使用Session实现WEB API的授权管理

最新推荐文章于 2019-03-04 20:55:00 发布
最新推荐文章于 2019-03-04 20:55:00 发布
阅读量666 收藏
点赞数
文章标签: session web api .NET
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010675860/article/details/73792176
版权

最近在搞一个基于WEB API的项目,因为之前没接触过这块,所以走了很多弯路。现在把之前实现授权管理的思路记录一下。

(1)URL里带一个GUID当作令牌

用户输入用户名和密码,提交至api/login/login,API确认身份后在传回的HttpResponseMessage里带一个随机的GUID,服务器上有一个List存放这个ID和用户的对应关系。之后每次访问API时需要提交这个ID作为URL参数,API中使用一个公用方法进行验证。

        public static bool LegalRequest(string id)
        {//判断客户端提供的令牌是否合法,每次执行时清理无效令牌
            var delete = IdentityList.Where(tb => tb.InvalidTime <= DateTime.Now).ToList();
            foreach (var a in delete)
            {
                IdentityList.Remove(a);
            }
            bool isLegal = false;
            if (id == null)
                return isLegal;
            Guid identity = Guid.Empty;
            Guid.TryParse(id, out identity);
            if (identity == Guid.Empty)
                return isLegal;
            if (IdentityList.Where(tb => tb.IdentityID == identity).ToList().Count > 0)
                isLegal = true;
            return isLegal;
        }

这个方式可以拦截未授权的访问,但问题是所有的API以及访问API的地方都要添加相应的代码,而且安全性很低(只要拦截这个ID然后自己拼一个URL就可以绕过登陆)。所以后来改代码的时候用了别的方案。

(2)自定义Cookie+过滤器

后来网上找资料的时候学了过滤器(Filter)的使用方法,果断加到项目里。(http://www.cnblogs.com/Flyear/p/4875066.html)

基本逻辑是登录成功的时候生成一个票据,加密以后存到COOKIE里面。每次请求API的时候在HTTP请求里面带上这个COOKIE,然后在ActionFilterAttribute里对票据进行验证。

        public override void OnActionExecuting(HttpActionContext actionContext)
        {
            try
            {
                if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Count > 0)
                {//过滤允许匿名访问的action
                    base.OnActionExecuting(actionContext);
                    return;
                }
                var a = actionContext.Request.Headers;
                var cookie = a.GetCookies();//获取Cookies
                if (cookie == null || cookie.Count < 1)
                {
                    actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
                    return;
                }

                FormsAuthenticationTicket ticket = null;
                //遍历Cookies,获取验证Cookies并解密
                foreach (var perCookie in cookie[0].Cookies)
                {
                    if (perCookie.Name == FormsAuthentication.FormsCookieName)
                    {
                        ticket = FormsAuthentication.Decrypt(perCookie.Value);
                        break;
                    }
                }
                if (ticket == null)
                {
                    actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
                    return;
                }

                if (ticket.Expired)
                {
                    actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
                    return;
                }

                if (合法)//去数据库里验证
                {
                    actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
                    return;
                }


                //if (actionContext.Response.StatusCode!= HttpStatusCode.Accepted)
                //{
                //    actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
                //    return;
                //}

                // TODO: 添加其它验证方法

                base.OnActionExecuting(actionContext);
            }
            catch
            {
                actionContext.Response = new HttpResponseMessage(HttpStatusCode.Forbidden);
            }
        }

其实这么做和第一种方法差不多,不过拦截和重发cookie的难度稍微大一点点。。。

(3)Session

后来用Fiddler测试API的时候发现,WEB端每次登陆的时候会传一个.NET自带的Cookie(ASP.NET_SessionId),我想了一下,直接用这个Cookie来做身份验证不就省事了。API在登录成功后添加一条Session(同时会自动在context.Request.Cookies里面添加上面的Cookie)客户端提交这个Cookie,API收到Cookie就可以直接从Session中获取用户信息。

//API:登录成功以后添加Session                    
var context = HttpContext.Current;
                    context.Session["user"] = userinfo[0].F_UserName;
                    context.Session["userid"] = userinfo[0].F_UserID;
//WEB端后台:获取登陆成功信息以后修改Cookie
                    Response.Cookies.Clear();
                    if (response.Headers["Set-Cookie"] != null)
                    {
                        var s = response.Headers["Set-Cookie"].Split(';')[0].Split('=');
                        Response.Cookies.Add(new HttpCookie(s[0], s[1]));
                    }//设置cookie为API上的sessioncookie
//API:获取用户信息
Guid.TryParse(HttpContext.Current.Session["userid"].ToString(), out user);//这个代码既可以用来验证身份也可以用来获取用户信息
这个地方实现的时候有一点很坑,就是我项目里的WEB API 和WEB端是放一块的,但是Login页面提交的时候会自带一个SessionID,这个ID和API里的不一样,所以Login页面的后台在登录成功以后要清空原有的Cookie,然后把API返回的Cookie添加进去,而且Login页面的后台还要再添加一次Session供WEB端使用。至于Winform和Android端直接在提交HTTP请求的时候带上这个Cookie就行了。

