ASP.NET WebAPI 双向token实现对接小程序登录逻辑

最新推荐文章于 2024-07-23 22:26:15 发布
最新推荐文章于 2024-07-23 22:26:15 发布
阅读量726 收藏 2
点赞数
文章标签: c# 前端 测试 ViewUI
原文链接:http://www.cnblogs.com/mooncake-wong/p/9728828.html
版权

最近在学习用asp.net webapi搭建小程序的后台服务,因为基于小程序端和后台二者的通信,不像OAuth(开放授权),存在第三方应用。所以这个token是双向的,一个是对用户的,一个是对接口的。本来做了一份是用Oauth的,用的是第三种密码策略模式。但是因为不存在第三方应用,所以不用Oauth这种授权标准。
这个Sample是用简单三层做的,书上得来终觉浅,绝知此事要躬行,实践一次就知道wepapi与前端如何通过token认证进行逻辑交互。

搭建项目

  1. 搭建项目这一点不多说,直接新建一个空的,
    579459-20180930114009713-407537750.png

    用AuthorizationFilter筛选器完成授权

    为什么会用MVC里用到的AuthorizationFilter呢,具体其实我当时不知道WebAPI里面能不能用,但因为领导说最好小程序访问进来,有一个统一验证的方法。因为我之前在另一个项目里创建了一个控件器基类,BaseController,用于做登录验证,权限验证,日志记录,以及公共方法。因为用了OnActionExecuting,所以当时想也没有想,直接搜索Web API OnActionExecuting,看到Web API也有Filter的相关资料。最后参考了[Web APi之认证(Authentication)]((https://www.cnblogs.com/CreateMyself/p/4857799.html),从而顺利完成了这个双向token认证逻辑。
    首先,在Controllers文件夹里创建AuthFilterAttribute,即自定义Filter特性。这个class里面先重写OnAuthorization方法。

    ///
    /// 最先运行的Filter,被用作请求权限校验
    ///
    public class AuthFilterAttribute : AuthorizationFilterAttribute
    {
    public override void OnAuthorization(HttpActionContext actionContext)
    {}
    }

Web APi之认证(Authentication)两种实现方式【二】(十三)

token规则以及解析请求报文头
   OnAuthorization是重写的。那么具体应该写什么呢?当然是进行验证当前的请求是否有授权,是否是 符合要求的请求报文头。
   public override void OnAuthorization(HttpActionContext actionContext)
    {
        //如果用户方位的Action带有AllowAnonymousAttribute,则不进行授权验证
        if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any())
        {
            return;
        }
        string authParameter = null;
        var authValue = actionContext.Request.Headers.Authorization;//actionContext:Action方法请求上下文
        if (authValue != null && authValue.Scheme == "BasicAuth")//这里有BasicAuth和参考资产里面的不同,我们没有认定类,这里的BasicAuth就算是我们自定义的token规则。其实主要是我还没有了解认证身份以及了解GenericIdentity。
        {
            authParameter = authValue.Parameter;  //获取请求参数
            var authToken = authParameter.Split('|');  //取出参数,参数格式为(当前时间:加密后的token)将其进行分割
            Logging.Error(authParameter);
            if (authToken.Length < 2)
            {
                actionContext.Response = new HttpResponseMessage(HttpStatusCode.NotAcceptable);//参数不完整,返回406不接受
            }
            else
            {
                
                //参数完整,进行验证
                if (ValidateToken(authToken[0],authToken[1]))
                {
                    base.OnAuthorization(actionContext);
                }
                else
                {
                    actionContext.Response = new HttpResponseMessage(HttpStatusCode.ExpectationFailed);//验证不通过,未满足期望值417
                }
            }

        }
        else
        {
            //如果验证不通过,则返回401错误,并且Body中写入错误原因
            actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized, new HttpError("Token 不正确"));
        }

    }
token验证
 //验证token
    public bool ValidateToken(string loginTime,string token)
    {
        bool flag = true;
        DateTime checkTime = DateTime.Parse(loginTime);

        //先验证时间是否过期
        DateTime nowtime = DateTime.Now;

        TimeSpan a = nowtime - checkTime;

        Logging.Error("a:"+ a.TotalSeconds);

        if (a.TotalSeconds > 120)//时间过期
        {
            flag = false;
        }
        else
        {
            string checkToken = Utils.GetTokenString(loginTime);
            Logging.Error("1:"+checkToken+";2:"+token);
            //比较token
            if (token.Equals(checkToken, StringComparison.CurrentCultureIgnoreCase))
            {
                flag = true;
            }
            else
            {
                flag = false;
            }

