c# WebApi之身份验证:Basic基础认证

最新推荐文章于 2024-04-28 11:34:51 发布
最新推荐文章于 2024-04-28 11:34:51 发布
阅读量365 收藏
点赞数
文章标签: c# 数据库 json
为什么需要身份认证

身份认证是为了提高接口访问的安全性,如果没有身份验证,那么任何匿名用户只要知道服务器的url,就可以随意访问服务器,从而访问或者操作数据库,这会是很恐怖的事。

什么是Basic基础认证

Basic基础认证是一种简单的用户名、密码验证过程,它的主要原理是加密用户信息,生成票据,每次需要身份验证时将票据带过来验证,实现步骤为:

  1. 用户登录,登录成功后将生成的票据返回到前端;
  2. 前端登录成功后,收到票据信息,跳转到主页面,并且吧票据一并带过去,存入Session;
  3. 在需要请求页面,把票据信息加入到请求的Head里面,将票据信息随着请求一起发送到服务端去;
  4. 在WebApi服务里面定义一个类,继承AuthorizeAttribute类,然后重写父类的OnAuthorization方法,在OnAuthorization方法里面取到当前http请求的Head,从Head里面取到我们前端传过来的票据信息。解密票据信息,从解密的信息里面得到用户名和密码,然后验证用户名和密码是否正确。如果正确,表示验证通过,否则返回自定义错误信息。
Basic基础认证的代码示例:

首先新建两个项目:Web测试站点、WebApi站点 
这里写图片描述

1.1、在Web测试站点,添加一个登录页面:

<div style="text-align:center;">
        <div>用户名:<input type="text" id="txt_username" /></div> <div>密 码:<input type="password" id="txt_password" /></div> <div><input type="button" value="登录" id="btn_login" class="btn-default" /></div> </div>

登录请求的ajax:

 $(function () {
    $("#btn_login").click(function () { $.ajax({ type: "get", url: "http://localhost:61593/api/account/login", data: { strUser: $("#txt_username").val(), strPwd: $("#txt_password").val() }, success: function (data, status) { if (status == "success") { if (!data.bRes) { alert("登录失败"); return; } alert("登录成功"); //登录成功之后将用户名和用户票据带到主界面 window.location = "/Home/Index?UserName=" + data.UserName + "&Ticket=" + data.Ticket; } }, error: function (e) { }, complete: function () { } }); }); });

1.2、对应的WebApi站点的,登录的Api接口:

/// <summary>
/// 用户登录 /// </summary> /// <param name="strUser"></param> /// <param name="strPwd"></param> /// <returns></returns> [HttpGet] public object Login(string strUser, string strPwd) { if (!ValidateUser(strUser, strPwd)) { return new { bRes = false }; } FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(0, strUser, DateTime.Now, DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", strUser, strPwd), FormsAuthentication.FormsCookiePath); //返回登录结果、用户信息、用户验证票据信息 var oUser = new UserInfo { bRes = true, UserName = strUser, Password = strPwd, Ticket = FormsAuthentication.Encrypt(ticket) }; //将身份信息保存在session中,验证当前请求是否是有效请求 HttpContext.Current.Session[strUser] = oUser; return oUser; } //校验用户名密码(正式环境中应该是数据库校验) private bool ValidateUser(string strUser, string strPwd) { if (strUser == "admin" && strPwd == "123456") { return true; } else { return false; } }

自定义UserInfo实体:

public class UserInfo
{
    public bool bRes { get; set; } public string UserName { get; set; } public string Password { get; set; } public string Ticket { get; set; } }

新建的WebApi需要配置一下路由,打开App_Start文件夹下的WebApiConfig.cs文件,添加一条路由信息:

public static void Register(HttpConfiguration config)
{
    //解决跨域访问问题 config.EnableCors(new EnableCorsAttribute("*", "*", "*")); // Web API 路由 config.MapHttpAttributeRoutes(); config.Routes.MapHttpRoute( name: "DefaultApi1", routeTemplate: "api/{controller}/{action}/{id}", defaults: new { id = RouteParameter.Optional } ); }