这种方式不需要自己写很多代码,虽然仍然无法防御重放攻击,不过对于一般的应用已经足够了。

伊势平氏
关注
单点登录与权限管理web api)
05-18
使用wep api开发的单点登录,结合.net自带的权限验证,了一个登陆与权限管理的demo.
.net WebAPI访问授权机制及流程设计(header token+redis)
四点的博客
10-21 1374
背景: 1.需要在.net5 WebAPI添加访问授权机制,即实现在登录时颁发用户凭证,后续需要通过凭证访问其他接口,如果凭证不合法,不能正常访问接口; 2.网站嵌入到winform客户端,利用winform可以获取客户端的mac地址的权限,将mac地址作为权限的一部分,即将mac地址和账号绑定来实现账号只能在指定客户端电脑上使用; 3.为了防止在登录后获取token后在其他客户端上使用,利用IP绑定token; 实现: 首先在登录成功后,将客户端的IP作为加密key,username(登录
.net 单点登录与权限管理web api)
04-15
.net 单点登录与权限管理web api)
WebAPI——cookie与session遇到的问题
xcymorningsun的专栏
02-07 1万+
这两天要一个用户登陆验证的接口,用MVC这种action和view结合的的话比较好,但是直接使用webapi的过程遇到了不少困难,这里和大家分享一下== 一、WebAPIsession与cookie操作 由于两者用的框架不一样,当然webapi有自己的操作方法。 string user = HttpContext.Current.Request
web api 认证和授权
xuefeiliuyuxiu的专栏
08-05 4207
asp.net 生命周期事件和 http module和http handler 在IIS,每个请求会经历ASP.net 的生命周期事件,每个http module可以注册关心的生命周期事件,框架会在对应事件的时候调用module的注册事件处理程序。比如router module会注册before handler事件,用来查找request对应的request handler,formauth...
.NET6WebAPI使用Sqlserver+JWT增删改查
06-26
在本项目,".NET6WebAPI使用Sqlserver+JWT增删改查"是一个基于最新.NET框架.NET6构建的Web应用程序示例,主要用于演示如何利用ASP.NET Core Web API与SQL Server数据库进行数据操作,以及结合JWT(JSON Web Tokens...
基于.net6 webapi管理系统
10-10
综上所述,这个项目是一个综合运用了现代技术的后台管理系统,其核心在于使用.NET 6构建的WebAPI服务,为前端(使用LayuiMini)提供数据接口。数据库操作通过SQLSugar简化,同时借助Redis实现高效的数据缓存。权限...
servletApi.zip_web api java
09-24
这个"ServletApi.zip_web api java"文件包含的Servlet API.chm文件很可能是Oracle官方发布的Java Servlet API的帮助文档,用于开发者查阅和理解servlet的相关接口、类和方法。 Servlet API主要由以下关键组件构成:...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
WebAPI与JWT(JSON Web Tokens)身份验证是一种常见的安全机制,用于保护WebAPI接口免受未经授权的访问。JWT令牌提供了一种轻量级的方式来进行身份验证和授权,它允许服务器在客户端之间安全地传递信息,而无需存储...
web后端开发-实现Web端线上投票程序
最新发布
04-18
这可以通过会话管理实现,比如使用session ID或JWT(JSON Web Tokens)跟踪用户状态。同时,添加用户认证机制,如登录注册系统,确保只有已登录用户才能参与投票。 4. **安全考虑**:投票程序必须防范SQL注入、跨站...
.net版本单点登录与权限管理web api),可直接运行
01-31
.net版本单点登录与权限管理web api),可直接运行
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
WEB API权限整理
weixin_33691817的博客
05-09 750
2019独角兽企业重金招聘Python工程师标准>>> ...
WebApi 权限验证方式(特性)
weixin_30609287的博客
03-04 480
/// <summary> /// 自定义权限验证 /// </summary> /// <param name="context"></param> public void OnAuthorization(AuthorizationFilterContext context) ...
ASP.NET WEBAPI 的身份验证和授权
weixin_33912638的博客
07-28 2069
定义 身份验证(Authentication):确定用户是谁。 授权(Authorization):确定用户能什么,不能什么。 身份验证 WebApi 假定身份验证发生在宿主程序称。对于 web-hosting,宿主是 IIS。这种情况下使用 HTTP Module 进行验证。 验证时,宿主会创建一个表示安全上下文的主体对象(实现 IPrincipal),将它附加到当前线程。主体对...
Web用户的身份验证及WebApi权限验证流程的设计和实现
热门推荐
上步七星
01-18 5万+
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用
web api使用session的方法
yu13767514297的专栏
01-12 3742
我们在编写web api的时候需要将一些基本信息写入session一边下次使用session可以直接就可以使用的,但是我们在刚开始的时候,有可能会遇到一些报错的麻烦,这是因为web api需要手动编写代码开启session 的功能:具体方法是在在Global.asax里添加:开启Session功能  public class WebApiApplication : System.Web.H
webapi 访问权限
jeb222222的博客
06-05 4053
       最近在一个项目,前台使用的是angularjs,后台使用的是webapiwebapi不需要登陆,只需要知道方法就能直接访问,这个就比较郁闷了。因为之前也没有权限控制的问题,百度搜到了不少,但是都不能用,只能自己解决了,后来终于找到了一种可以实现的方法,只是不知道好不好,希望有人看到能给个答案。实现方法如下:      1、根据登陆信息(用户名,密码之类的)去数据库查询到用户信...
JFinal与RBAC模型结合实现多数据库权限管理
资源摘要信息:"基于最新版本的JFinal和RBAC模型实现的数据库权限管理系统" 知识点详细说明: 1. JFinal框架介绍: JFinal是一个简单、高效、强大的Java Web框架,它是基于Servlet API的轻量级Web框架。JFinal提供...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值