Asp.Net WebAPI身份验证,授权/请求过滤,token验证,action过滤

最新推荐文章于 2023-06-26 08:00:00 发布
最新推荐文章于 2023-06-26 08:00:00 发布
阅读量3.6k 收藏 13
点赞数
分类专栏: ASP.NET Web API 文章标签: c# webapi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011511086/article/details/109465642
版权

微软官方参考文档
ASP.NET Web API 中的身份验证和授权
https://docs.microsoft.com/zh-cn/aspnet/web-api/overview/security/authentication-and-authorization-in-aspnet-web-api

ASP.NET Web API 2 中的身份验证筛选器
https://docs.microsoft.com/zh-cn/aspnet/web-api/overview/security/authentication-filters

AuthorizeAttribute过滤器执行顺序:
在这里插入图片描述

重写AuthorizeAttribute实现请求拦截

using System;
using System.Collections.Generic;
using System.Linq;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Web;
using System.Web.Http;
using System.Web.Http.Controllers;
using WebApi_Gdd_Performance_Reward.Model.Common;
using WebApi_Gdd_Performance_Reward.Model.View;

namespace WebApi_Gdd_Performance_Reward.Models
{
    /// <summary>
    /// 登录过滤
    /// </summary>
    public sealed class LoginFilter : AuthorizeAttribute
    {
        //会先进IsAuthorized方法,如果有return false的情况则才会走HandleUnauthorizedRequest
        //检查授权
        protected override bool IsAuthorized(HttpActionContext actionContext)
        {
            HttpResponseMessage response = actionContext.Response;
            var requestHeaders = actionContext.Request.Headers;
            AuthenticationHeaderValue authorization = actionContext.Request.Headers.Authorization;
            if (authorization == null)
            {
                requestHeaders.Add("errorMsg", "无效身份,请设置Authorization请求头");
                return false;
            }
            if (!authorization.Scheme.Equals("Bearer"))
            {
                requestHeaders.Add("errorMsg", "无效身份,请确保Authorization请求头值中以Bearer开头,格式:“Bearer KLeZicALNZcTK5cOmYkoQ7yHgegeeNEH5Btg1hGoM+XtP/u3dSoiM+ziNBSwQeXWHLxsTp”");
                return false;
            }
            string token = authorization.Parameter;
            string json = DESEncryptionHelper.DecryptDES(token);
            AdminView admin = Newtonsoft.Json.JsonConvert.DeserializeObject<AdminView>(json);
            if (admin == null)
            {
                requestHeaders.Add("errorMsg", "没有检出登录用户");
                return false;
            }
            if (Convert.ToDateTime(admin.ExpirationTime) < DateTime.Now)
            {
                requestHeaders.Add("errorMsg", "登录失效,请重新登录");
                return false;
            }
            return true;
        }

        //处理授权失败的请求,返回客户端消息
        protected override void HandleUnauthorizedRequest(HttpActionContext actionContext)
        {
            var response = new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
            string msg = "";
            try
            {
                msg = actionContext.Request.Headers.GetValues("errorMsg").FirstOrDefault();
            }
            catch (System.Exception)
            {
                msg = "此用户无权访问该操作";
            }
            if (!string.IsNullOrWhiteSpace(msg))
            {
                response.Content = new StringContent(msg);
                actionContext.Response = response;
            }
        }

    }
}

控制器方法:

  /// <summary>
        /// 新增一条用户
        /// </summary>
        /// <param name="user"></param>
        /// <returns></returns>
        /// 2020-11-2 17:08:18 添加
        [HttpPost]
        [LoginFilter]
        public async Task<IHttpActionResult> Add([FromBody] Users user)
        {
            var result = await userBusiness.AddAsync(user, CurrentLoginUser);
            return Json(result);
        }
王焜棟琦
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【笔记】ASP.NET Core Web APIToken验证
夜飞鼠的专栏
04-16 699
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。SON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。主要用于认证和保护API之间信息交换。JWT通常由三部分组成: 头信息(header), 消息体(payload)和
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 3918
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
ASP.NET WEBAPI身份验证授权
weixin_33912638的博客
07-28 2033
定义 身份验证(Authentication):确定用户是谁。 授权(Authorization):确定用户能做什么,不能做什么。 身份验证 WebApi 假定身份验证发生在宿主程序称中。对于 web-hosting,宿主是 IIS。这种情况下使用 HTTP Module 进行验证验证时,宿主会创建一个表示安全上下文的主体对象(实现 IPrincipal),将它附加到当前线程。主体对...
关于WEB Service&WCF&WebApi实现身份验证WebApi
weixin_33971205的博客
01-20 247
之前先后总结并发表了关于WEB Service、WCF身份验证相关文章,如下: 关于WEB Service&amp;WCF&amp;WebApi实现身份验证WEB Service篇、 关于WEB Service&amp;WCF&amp;WebApi实现身份验证之WCF篇(1)、关于WEB Service&amp;WCF&amp;WebApi实现身份验证之WCF篇(2) 今天再来总结关于如何...
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理办法
02-16
asp.net WebAPI OWIN OAuth2.0授权自定义返回结果及错误或异常问题处理核心代码,详情: https://www.cnblogs.com/wgx0428/p/12315546.html
ASP.NET Core Web API用户身份验证
lweiyue的专栏
05-07 4255
ASP.NET Core Web API用户身份验证的方法有很多,本文只介绍JWT方法。JWT实现了服务端无状态,在分布式服务、会话一致性、单点登录等方面凸显优势,不占用服务端资源。简单来说,JWT的验证过程如下所示:(1)通过用户名和密码获取一个Token。(2)访问API时,加上这个TokenToken包含过期时间、用户角色等信息,可以在多种场合灵活使用。
学习总结之 WebApi 用户登录和匿名登录,及权限验证
weixin_33772645的博客
04-23 1032
近些天,看了一些博客园大牛关于webApi项目的的文章,也有请教师兄一些问题,自己做了个Demo试了试,收获甚多。感谢感谢,下面是我一些学习的总结,如若有错的地方请多多指教!!   WebApi登陆与身份验证 因为在调用接口的时候都必须传sessionKey参数过去,所以必须先登录验证身份。 如果是已注册用户则账号登陆,获得其身份标识的 sessionkey,如果是非账户用户则可以匿名登陆...
WebApi授权拦截——重写AuthorizeAttribute
fangyuan621的专栏
11-15 1733
跟mvc一样,webapi大多通过附加Authorize特性来实现授权Authorize授权失败时返回状态码:401。一般系统状态为401时,服务端就Redirect重定向到登录页。 问题来了,我们的webapi在为富客户端ajax提供服务时,合理的做法是无论服务端发生什么情况,都尽可能给客户端返回json,才方便ajax回调函数解析。而重定向到登录了,则将返回登录页的一串html,ajax回调函数就傻傻的分不清楚啦。 当然,解决办法是有的,思路为:重写Authorize的Hand...
ASP.NET Core Web APIToken验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6156
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
ASP.NET MVC API 接口验证的示例代码
10-19
ASP.NET MVC API 接口验证是确保只有经过授权的客户端能够访问特定的API资源的关键步骤。在本文中,我们将深入探讨如何在ASP.NET MVC框架下实现API接口的验证,通过示例代码来帮助理解这一过程。 首先,让我们了解...
asp.net mvc core 集成 qq 登录功能
10-30
ASP.NET MVC Core 是微软开发的一款基于.NET Core框架的开源Web应用程序框架,用于构建现代、高性能、模块化的Web应用。在ASP.NET MVC Core中集成QQ登录功能,可以让用户使用其QQ账号进行快速登录,提高用户体验并...
dotnet-一个基于aspnetcore2xmysqljwt开发的webapi项目
08-15
【标题】"dotnet-一个基于aspnetcore2xmysqljwt开发的webapi项目" 描述了一款使用ASP.NET Core 2.x框架、MySQL数据库以及JWT(JSON Web Token)技术构建的Web API服务。这个项目旨在提供一个示例或者基础模板,帮助...
在ashx中验证是否登陆、是否有操作权限的基类
04-02
在.NET开发环境中,ASP.NET Web API或传统的ASP.NET应用程序经常使用ASHX(HTTP Handler)来处理特定的HTTP请求。这些处理程序通常用于提供轻量级的API服务或者执行某些特定的任务。在标题提及的场景中,“在ashx中...
struts+token机制解决表单重复提交
06-21
3. **验证Token**: 服务器接收到请求后,首先检查请求中的Token是否与Session中存储的Token匹配,同时检查Token是否过期(如设置一个有效期,如5分钟)。如果匹配且未过期,则认为是合法的请求。 4. **处理请求与...
Asp.Net WebApi Token验证 权限验证
qq_37935177的博客
07-03 2888
原文地址 https://www.cnblogs.com/w5942066/p/12055542.html 作者 魏杨杨 1、前言 WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用。Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能。我上次写的《Asp.Net MVC WebAPI的创建与前台Jquery ajax后台HttpClient调用详解》这种跟明显安全性不是那么好,于是乎这个就来了 ,用户需要访问的API都必须带有票据过来,说白了就是登陆之后含有用户
WebApi实现Token验证
Sqsdhc的博客
12-02 2709
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
Web用户的身份验证WebApi权限验证流程的设计和实现
热门推荐
上步七星
01-18 5万+
