ASP.NET Web API 2基于令牌的身份验证

最新推荐文章于 2021-01-27 16:26:19 发布
最新推荐文章于 2021-01-27 16:26:19 发布
阅读量179 收藏
点赞数 1
文章标签: postman
原文链接:http://www.cnblogs.com/zxh1919/p/7764219.html
版权

ASP.NET Web API 2基于令牌的身份验证

基于令牌的认证

    我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。

    WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗?

    下面我们花个20分钟的时间来实现一个简单的WEB API token认证:

 

Step 1: 新建一个空的WEB API项目,项目名称就设置为WebApi

 

Step 2: 在Models目录下新建一个 Product 类 :

按 Ctrl+C 复制代码
using System; using System.Collections.Generic; using System.Linq; using System.Web; namespace WebApi.Models { public class Product { public int Id { get; set; } public string Name { get; set; } public string Category { get; set; } public decimal Price { get; set; } } }
按 Ctrl+C 复制代码

Step 3:在Controllers目录下新建一个 ProductsController 类

按 Ctrl+C 复制代码
using System; using System.Collections.Generic; using System.Linq; using System.Net; using System.Web.Http; using WebApi.Models; namespace WebApi.Controllers { [RoutePrefix("api/Products")] public class ProductsController : ApiController { Product[] products = new Product[] { new Product { Id = 1, Name = "Tomato Soup", Category = "Groceries", Price = 1 }, new Product { Id = 2, Name = "Yo-yo", Category = "Toys", Price = 3.75M }, new Product { Id = 3, Name = "Hammer", Category = "Hardware", Price = 16.99M } }; public IEnumerable<Product> GetAllProducts() { return products; } public Product GetProductById(int id) { var product = products.FirstOrDefault((p) => p.Id == id); if (product == null) { throw new HttpResponseException(HttpStatusCode.NotFound); } return product; } public IEnumerable<Product> GetProductsByCategory(string category) { return products.Where(p => string.Equals(p.Category, category, StringComparison.OrdinalIgnoreCase)); } } }
按 Ctrl+C 复制代码

F5运行后就可以使用这个简单的WebApi了,测试api可以使用Postman工具:

    获取所有数据  http://localhost:1234/api/products

    获取内码为1的数据  http://localhost:1234/api/products/1

    查询category=的数据  http://localhost:1234/api/products?category=Groceries

 

    可以看到这个产品的API是公开访问的,没有任何验证,这样不是很安全,下一步我将加上token验证。

 

Step 4:安装所需的NuGet包:

打开NuGet包管理器控制台,然后输入如下指令:

Install-Package Microsoft.AspNet.WebApi.Owin -Version 5.1.2
Install-Package Microsoft.Owin.Host.SystemWeb -Version 2.1.0
Install-Package Microsoft.AspNet.Identity.Owin -Version 2.0.1 Install-Package Microsoft.Owin.Cors -Version 2.1.0 Install-Package EntityFramework -Version 6.0.0

Step 5:在项目根目录下添加Owin“Startup”类

按 Ctrl+C 复制代码
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Web.Http; using Owin; using Microsoft.Owin; using Microsoft.Owin.Security.OAuth; [assembly: OwinStartup(typeof(WebApi.Startup))] namespace WebApi { public class Startup { public void Configuration(IAppBuilder app) { HttpConfiguration config = new HttpConfiguration(); ConfigureOAuth(app); WebApiConfig.Register(config); app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll); app.UseWebApi(config); } public void ConfigureOAuth(IAppBuilder app) { OAuthAuthorizationServerOptions OAuthServerOptions = new OAuthAuthorizationServerOptions() { AllowInsecureHttp = true, TokenEndpointPath = new PathString("/token"), AccessTokenExpireTimeSpan = TimeSpan.FromDays(1), Provider = new SimpleAuthorizationServerProvider() }; app.UseOAuthAuthorizationServer(OAuthServerOptions); app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions()); } } }
按 Ctrl+C 复制代码

 

Step 6:删除Global.asax 

我们已经设置了Setup类,就不需要Global了,删掉干净;

 

Step 7:在项目根目录下添加验证类 SimpleAuthorizationServerProvider,为了简单用户的验证部分我们省略掉;

按 Ctrl+C 复制代码
using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Threading; using System.Threading.Tasks; using Microsoft.Owin; using Microsoft.Owin.Security.OAuth; using System.Security.Claims; namespace WebApi { public class SimpleAuthorizationServerProvider : OAuthAuthorizationServerProvider { public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context) { context.Validated(); } public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context) { context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] { "*" }); /* * 对用户名、密码进行数据校验,这里我们省略 using (AuthRepository _repo = new AuthRepository()) { IdentityUser user = await _repo.FindUser(context.UserName, context.Password); if (user == null) { context.SetError("invalid_grant", "The user name or password is incorrect."); return; } }*/ var identity = new ClaimsIdentity(context.Options.AuthenticationType); identity.AddClaim(new Claim("sub", context.UserName)); identity.AddClaim(new Claim("role", "user")); context.Validated(identity); } } }
按 Ctrl+C 复制代码