        }
        return flag;
    }
测试请求授权
  1. 新建一个Contorller,添加一个名为Test的Action进行测试
[HttpGet]
    [Authorize]
    [Route("Test")]
    //public string Test()
    public WxResponseResultModel Test()
    {
        WxResponseResultModel rsEntity = new WxResponseResultModel();
        rsEntity.Code = "200";
        rsEntity.Message = "这是后台传的测试方法";
        //return "这是后台传的测试方法";
        return rsEntity;
    }
  1. 前端页面请坟,在本机新建html页面进行测试,token使用了MD5加密方式。
 var keyStr = '123456';
    var timestamp = getMyFormatDate(new Date(),'yyyy-MM-dd hh:mm:ss');//获取当前时间
    console.log("timestamp:" + timestamp);
    var token = hexMD5(keyStr + timestamp);
    console.log("token:" + token);
    var apiServiceBaseUri = "http://localhost:52545/";
    $(function () {
        var data = {code:"25"};
        $.ajax({
            beforeSend: function (xhr) {
                xhr.setRequestHeader('Authorization', 'BasicAuth ' + timestamp+"|"+token);//token规则
            },
            url: apiServiceBaseUri + 'Login/Test',
            type: "GET",
            dataType: 'json',
            success: function (data) {
                alert(data.Message);
                //alert(Message);
            }
        });
    });

首先测试没有[Authorize]的时候,因为最先执行的就是AuthorizationFilter,所以毫无悬念会进入OnAuthorization()进行验证。
579459-20181008150746853-2077011133.png
579459-20181008150803181-413190040.png

其次,在Test这个Action添加[Authorize]看看,这里会有一个疑问,明明是应该认证的方法,添加了[Authorize]属性,更加应该进入OnAuthorization()才对,为什么会拒绝认证呢?
579459-20181008150840888-1930012264.png
579459-20181008150853234-1217976027.png

这是因为是配置文件中,配置了全局过滤器。

//注册全局Filter
        config.Filters.Add(new AuthFilterAttribute());
把[Authorize]换成配置的[AuthFilter]属性,就可以成功访问了。
发布IIS,联合小程序测试
由于小程序对ajax这一块进行了封装,请求统一使用 wx.request请求,使用wx.request加入报文报求的时候,不像ajax这样,写在beforeSend里面。wx.request是写在header里面。token规则在app.js里面做了全局变量调用。

 wx.request({
         url: app.globalData.api + 'Login/Test',
         method: "GET",
         header: { 
         'Authorization': app.globalData.header,
         'content-type': 'application/json',
        }, // 设置请求的 header
        success: function (res) {
        //如果是对象的话,写法为
          console.log(res.data.Message);
         // console.log(res.data);
        },
        fail:function(res){
         console.log("fail:" + res)
       }
  });

测试期间出现一个bug,提示如下:
未能找到 CodeDom 提供程序类型“Microsoft.CodeDom.Providers.DotNetCompilerPlatform.CSharpCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=1.0.3.0, Culture=neutral, PublicKeyToken=31bf385

579459-20181009093208348-1417112134.png

解决办法参考:

未能找到 CodeDom 提供程序类型

参考资料:

