet2. 异步编程3. lambda与LINQ3. 依赖注入总结 前言 请详细看官方文档 一、 .NET是开发平台 1..NET是 .NET Frame
ASP.NET JWT Web API 身份验证与跨域调用示例
ASP.NET基于JWT的Web API身份验证及跨域调用实践是一篇关于如何在ASP.NET Web API项目中集成JSON Web Tokens (JWT) 进行身份验证和处理跨域请求的文章。JWT被广泛用于现代Web应用,因为它能够解决传统Cookie依赖的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值