 

Step 7:让CORS起作用

在ASP.NET Web API中启用OAuth的Access Token验证非常简单,只需在相应的Controller或Action加上[Authorize]标记

修改ProductsController类

按 Ctrl+C 复制代码
using System; using System.Collections.Generic; using System.Linq; using System.Net; using System.Web.Http; using WebApi.Models; namespace WebApi.Controllers { public class ProductsController : ApiController { Product[] products = new Product[] { new Product { Id = 1, Name = "Tomato Soup", Category = "Groceries", Price = 1 }, new Product { Id = 2, Name = "Yo-yo", Category = "Toys", Price = 3.75M }, new Product { Id = 3, Name = "Hammer", Category = "Hardware", Price = 16.99M } }; [Authorize] [Route("")] public IEnumerable<Product> GetAllProducts() { return products; } [Authorize] public Product GetProductById(int id) { var product = products.FirstOrDefault((p) => p.Id == id); if (product == null) { throw new HttpResponseException(HttpStatusCode.NotFound); } return product; } [AllowAnonymous] public IEnumerable<Product> GetProductsByCategory(string category) { return products.Where(p => string.Equals(p.Category, category, StringComparison.OrdinalIgnoreCase)); } } }
按 Ctrl+C 复制代码

 

现在我们再次直接GET http://localhost:23477/api/products/ 会返回401错误,请求被拒绝

 

获取token, POST   http://localhost:23477/token

参数BODY x-www-form-urlencoded 格式:

grant_type=password

username=admin 

password=123456

返回200状态,内容为:

复制代码
复制代码 
{
  "access_token": "eLjAu3Alm2YWjJKXmX_fLY07P6vbIzxasFECkDap3KIE0Ydp7IGhTgrzWLtPdgrK46rfAB-OmJSG5C8Bh-PkfG3XrGS0uDea2KBXyoWSR11evTGJiVIyXny3Ih2DkH04qH2T_Ar4kIjcAngPtUnsEVex26tV4QHIrjCq5SlkOdfdAa9Pnl98QVwYH47yO-zlc55bwMgpR2J4fQLyNzWVHNZpH3DbOcHQ3Yenemr6XhM",
  "token_type": "bearer",
  "expires_in": 86399
}
复制代码
复制代码

只要在http请求头中加上Authorization:bearer Token就可以成功访问API就成功了:

GET   http://localhost:23477/api/products/

Authorization : bearer eLjAu3Alm2YWjJKXmX_fLY07P6vbIzxasFECkDap3KIE0Ydp7IGhTgrzWLtPdgrK46rfAB-OmJSG5C8Bh-PkfG3XrGS0uDea2KBXyoWSR11evTGJiVIyXny3Ih2DkH04qH2T_Ar4kIjcAngPtUnsEVex26tV4QHIrjCq5SlkOdfdAa9Pnl98QVwYH47yO-zlc55bwMgpR2J4fQLyNzWVHNZpH3DbOcHQ3Yenemr6XhM

 