如果是两个站点的话可能会出现跨域问题,解决跨域访问问题可以参考: 
http://blog.csdn.net/lwpoor123/article/details/78457589

2.1、在Web测试站点添加一个用于跳转测试的index主页面

<html>
<head>
    <meta name="viewport" content="width=device-width" /> <title>Index</title> <script src="~/Scripts/jquery-1.10.2.min.js"></script> </head> <body> 测试结果: <div id="div_test"> hello world </div> 当前登录用户: <div id="username"> @ViewBag.UserName </div> </body> </html>

ajax请求:

<script>
    var ApiUrl = "http://localhost:61593/"; $(function () { $.ajax({ type: "get", url: ApiUrl + "api/Account/GetAllData", data: {}, beforeSend:function(XHR){ XHR.setRequestHeader('Authorization','BasicAuth @ViewBag.Ticket') }, success: function (data, status) { if (status == "success") { $("#div_test").html(data); } }, error: function (e) { $("#div_test").html("Error"); } }); }); </script>

这里需要注意在beforeSend方法里面,向请求的报文头里面增加票据信息,用于把Ticket信息一同带到服务器: 
XHR.setRequestHeader(‘Authorization’,’BasicAuth @ViewBag.Ticket’) 
这里写图片描述

2.2、index页面的action,接收传递过来的票据数据,存入Session

public ActionResult Index(string UserName, string Ticket)
{
    if (UserName != null) { Session["UserName"] = UserName; } if (Ticket != null) { Session["Ticket"] = Ticket; } ViewBag.UserName = Session["UserName"]; ViewBag.Ticket = Session["Ticket"]; return View(); }

2.3、对应的Api接口:

public class AccountController : ApiController
{
    /// <summary> /// 得到所有数据 /// </summary> /// <returns>返回数据</returns> [HttpGet] [RequestAuthorize] public string GetAllData() { return "Success"; } }

WebAip默认是没有开启Session,需要手动开启: 
在WebApi站点,打开Global.asax文件,重写Init()方法

public override void Init()
{
    this.PostAuthenticateRequest += (sender, e) => HttpContext.Current.SetSessionStateBehavior(SessionStateBehavior.Required); base.Init(); }

或者:

public override void Init()
{
    PostAuthenticateRequest += MvcApplication_PostAuthenticateRequest;
    base.Init(); } void MvcApplication_PostAuthenticateRequest(object sender, EventArgs e) { HttpContext.Current.SetSessionStateBehavior( SessionStateBehavior.Required); }

3.1、WebApi身份验证部分(重点) 
在WebApi站点,添加一个RequestAuthorizeAttribute.cs文件,继承AuthorizeAttribute,自定义此特性用于接口的身份验证:

 /// <summary>
/// 自定义此特性用于接口的身份验证 /// </summary> public class RequestAuthorizeAttribute : AuthorizeAttribute { //重写基类的验证方式,加入我们自定义的Ticket验证 public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext) { //从http请求的头里面获取身份验证信息,验证是否是请求发起方的ticket var authorization = actionContext.Request.Headers.Authorization; if ((authorization != null) && (authorization.Parameter != null)) { //解密用户ticket,并校验用户名密码是否匹配 var encryptTicket = authorization.Parameter; if (ValidateTicket(encryptTicket)) { base.IsAuthorized(actionContext); } else { HandleUnauthorizedRequest(actionContext); } } //如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401 else { var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>(); bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute); if (isAnonymous) base.OnAuthorization(actionContext); else HandleUnauthorizedRequest(actionContext); } } protected override void HandleUnauthorizedRequest(HttpActionContext actioncontext) { base.HandleUnauthorizedRequest(actioncontext); var response = actioncontext.Response = actioncontext.Response ?? new HttpResponseMessage(); response.StatusCode = HttpStatusCode.Forbidden; var content = new { code = -1, success = false, errs = new[] { "服务端拒绝访问:你没有权限,或者掉线了" } }; response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json"); } //校验用户名密码(正式环境中应该是数据库校验) private bool ValidateTicket(string encryptTicket) { //解密Ticket var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData; //从Ticket里面获取用户名和密码 var index = strTicket.IndexOf("&"); string strUser = strTicket.Substring(0, index); string strPwd = strTicket.Substring(index + 1); if (strUser == "admin" && strPwd == "123456") { return true; } else { return false; } } }

