.net WebAPI访问授权机制及流程设计(header token+redis)

最新推荐文章于 2024-05-16 10:42:12 发布
最新推荐文章于 2024-05-16 10:42:12 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 程序设计 C# 文章标签: .net microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33277597/article/details/120892298
版权

背景:

1.需要在.net5 WebAPI中添加访问授权机制,即实现在登录时颁发用户凭证,后续需要通过凭证访问其他接口,如果凭证不合法,不能正常访问接口;

2.网站嵌入到winform客户端中,利用winform可以获取客户端的mac地址的权限,将mac地址作为权限中的一部分,即将mac地址和账号绑定来实现账号只能在指定客户端电脑上使用;

3.为了防止在登录后获取token后在其他客户端上使用,利用IP绑定token;

实现:

首先在登录成功后,将客户端的IP作为加密key,username(登录账号)+guid+cpu序列号为加密内容进行加密,加密结果作为token凭证颁发给用户;

后续Api访问授权过滤流程:

1.     正式环境,先对请求来源进行限制,如http请求header中的referer,检查是不是在系统设置的白名单中;如不在,拒绝访问;

2.     其次,在header中取token,如果取不到,拒绝访问;

3.     获取客户端IP,将IP进行处理作为长度32的字符串(现在是除去非数字,右侧用0填充);

4.     将32位字符串作为key对称解密token,解密失败则拒绝访问;

5.     解密出来的字符串,内容格式为:username + "|" + guid+"|"+cpuid;guid作为Redis的key去取值,取不到,拒绝访问;

6.     从Redis中取出来的Value,内容格式为:username+"|"+keeplogin+"|"+cpuid;cpuid为该账号登录时所在客户端的cpu序列号

7.     用"_hw_" + username作为key去Redis中取Value,如果为空拒绝访问;

8.     7中取到的Value为限制账号绑定的cpu序列号,为”all”时代表不限制,可以随意客户端访问;不为“all”时,判断7中Value是否包含6中cpuid,如不包含,则拒绝访问;

访问流程图:

注意:加密方式和加密内容可以根据具体的业务限制去做,这里只是列举了一种寄宿在winform中的网站API访问授权流程;

 

