.net WebAPI访问授权机制及流程设计(header token+redis)

最新推荐文章于 2024-07-05 16:37:37 发布
最新推荐文章于 2024-07-05 16:37:37 发布
阅读量1.3k 收藏 3
点赞数
分类专栏: 程序设计 C# 文章标签: .net microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33277597/article/details/120892298
版权

背景:

1.需要在.net5 WebAPI中添加访问授权机制,即实现在登录时颁发用户凭证,后续需要通过凭证访问其他接口,如果凭证不合法,不能正常访问接口;

2.网站嵌入到winform客户端中,利用winform可以获取客户端的mac地址的权限,将mac地址作为权限中的一部分,即将mac地址和账号绑定来实现账号只能在指定客户端电脑上使用;

3.为了防止在登录后获取token后在其他客户端上使用,利用IP绑定token;

实现:

首先在登录成功后,将客户端的IP作为加密key,username(登录账号)+guid+cpu序列号为加密内容进行加密,加密结果作为token凭证颁发给用户;

后续Api访问授权过滤流程:

1.     正式环境,先对请求来源进行限制,如http请求header中的referer,检查是不是在系统设置的白名单中;如不在,拒绝访问;

2.     其次,在header中取token,如果取不到,拒绝访问;

3.     获取客户端IP,将IP进行处理作为长度32的字符串(现在是除去非数字,右侧用0填充);

4.     将32位字符串作为key对称解密token,解密失败则拒绝访问;

5.     解密出来的字符串,内容格式为:username + "|" + guid+"|"+cpuid;guid作为Redis的key去取值,取不到,拒绝访问;

6.     从Redis中取出来的Value,内容格式为:username+"|"+keeplogin+"|"+cpuid;cpuid为该账号登录时所在客户端的cpu序列号

7.     用"_hw_" + username作为key去Redis中取Value,如果为空拒绝访问;

8.     7中取到的Value为限制账号绑定的cpu序列号,为”all”时代表不限制,可以随意客户端访问;不为“all”时,判断7中Value是否包含6中cpuid,如不包含,则拒绝访问;

访问流程图:

注意:加密方式和加密内容可以根据具体的业务限制去做,这里只是列举了一种寄宿在winform中的网站API访问授权流程;

 