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证
ASP.NET WebApi(四)【身份认证解决方案:Basic基础认证】
极客神殿
01-20 1112
一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要知道了我们服务的url,就能随意访问我们的服务接口,从而访问或修改数据库。 1、我们不加身份认证,匿名用户可以直接通过url随意访问接口: 可以看到,匿名用户直接通过url就能访问我们的数据接口,最终会发生什么事,大家可以随意畅想。 2、增加了身份认证之后,只有带了我们访问票据的请求才能访问我们的接口。 例如我们直接通过url访问,会返回401 如果是正常流程的请求,带了票据,就OK了。 可以看到,正常流程的请求
.net core webapi怎样配置token验证
最新发布
08-17
### 回答1: 在 .NET Core Web API 中进行 Token 验证通常涉及以下步骤: 1. 安装 Microsoft.AspNetCore.Authentication.JwtBearer 包。 2. 在 Startup.cs 文件的 ConfigureServices() 方法中添加身份验证服务,包括 JWTBearerOptions 配置。 3. 在 Startup.cs 文件的 Configure() 方法中启用身份验证中间件。 以下是一个基本的示例: ```csharp using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.IdentityModel.Tokens; using System.Text; public void ConfigureServices(IServiceCollection services) { // 配置身份验证服务 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = Configuration["Jwt:Issuer"], ValidAudience = Configuration["Jwt:Audience"], IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:SecretKey"])) }; }); // 其他服务注册... } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { // 启用身份验证中间件 app.UseAuthentication(); // 其他中间件注册... } ``` 上述代码中,我们使用了 `AddAuthentication()` 方法来配置身份验证服务,并指定了 JWTBearerDefaults.AuthenticationScheme 作为默认身份验证方案。 接着,我们使用 `AddJwtBearer()` 方法来配置 JWTBearerOptions,其中 `TokenValidationParameters` 属性用于指定 Token 验证参数,例如验证发行者、受众、过期时间、签名密钥等。 最后,在 Configure() 方法中,我们调用 `UseAuthentication()` 方法来启用身份验证中间件,以确保每个请求都进行身份验证。 ### 回答2: 在.NET Core Web API中配置Token验证,可以按照以下步骤进行操作: 1. 添加NuGet包:在项目中添加Microsoft.AspNetCore.Authentication和Microsoft.AspNetCore.Authentication.JwtBearer两个NuGet包。 2. 配置认证服务:在Startup.cs文件的ConfigureServices方法中添加以下代码,以启用Bearer令牌验证: ``` services.AddAuthentication(options => { options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, // 验证发行人 ValidateAudience = true, // 验证受众 ValidateLifetime = true, // 验证生命周期 ValidateIssuerSigningKey = true, // 验证颁发的签名密钥 ValidIssuer = "your_issuer", // 设置发行人 ValidAudience = "your_audience", // 设置受众 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")) // 设置签名密钥 }; }); ``` 3. 配置授权:在Startup.cs文件的Configure方法中添加以下代码,以启用授权中间件: ``` app.UseAuthentication(); app.UseAuthorization(); ``` 4. 添加[Authorize]特性:在需要验证Token的Controller或Action上添加[Authorize]特性。 现在,当客户端请求受保护的Controller或Action时,将自动检查请求中的Token是否有效。如果Token验证失败,将返回401 Unauthorized状态码。如果验证成功,则可以继续处理请求。 ### 回答3: 在.NET Core WebAPI中配置Token验证主要涉及以下几个步骤: 1. 导入所需的包:首先,需要在`Startup.cs`文件中的`ConfigureServices`方法中导入所需的包。使用`Microsoft.AspNetCore.Authentication.JwtBearer`包来配置JWT验证。 2. 配置认证服务:在`ConfigureServices`方法中使用`services.AddAuthentication`来添加认证服务,并指定默认的身份验证方案。例如: ```csharp services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.RequireHttpsMetadata = false; // 是否要求HTTPS options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, // 验证发行者 ValidateAudience = true, // 验证接收者 ValidateLifetime = true, // 验证令牌有效期 ValidateIssuerSigningKey = true, // 验证签名 ValidIssuer = "your_issuer", ValidAudience = "your_audience", IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")) }; }); ``` 在上述代码中,可以根据自己的需求调整参数值,如验证发行者、接收者、令牌有效期、签名等。 3. 应用认证中间件:在`Configure`方法中,使用`app.UseAuthentication()`来应用认证中间件。确保此代码位于路由中间件之前。例如: ```csharp app.UseAuthentication(); app.UseRouting(); app.UseAuthorization(); ``` 4. 使用`Authorize`特性:在需要进行Token验证的Controller或Action上,可以使用`Authorize`特性来标记,以进行访问控制。例如: ```csharp [Authorize] public class MyController : ControllerBase { // ... } ``` 5. 在请求中包含Token:最后,在发送请求时,需要在请求头中包含Bearer Token,以进行验证。例如: ``` Authorization: Bearer your_token ``` 通过以上配置,就可以在.NET Core WebAPI中实现Token验证。这样,当请求到达API时,API验证Token的有效性,并对请求进行授权控制,确保只有拥有有效Token的用户可以访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

王焜棟琦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值