WebApi 权限验证方式(特性)

最新推荐文章于 2024-01-17 14:56:32 发布
最新推荐文章于 2024-01-17 14:56:32 发布
阅读量471 收藏
点赞数
文章标签: 数据库 c#
原文链接:http://www.cnblogs.com/fenghaolei/p/10473110.html
版权

/// <summary>
/// 自定义权限验证
/// </summary>
/// <param name="context"></param>
public void OnAuthorization(AuthorizationFilterContext context)
{

var user = context.HttpContext.User;
var header = context.HttpContext.Request.Headers["Authorization"];

if (!user.Identity.IsAuthenticated)
{
// it isn't needed to set unauthorized result
// as the base class already requires the user to be authenticated
// this also makes redirect to a login page work properly
//context.Result = new UnauthorizedResult();
//return;
throw new UnauthorizeException();
}

if (Permission == null && AuthCheckApi == false)
return;

var pemissions = context.HttpContext.User.Claims.First(x => x.Type == "Pemission");
IEnumerable<string> pemissionList = pemissions != null ? JsonConvert.DeserializeObject<List<string>>(pemissions.Value) : null;

if (AuthCheckApi == true)
{
//TODO: 请求参数中获取permission参数。 跟token比对。 如果包含 return; 不包含401
var acka = context.HttpContext.Request.Query["permission"].ToArray();
Console.WriteLine(Permission);
foreach (string item in pemissionList)
{
if (item.Equals(acka.First()))
return;
}
}


if (Permission != null)
{
foreach (string item in pemissionList)
{
if (item.Equals(Permission))
return;
}
}

 

throw new UnauthorizeException();
//TODO: 把失效用户存在redis缓存中, 查询是否失效用户
//登出时将相关的信息比如用户名存储在redis中 修改某用户权限也让他失效 jwt中解析出用户名去redis中查找
//每次登陆 从失效列表删除


}

 