平山CP3
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口api使用oauth2.0权限控制,调用接口需要进行token获取认证、
.NET 6 WebApi Swagger 配置 JWT token+Authorize认证
qq_61596453的博客
03-02 2151
vs2022 .net 6 创建swagger和jwt验证
.NET Framework 4.7.2 Web API基础框架搭建指南
最新发布
m0_52522230的博客
05-16 1178
本项目集成了以下关键技术,以提升Web API的可用性、安全性和维护性:利用Swagger工具自动生成和维护API文档,为开发者提供清晰的接口定义和测试环境。:通过集成Log4Net日志框架,实现对系统运行时错误的记录与统计,便于问题的快速定位和解决。:采用Token-based身份验证机制,确保API调用的安全性和用户操作的合法性。:部署接口防刷策略,保护API免受恶意攻击和滥用,维护服务的稳定性。
C# ASP.NET webapi 解析所有的参数BASE64加密的串
正在注销账号的博客
11-12 2098
例如:加密前:http://xxxxxxxx/xxx/xxx?a=1&b=2&c=3  加密后http://xxxxxxxx/xxx/xxx?P=YT0xJmI9MiZjPTM= 在api创建模型类前,进行拦截,先将串解析,再根据解析的串对模型类的属性反射赋值。  public class ActionParamModelBinder : IModelBinder     { ...
Web API应用架构设计分析(2)
weixin_33853794的博客
07-04 1116
在上篇随笔《Web API应用架构设计分析(1)》,我对Web API的各种应用架构进行了概括性的分析和设计Web API 是一种应用接口框架,它能够构建HTTP服务以支撑更广泛的客户端(包括浏览器,手机和平板电脑等移动设备)的框架,本篇继续这个主题,介绍如何利用ASP.NET Web API设计Web API层以及相关的调用处理。 1、Web API接口访问分类 Web API接口的...
WebApi学习(参数接收)
飞翔的学习笔记
06-20 5883
  WebApi学习 参数接收 把实际碰到的参数接收问题写下,以后好复习。 一.Get参数 使用Get参数一般我们会在方法中限定[HttpGet] [FromUri]可以接收单个参数或实体类 Get模式下使用 方法中可以存在多个[FromUri]参数 基本参数 一般我们使用简单的参数时WebApi方法中可以使用如GetName(string sysid)的形式来接收参数也可以直接使用...
Asp.Net Core WebApi 身份验证、注册、用户管理
热门推荐
VoldemortChi的博客
11-04 1万+
Asp.Net Core WebApi身份验证、注册、用户管理用户服务用户实体、用户模型及数据上下文应用程序设置文件在Startup.cs中配置身份验证参考文献 用了两天的时间研究了在Asp.Net WebApi 项目中如何实现注册、登录、身份验证功能。此项目使用JWT(Json Web Token)来进行身份验证。 用户服务 ASP.NET Core用户服务负责与用户身份验证,注册和管理相关的所...
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
02-03
3. **JSON Web Token (JWT)**:JWT是一种轻量级的身份认证和授权机制。它将用户信息编码为一个令牌,这个令牌可以在客户端和服务器之间传递,以验证用户身份。JWT包含三个部分:Header、Payload(载荷)和Signature...
Springboot前后端分离,JWT+Security+Redis实现登录拦
02-29
将JWT token存储在Redis中,可以方便地进行token管理,例如在用户注销时清除对应的token,或者在需要时检查token的有效性。 以下是实现这个系统的步骤: 1. **配置Spring Boot**:首先,我们需要创建一个Spring ...
springboot+jwt+spring-security.rar
05-20
在本项目中,我们主要探讨的是如何在Spring Boot框架下集成JWT(JSON Web Tokens)以及Spring Security,同时利用Redis作为存储来实现API的鉴权功能。这是一个完整的安全认证解决方案,适用于构建RESTful API服务。 ...
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
PHP实现防止表单重复提交功能【基于token验证】
10-18
Web开发中,表单重复提交是一个常见的问题,可能导致数据的不一致性或处理逻辑的混乱。为了防止这种情况,开发者通常会采用各种方法,其中基于token验证是一种常用且有效的方式。本文将详细介绍如何使用PHP实现...
redis的session共享
02-20
如果Web服务需要处理与用户状态相关的请求,可以考虑将Session信息作为请求头的一部分传递,或者使用Token(如JWT)来替代Session,实现无状态的API设计。 总结来说,利用Redis实现Session共享可以有效地解决分布式...
图解微信小程序---调用API操作步骤
菜鸟-传奇
10-05 3646
图解微信小程序---调用API操作步骤 什么是API API(Application Programming Interface,应用程序编程接口:是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力,而又无需访问源码,或理解内部工作机制的细节。 通俗的讲API就是接口,就是通道,负责一个程序和其他软件的沟通,本质是预先定义的函数。 API...
WebApi】————.net WebApi开发(一)
清雨小竹
11-09 8593
【1】.部署环境.net4及以上版本。 【2】.vs2010  开发需单独安装vs2010 sp1和mvc4 mvc4:http://www.asp.net/mvc/mvc4 【3】.开发 1.新建项目选择ASP.net MVC 4 Web应用程序 2.选择Web API   3.在新建立的项目里面有已经生成的webapi模版 其中App_Start文件夹下WebApiCo...
.NET WebApi实现RSA加密与解密,签名与验签
CHIZHIDA
04-12 2458
WebApi接口签名加密和验签业务场景需求功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 业务场景需求 现有请求方A,...
WebApi实现通讯加密
weixin_30916125的博客
11-21 205
一. 场景介绍: 如题如何有效的,最少量的现有代码侵入从而实现客户端与服务器之间的数据交换加密呢? 二. 探究: 1.需求分析 webapi服务端 有如下接口: public class ApiTestController : ApiController { // GET api/<controller>/5 ...
webApi登录鉴权
qq_42172560的博客
03-31 1910
1- 登录获取token /// <summary> /// 登录获取token /// </summary> /// <returns></returns> [HttpPost] [CustomAllowAnonymousAttribute]// 在全局注册的情况下 有这个标记就不去走校验方法 public string LoginGetToken(st
token + redis 过期更新
09-06
Redis中,使用token来管理过期时间是一种常见的做法。当客户端请求服务时,服务器会生成一个唯一的token,并将其存储在Redis中作为key,同时存储一些与token相关的信息,如用户ID、过期时间等作为value。通过设置过期时间,可以有效地控制token的生命周期并提升系统的安全性和性能。 当一个token过期时,服务器会检查其是否存在于Redis中。如果存在,则说明该token还在有效期内,服务器可以继续验证请求,并更新token的过期时间,延长其有效期。这样做的好处是避免了频繁地向数据库查询token信息,降低了系统的负载压力和响应时间。 在进行过期更新时,可以使用Redis提供的expire命令来设置新的过期时间。通过expire命令,我们可以指定一个新的过期时间(以秒为单位),当时间达到时,Redis会自动将该key删除。同时,我们还可以使用set命令更新token的value,以便存储一些新的信息或者刷新其过期时间。 另外,为了保证系统的性能和避免出现脏数据,可以采取定期清理过期token的策略。通过定期的清理工作,我们可以及时地清除过期的token,释放相关的存储空间,提高系统的可用性和性能。 综上所述,通过使用token来管理过期时间,并在过期时及时地更新它们,可以有效地提升系统的安全性和性能。而Redis提供的expire和set命令可以方便地实现过期更新的功能。定期清理过期token则是保证系统健康运行的重要步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值