api token参考资料

api接口token验证

小程序登录逻辑参考资料

ASP.NET WebApi作服务端开发小程序实现微信授权用户登录实例——登录逻辑1

ASP.NET WebApi作服务端开发小程序实现微信授权用户登录实例——登录逻辑2

ASP.NET WebApi作服务端开发小程序实现微信授权用户登录实例——登录逻辑3

本文WebAPI源代码

转载于:https://www.cnblogs.com/mooncake-wong/p/9728828.html

weixin_30532973
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C# ASP.NET Core Web API Redis使用教程(二)
菜鸟的专栏
12-28 3176
C# ASP.NET Core Web API Redis使用教程(二)
小程序服务器token,小程序-登录-token
weixin_42366447的博客
08-05 3071
1.前端调用wx.login()获取code值2.前端通过调用wx.getUserInfo获取iv、rawData、signature、encryptedData等加密数据,传递给后端3.服务器通过code请求api--auth.code2Session,换回session_key和openid示例代码(判断用户的openid是否在数据库中不在就加入成为会员,再给前端发送token(随机字符,也可...
C# .Net 微信小程序登录授权等
weixin_54629917的博客
05-30 692
当使用 .NET Core 来实现微信小程序授权登录功能时,我们需要遵循微信小程序的开发文档,并结合后端服务进行开发。
ASP.NET WebApi 如何使用 OAuth2.0 认证
yangshuquan的专栏
05-11 1296
OAuth2.0 和 JWT 在使用 Token 进行身份验证时有相似之处,如果只是拿来用于颁布 Token 的话,二者没区别,如本例,但实际上它们是完全不同的两种东西,OAuth2.0 是授权认证的框架,JWT 则是认证验证的方式方法(轻量级概念)。OAuth2.0 更多用在使用第三方账号登录的情况(比如使用 weibo,qq,github 等登录某个 app)其优势在于可以实现用户授权而无需透露密码,同时提供了更安全和灵活的授权机制,更好地保护用户数据和系统安全。
ASP.NET WEBAPI实现微信接入验证
极客神殿
05-09 735
ASP.NET WEBAPI实现微信接入验证 首先你需要一个微信公众号,很重要的是你需要完成认证,这点非常重要,如果不认证优先功能无法实现。 当你完成公众号的基本设定后,我们需要为开发做第一件事情:基本配置。下面我摘抄了微信开发文档中关于接入指南的部分图文 登录微信公众平台官网后,在公众平台后台管理页面 - 开发者中心页,点击“修改配置”按钮,填写服务器地址(URL)、Token和Encoding...
.Net WebApi— SwaggerUI配置
qq_38567182的博客
12-29 1911
搭建wepai 接口开发和管理
ASP.NET MVC WebApi接口授权验证
耀的专栏
07-10 1506
ASP.NET MVC WebApi接口授权验证 对于很多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程。使用面向接口编程的时候,就会有很多的权限验证,用户验证等等。 特别是对于一些系统来说,别人想要对接你的系统,同步系统数据,那么就必须要提供对外访问接口。当然,这对外接口也不是随便就提供的,对于一些机密数据,那么对于别人想要使用你的数据,就必须按照一个标准来。我系统对外提供接口,想要用这个接口必须要通过身份认证才行。举个例子:你想去我家,你必须经过我的同意和我给你的钥
Asp.Net Web Api 与 Andriod 接口对接开发经验,给小伙伴分享一下!
weixin_33691700的博客
06-24 571
最近一直急着在负责弄Asp.Net Web Api 与 Andriod 接口开发的对接工作! 刚听说要用Asp.Net Web Api去跟 Andriod 那端做接口对接工作,自己也是第一次接触Web Api,我就开始了边学习边开发,甚至连自己都没有来得急去理解和消化一些知识,就得去做项目了,感觉还是挺赶,挺忙的,很多东西都是在地铁上学习到的,很感谢 ( Artech 和 张善友 )大神的博文 ...
ASP.Net实现网页授权获取OpenId
Wxhwyr的博客
04-18 1023
基础授权(snsapi_base)只能获取用户的 OpenID,而静默授权(snsapi_userinfo)可以获取用户的基本信息(昵称、头像等)(公众号的appsecret),然后拼 Url 并发送请求,最后返回获取到的openId,以下是完整的。将 URL 中的参数名称/值编码为合法的格式,有时候可能会有这种情况,参数名为。在获取用户授权后,微信会重定向到开发者指定的回调 URL,并附带一个。在微信用户拦截的场景中,通常会使用微信网页授权机制来获取用户的。参数作为授权码,以及一个。
ASP.NET前后端分离,WebApi。Vue3+ElementPlus+Axios+Pinia全流程教程
m0_46319477的博客
04-28 2769
ASP.NET前后端分离,WebApi。Vue3+ElementPlus+Axios+Pinia全流程教程
Asp.Net Core对接钉钉群机器人的完整步骤记录
10-17
在本文中,我们将深入探讨如何使用Asp.Net Core对接钉钉群机器人,以便实现企业内部系统与钉钉的集成,实现实时消息推送。钉钉作为一个广泛使用的办公软件,提供了丰富的API接口,允许开发者构建自定义机器人来发送...
基于ASP.net的多用户微信营销平台源码.zip
10-02
ASP.NET是由微软公司推出的Web应用程序框架,它提供了一种强大的、面向对象的编程模型,使得开发者能够更轻松地构建动态网站、Web应用和Web服务。 【描述】: 这个源码包包含了一个完整的多用户微信营销平台的源代码...
基于springboot的智能停车微信小程序源码.zip
05-28
【标题】中的“基于springboot的智能停车微信小程序源码”揭示了这是一个使用Spring Boot框架开发的微信小程序项目,主要用于实现智能化的停车管理功能。Spring Boot是Java领域的一个热门轻量级框架,它简化了Spring...
ASP版QQ登录
09-27
总的来说,学习和实践ASP版QQ登录,不仅可以帮助开发者掌握API接口的使用,还能提升他们在Web开发中的综合能力,包括用户认证、数据安全以及服务器端逻辑处理等方面的知识。这是一个实用且有价值的技能,尤其在当前...
ASP.NET-[其他类别]QQ登录助手源代码v1.1.24.zip
11-20
ASP.NET是微软公司开发的一种基于.NET Framework的服务器端编程模型,用于构建动态网站、Web应用程序和Web服务。在这个"ASP.NET-[其他类别]QQ登录助手源代码v1.1.24.zip"压缩包中,包含的是一个实现QQ登录功能的源...
C# 与C++ cli
最新发布
汤圆
07-23 566
问题起因:“windows.h”间接引入了 servprov.h, 而 servprov.h中存在:typedef interface IServiceProvider IServiceProvider;其中 IServiceProvider与System命名空间中的 IServiceProvider冲突,从而引起不确定性。解决办法: 优先 using namespace System 引用。
Unity监听某个值是否改变,c#数值监听器
GoodCooking的博客
07-23 290
Unity监听某个值是否改变,c#数值监听器
C#从Socket里获取IP地址和端口号
代码笔记
07-23 262
属性来获取连接的远程IP地址和端口号。以下是一个简单的示例代码,展示了如何从一个已连接的。这段代码将输出连接的远程IP地址和端口号。,以获取或创建一个有效的。
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件中配置 Web API 路由: ```csharp public static void Register...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值