平山CP3
关注
专栏目录
WebApi实现Token验证
Sqsdhc的博客
12-02 2808
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
Session+RedisToken+Redis,JWT+Redis,用户身份认证,到底选择哪种更合适?
Java程序员专栏
05-31 1190
在选择用户身份认证方案时,需要根据具体的应用场景和需求进行评估和选择。如果应用需要长时间保持用户登录状态,且对性能要求不是特别高,可以选择Session+Redis方案。如果应用需要频繁验证用户身份,且对性能要求较高,可以选择Token+Redis方案。如果应用是分布式系统或微服务架构,需要实现无状态的身份验证和授权,可以选择JWT+Redis方案。需要注意的是,以上方案并不是孤立的,可以根据实际情况进行组合和优化,以满足特定的业务需求。同时,无论选择哪种方案,都需要确保系统的安全性和稳定性。
.net 单点登录与权限管理(web api)
04-15
.net 单点登录与权限管理(web api)
.Net 8.0 Web API下使用JWT登录和鉴权
最新发布
weixin_51328876的博客
07-05 1469
.Net 8.0 Web API下使用JWT登录和鉴权
WebApi与手机客户端通信安全机制
weixin_30537451的博客
10-20 159
最近公司有几个项目需要开发手机客户端,服务器端选用WebApi,那么如何保证手机客户端在请求服务器端时数据不被篡改,如何保证一个http请求的失效机制,下面总结一下我们在项目中针对这两个问题的解决方案。 基本思路如下:   用户在成功登陆app客户端之后,手机客户端向服务器端发出的所有的http请求在请求头(HttpHeader)上都会带上下面三个参数:1、Uid(用户ID),2、T...
ASP.NET Core 在 Swagger UI 中显示自定义的 Header Token
weixin_30236595的博客
12-17 712
Swagger 是个好东西,对于前后端分离的网站来说,不仅是提高前后端开发人员沟通效率的利器,也大大方便了后端人员测试 API。有时候,API 中可能需要在 Header 中设置认证参数,比如 authToken,这样的功能我们通常是使用 ActionFilter 实现的,这就会导致 swagger UI 中缺少 authToken 字段,下面就来介绍解决这个问题的办法。 创建一个过滤器类,内容如...
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
.Net6 WebApi基本权限控制
.Net技术、软件架构、人工智能、数字化转型、DeveloperSharp、微服务、工业互联网、智能制造
04-03 730
我在这里实现的其实不是太细致,主要还是用来提供一种思路吧。为了保证安全性,在某些重要的接口处我们需要进行一些权限控制,毕竟在现在前后端分离的大背景下,怎么能够安心把重要的数据操作的权限交给前端呢,就更别提其他一些抗风险性了(抓包等)。调用,这里假设管理员的权限代码是10,那么就只有登录用户的权限是10才可以访问这个方法,如果是加到控制器上面的话就是对整个控制器进行限制。🏆专注领域:.Net技术、软件架构、人工智能、数字化转型、DeveloperSharp、微服务、工业互联网、智能制造。,能助你升职+涨薪!
ASP.NET Core WebApi基于Redis实现Token接口安全认证
跟着阿笨一起玩NET
11-03 3892
一、课程介绍 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说,如何确保数据的安全将会是需要思考的问题。在ASP.NET WebService服务中可以通过SoapHead验证机制来实现,那么在ASP.NET Core WebApi中我们应该如何保证我们的接口安全呢? 近年来RESTful API开始风靡,使用HTTP hea...
Springboot+redis实现token的登录认证
weixin_43709291的博客
10-19 3781
在生成 token 的同时也往 redis 里面存入了创建 token 时的时间戳,每次请求被拦截器拦截 token 验证成功之后,将当前时间与存在 redis 里面的 token 生成时刻的时间戳进行比较,如果当前时间距离创建时间快要到达设置的redis过期时间的话,就重新设置token过期时间,将过期时间延长。功能描述:用户登录成功后,后台返回一个token给调用者,同时自定义一个@AuthToken注解,被该注解标注的API请求都需要进行token效验,效验通过才可以正常访问,实现接口级的鉴权控制。
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定.zip
02-03
3. **JSON Web Token (JWT)**:JWT是一种轻量级的身份认证和授权机制。它将用户信息编码为一个令牌,这个令牌可以在客户端和服务器之间传递,以验证用户身份。JWT包含三个部分:Header、Payload(载荷)和Signature...
手把手教你AspNetCore WebApi认证与授权的方法
12-16
前言 这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的。 什么是Token Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 什么是JWT Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token设计为紧
.net版本单点登录与权限管理(web api),可直接运行
01-31
.net版本单点登录与权限管理(web api),可直接运行
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
WebApi授权拦截——重写AuthorizeAttribute
08-12
webapi重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把401改为其他状态码来避免被重定向
.NET 通用高扩展性的细粒度权限管理架构(webApi/Mvc)
weixin_30711917的博客
01-21 260
一. 权限场景分析: 1. 系统具有角色概念, 部门概念, 且都具有相应不同的权限 2. 用户具有多个角色, 多个部门等关系, 并且能给单个用户指派独有的权限 3. 具有细粒度权限控制到资源的RBAC, 能控制页面, 控制菜单, 控制逻辑, 控制单个操作, 控制到单一数据; 且具有一定的可扩展性 4. 适用于webapi/ mvc / wcf / webservice 混合项目中 5....
C#/.NET 分布式专题(SOA【面向服务】WebApi权限认证)
热门推荐
一点一滴
01-06 2万+
权限认证:是需要的,http地址,是公开的,所以需要权限认证 session–webapi默认是不支持session–RESTful—可以自行扩展去支持 无状态:第2次请求和第1次请求不关联 1 登陆过程,拿到令牌–token–ticket–许可证 2 验证成功–账号+密码+其他信息+时间–加密一下得到ticket—返回给客户端 3 请求时,ajax里面带上这个ticket(header) 4 ...
.Net Core WebApi 使用JWT完成鉴权和授权
每天学习一点点
12-05 4894
1.引用程序集:System.IdentityModel.Tokens.Jwt 2.新建一个控制器(AuthoizeController),用于完成授权功能 示例代码: using Microsoft.AspNetCore.Cors; using Microsoft.AspNetCore.Mvc; using Microsoft.IdentityModel.Tokens; using MyBlog.IService; using MyBlog.JWT.Utility.ApiResult; using
Python实现HTTP API接口详解与实战
6. **安全性考虑**:接口实现中还应关注header和cookie信息,它们可能包含敏感信息,如认证令牌(token)。确保对这些数据的正确处理和保护,避免安全漏洞。 总结来说,使用Python实现接口涉及理解不同类型的接口、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值