转载于:https://www.cnblogs.com/fenghaolei/p/10473110.html

weixin_30609287
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web API 入门指南
m0_74131821的博客
04-06 572
本篇文章主要围绕着Web API的安全性来展开,介绍一些安全的基本概念,常见安全隐患、相关的防御技巧以及Web API提供的安全机制
webapi token验证例子
06-05
WebAPI Token验证是一种常见的安全机制,它用于保护Web API接口免受未经授权的访问。...通过研究这些代码,你可以深入理解WebAPI中Token验证的工作原理和实现方式。这将有助于你构建更安全、更健壮的Web服务。
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
解决ASP.NET Core Mvc文件上传限制问题
weixin_34269583的博客
06-19 172
1.应用程序级别设置    我们需要在ConfigureServices方法中添加如下代码,设置文件上传的大小限制为60 MB。publicvoidConfigureServices(IServiceCollectionservices){services.Configure<FormOptions>(options=>{options.Multi...
C# WebApi 实现身份验证权限验证)之 Basic基础认证
lilenglya的博客
09-04 6203
C# WebApi 实现身份验证权限验证)之 Basic基础认证 WebApi实现身份验证有四种方式: FORM身份验证 集成WINDOWS验证 Basic基础认证 Digest摘要认证 本文使用的是Basic基础认证实现。 先简单说一下思路: 要让别人调用你的WebApi时,需要在Authorization 中设置basic用户名和密码,才可以访问(最后的Postman测试) 当调用controller时,需要先验证请求中的身份信息,通过才实现调用Controller的方法,如何实现呢?就是给con
ABP 使用HttpClient调用WebAPI授权问题Unauthorized
dacong的专栏
07-23 2268
ABP 使用HttpClient调用WebAPI授权问题Unauthorized install-package Volo.Abp.Http.Client.IdentityModel -version 4.3.3 typeof(AbpHttpClientIdentityModelModule), var isAuth = await identityModelAuthenticationService.TryAuthenticateAsync(client); ...
WebApiDemo(net6+swagger+jwt)
05-31
WebApiDemo项目中,选择.NET 6作为基础框架,意味着你可以利用其高性能、模块化和现代开发特性来构建高效的服务。 Swagger,又称为OpenAPI Specification,是一种规范,用于描述RESTful API。在WebApiDemo中,...
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
在.NET6平台上开发WebAPI应用时,为了实现安全的用户身份验证和授权,通常会采用JSON Web Tokens(JWT)机制。JWT是一种轻量级的身份验证标准,它允许服务端为客户端颁发一个令牌,该令牌包含了用户的相关信息,且在...
MVC WebApi 用户权限验证及授权DEMO
04-26
在本文中,我们将深入探讨如何在ASP.NET MVC Web API中实现用户权限验证及授权。这个DEMO项目将作为我们理解这一复杂概念的实践基础。首先,让我们先了解一下MVC(Model-View-Controller)和Web API的核心概念。 ...
C#净化版WebApi框架的实现
08-26
API的访问路径遵循了一种约定,即`webapi/{controller}/{id}`,这意味着你可以通过类似`http://localhost:5180/webapi/Login`的方式来调用Login控制器的API。 在编写净化版WebApi的过程中,关键步骤包括配置...
Web Api安全性设计
Fanbin168的专栏
03-29 6590
分布式通讯框架-->一个系统要访问另外一个系统中的数据,有一下三种方法,第一种分为2种 1.0 ,MVC Webapi  (严格的讲它其实仅仅是一个设计方案,而不是一个设计框架,Webapi流行的标准RESTfu) (也需要做安全性设计) 1.1 , 自己写一个.ashx一般处理程序 (它其实就是提供一个url供别人调用,这个url返回一个xml或者一个Json格式的数据,但是
WebApi接口安全机制:API接口限流防止恶意访问 ThrottlingHandler消息处理机制
ASP.NET
04-22 1947
文章介绍 为了防止网站意外暴增的流量比如活动、秒杀、攻击等,导致整个系统瘫痪,在前后端接口服务处进行流量限制是非常有必要的。本篇主要介绍下Net限流框架WebApiThrottle的使用。 WebApiThrottle是一个专门为webApi限制请求频率而设计的,支持寄宿OWIN上的中间件的限制过滤。服务端接口可以基于客户端请求IP地址、客户端请求key、及请求路由去限制w...
WebApi接口安全性 接口权限调用、参数防篡改防止恶意调用
Unknowncheats的博客
05-14 1804
背景介绍 最近使用WebApi开发一套对外接口,主要是数据的外送以及结果回传,接口没什么难度,采用WebApi+EF的架构简单创建一个模板工程,使用template生成一套WebApi接口,去掉put、delete等操作,修改一下就可以上线。这些都不在话下,反正网上一大堆教程,随便找那个step by step做下来就可以了。 然后发布上线后,接口是放在外网,面临两个问题: 如何保证接口的调用的合法性 如何保证接口及数据的安全性 其实这两个问题是相互结合的,先保证合法,然后在合法基础上保证请求...
webapi授权认证
最新发布
dwoiauda的博客
01-17 593
(授权):授予用户权限,指定用户能访问哪些资源;授权的前提是知道这个用户是谁,所以授权必须在认证之后。(认证):标识用户的身份,一般发生在登录的时候。
C# 搭建一个简单的WebApi项目
热门推荐
lwpoor123的博客
10-19 11万+
一、创建Web API1、创建一个新的web API项目启动VS 2013,并在“开始页”选择“新项目”。或从“文件”菜单选择“新建”,然后选择“项目”。在“模板”面板中选择“已安装模板”,并展开“Visual C#”节点。选择该节点下的“Web”。在项目模板列表中选择“ASP.NET MVC 4 Web应用程序”。 在“新的ASP.NET MVC 4项目”对话框中选择“Web API” 二
WebApi的安全性及其解决方案
dienen0325的博客
03-16 678
一、前言   WebApi的小白想要了解一些关于WebApi安全性相关的问题,本篇文章是整理一些关于WebApi安全、权限认证的文章。 二、内容正文  2.1 不进行验证  客户端调用:http://api.xxx.com/getInfo?Id=value 如上,这种方式简单粗暴,在浏览器直接输入"http://api.xxx.com/getInfo?Id=value",即可获取到相关的...
如何在.net6webapi中配置Jwt实现鉴权验证
Gefangenes的博客
06-10 2082
jwt是一种用于身份验证的开放标准,他可以在网络之间传递信息,jwt由三部分组成:头部,载荷,签名。头部包含了令牌的类型和加密算法,载荷包含了用户的信息,签名则是对头部和载荷的加密结果。jwt鉴权验证是指在用户登录成功后,服务器生成一个jwt令牌并返回给客户端,客户端在后续的请求中携带该令牌,服务通过令牌的签名来确定用户的身份和权限。这种方式可以避免在每个请求中都需要进行身份验证,提高了系统的性能和安全性。
ASP.NET MVC授权登录过滤器OnAuthorization过滤器AuthorizeAttribute使用
u011511086的专栏
04-21 2973
using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Web; using System.Web.Mvc; using Autofac; using WuZiFenGongSiInfomation.Common; using WuZiF...
ASP.NET MVC使用Authorize过滤器验证用户登录
pan_junbiao的博客
11-27 1万+
ASP.NET MVC使用Authorize过滤器验证用户登录。Authorize过滤器首先运行在任何其它过滤器或动作方法之前,主要用来做登录验证或者权限验证。 示例:使用Authorize过滤器实现简单的用户登录验证。 1、创建登录控制器LoginController /// &lt;summary&gt; /// 登录控制器 /// &lt;/summary&gt; [AllowAno...
c# webapi 权限
05-24
4. 实现身份验证:在WebAPI中,可以使用Authentication特性验证用户身份。可以使用身份验证提供程序来验证用户凭据,例如用户名和密码。 5. 实现令牌认证:可以使用OAuth 2.0或OpenID Connect等协议实现令牌认证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值