这样我们就完成了简单的WEB API的token验证~

转载于:https://www.cnblogs.com/zxh1919/p/7764219.html

weixin_30319153
关注
WebApi基于令牌的简述和应用
Steven的博客
03-11 1338
我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。然而在WebAPI中,我们采用类似的方式,带有验证的令牌模式,方便移动端和项目内部调用,能够解耦合,便于维护,可扩展延伸。 一、OAuth简介 1、什么是OAuth OAuth是一个关于授权(Authorization)的开放网...
asp.net webapi2 基于token令牌身份验证
03-27
asp.net webapi2 基于token令牌身份验证 通过浏览器模拟附加token的headers请求授权
ASP.NET WEB API2+Owin+AngularJS实现Token验证
03-03
基于ASP.NET WEB API2,Owin和ASP.NET Identity的Token令牌验证,允许刷新令牌Refresh Token,并且实现认证服务和资源服务分离
ASP.NET ZERO 学习 —— (8) 开发手册之基于令牌的身份认证&其他
alistair_chow的博客
03-01 2304
基于令牌的身份认证对于浏览器,ASP.NET Zero 使用基于Cookie的身份认证,但是,如果在移动应用程序中使用Web API或应用服务(通过动态Web API公开),可能需要基于令牌的身份认证机制。ASP.NET Zero中包含令牌身份认证基础架构。在.WebApi项目中的AccountController 有一个Authenticate 动作,用于获取令牌,然后你就可以在后续请求中使用该令
使用基于自定义令牌身份验证保护ASP.NET Web API
04-11
总结来说,基于自定义令牌身份验证是保护ASP.NET Web API的一种强大方式。通过结合适当的服务器配置、令牌生成和客户端集成,可以实现安全、无状态的身份验证,适合现代分布式应用的需求。同时,配合SQL数据库的...
声明和基于令牌身份验证ASP.NET Web API
04-05
在实现声明和基于令牌身份验证时,ASP.NET Web API开发者通常会使用OAuth2服务器库,如Thinktecture IdentityServer或Microsoft Identity Platform。这些库提供了一整套工具和服务,用于生成和验证令牌,处理授权...
ASP.NET Web API and Angular 2 pdf 0分
10-14
而Angular 2则在客户端实现了基于令牌身份验证机制,如使用JSON Web Tokens(JWT)来确保用户身份的安全。开发者需要在设计应用程序时考虑这些安全特性,确保用户的数据安全和应用程序的完整。 最后,文档提到了...
CSharpExpenseCalculator:ASP.NET Web API,Angular CLI,实体框架(带有令牌身份验证的预算应用)
01-30
ASP.NET Web API,Angular / CLI,实体框架(带有令牌身份验证的预算应用) 马库斯·巴恩斯(Marcus Barnes) 目的:这是一个带有数据库表的简单ASP.NET Web API项目,旨在演示如何将实体框架与数据库中的表一起...
webapi2 的简单规则
softuse的博客
03-22 193
Nginx NHibernate WebApi httpget 函数里的参数是正常的 httppost 函数里的参数前需要加[FromBody],在请求时传参时,一个参数用"",多个参数用对象, (参数也有特定的格式,格式不是常见的key-value格式) webapi 模型绑定器寻找的时候,并不是按照key去查找,而是空字符串 路由前置 get请求多个对象? usin...
webapi鉴权使用token令牌
小鱼破浪的博客
07-08 7872
一为什么使用Token验证:在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认 证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保 存的session中,然后在存一份到cookie中,来保持用户的会话有效性,但是会在客户...
webapi集成owin使用Oauth认证时能获取accee_token仍无法登录的解决办法
weixin_33924220的博客
07-15 185
HttpConfiguration webapiConfig = new HttpConfiguration(); IIocBuilder iocBuilder = new OwinAutofacIocBuilder(services, app, webapiConfig); HelpPageConfig.Regi...
【转】在ASP.NET Web API 2中使用Owin基于Token令牌身份验证
sinolover的专栏
01-27 1915
基于令牌身份验证 基于令牌身份验证主要区别于以前常用的基于cookie的身份验证,基于cookie的身份验证在B/S架构中使用比较多,但是在Web Api中因其特殊性,基于cookie的身份验证已经不适合了,因为并不是每一个调用api的客户端都是从浏览器发起,我们面临的客户端可能是手机、平板、或者app。 使用基于Token令牌身份验证有一些好处: 服务器的可伸缩性:发送到服务器的令牌是自包含的,不依赖于共享会话存储 松散耦合:前端应用程序位于特定的身份验证机制耦合,令牌是从服务器生成的,并且
Asp.Net WEBAPI 增加身份验证 (OAUTH 2.0方式)
Vic的博客
05-08 3611
WEBAPI 增加身份验证 (OAUTH 2.0方式)把第四点钟11行到18行改成你自己的验证代码就行了GitHub上也有源代码供你下载
WebApi 增加身份验证 (OAuth 2.0方式)
weixin_30448685的博客
05-15 459
1,在Webapi项目下添加如下引用: Microsoft.AspNet.WebApi.Owin Owin Microsoft.Owin.Host.SystemWeb Microsoft.Owin.Security.OAuth Microsoft.Owin.Security.Cookies Microsoft.AspNet.Identity.Owin Microsoft.Owin.C...
Web API与JWT认证
weixin_30411819的博客
11-01 170
​JWT(Json Web Token)定义了一种使用Json形式在网络间安全地传递信息的简洁开放的标准(RFC 7519)。JWT使用数字签名确保信息是可信的。一、Session认证和Token认证Http协议本身是无状态的,如果用户向服务器传递了用户名和密码进行了用户认证,那么下一次请求时用户还是需要进行同样的认证,因为根据Http协议,我们无法知道请求是由哪个用户发出的。所以,为了...
使用OAuth打造webapi认证服务供自己的客户端使用
weixin_34060299的博客
10-28 820
一、什么是OAuth OAuth是一个关于授权(Authorization)的开放网络标准,目前的版本是2.0版。注意是Authorization(授权),而不是Authentication(认证)。用来做Authentication(认证)的标准叫做openid connect,我们将在以后的文章中进行介绍。 二、名词定义 理解OAuth中的专业术语能够帮助你理解其流程模式,OAuth中常用的名...
WebApi_基于token的多平台身份认证架构设计(Z)--------PS:转载大神的博客
weixin_42065904的博客
06-21 468
链接https://blog.csdn.net/u010265681/article/details/76651766
ASP.NET WebApi 实现Token验证
cxu123321的博客
05-29 2049
ASP.NET WebApi 实现Token验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗? 下面我们花个20分钟的时间来实现一个简单的WEB API token认...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值