3.2、使用的时候只需要在控制器前面加上自定义的身份验证[RequestAuthorize]

/// <summary>
/// 得到所有数据 /// </summary> /// <returns>返回数据</returns> [HttpGet] [RequestAuthorize] public string GetAllData() { return "Success"; }

这里写图片描述

这里写图片描述

这里写图片描述

如果不携带票据或者票据无效,服务端拒绝访问: 
这里写图片描述

如果在控制器加了身份验证,有些请求又不想使用验证,可以在方法上面添加特性标注[AllowAnonymous]

[RequestAuthorize]
public class AccountController : ApiController
{
    /// <summary> /// 得到所有数据 /// </summary> /// <returns>返回数据</returns> [HttpGet] public string GetAllData() { return "Success"; } [AllowAnonymous] public string getData() { return "data"; } }
 
weixin_33725722
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Win32API LogonUser 在C#程序中进行域认证
DKman 的随笔
02-13 7769
使用C#的用户在编写的WinForm程序中,如果需要使用域账号进行认证管理一般需使用Win32API LogonUser()进行。这里提供一段我使用的完整的验证代码,大家可以根据需要自己进行适当的修改从而实现在WinForm中。using System;using System.Collections.Generic;using System.ComponentModel;using 
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
通过以上步骤,我们可以实现基于Basic认证WebApi身份验证。这种方法虽然简单,但在某些场景下能够提供足够的安全性。然而,实际应用中可能需要考虑更高级的安全措施,如HTTPS加密传输、更复杂的加密算法和会话管理...
ASP.NET Web API Basic Identity 中的基本身份验证
weixin_30721077的博客
03-16 87
缺点 用户凭证在请求中发送。 凭据作为明文发送。 每个请求都会发送凭据。 无法注销,除非结束浏览器会话。 易于跨站点请求伪造(CSRF);需要反CSRF措施。 优点 互联网标准。 受所有主要浏览器支持。 相对简单的协议。 基本认证的工作原理如下: 如果请求需要认证,则服务器返回401(未授权)。响应包括WWW-Authenticate头,指示服...
http的basic 认证方式
最新发布
wang0907的博客
04-28 2546
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
C#进阶系列——WebApi 身份认证解决方案:Basic基础认证
xiao940622699的博客
01-19 1048
原文地址:https://www.cnblogs.com/landeanfen/p/5287064.html阅读目录 一、为什么需要身份认证 二、Basic基础认证的原理解析 1、常见的认证方式 2、Basic基础认证原理 三、Basic基础认证的代码示例 1、登录过程 2、/Home/Index主界面 3、WebApiCORS验证部分(重点) 四、优化 1、解决...
Web api基本身份验证中针对后续请求发送用户凭据
04-04
我倾向于使用基本身份验证。 我关注了一些文章,这些文章为我提供了良好的开端。 我了解到,将对“ username:password”进行编码并将其添加到“ Authorization:Basic”中,并将其作为标题发送给后续用户...
Nginx集群之SSL证书的WebApi身份验证
12-01
Nginx基于SSL协议下,利用http basic身份验证,可以实现简单访问WebApi,达到集群负载均衡的效果。通过简单的设计,在局域网上应用还是够用的。当然,身份认证方式有很多种,使用redis、token都是可以的。WebApi基于...
VB调用web api打开第三方图纸
07-15
2. 设置请求头:如果Web API需要身份验证或特定的请求头,例如API密钥,需要在请求头中设置。 ```vb client.DefaultRequestHeaders.Authorization = New Headers.AuthenticationHeaderValue("Bearer", "your_token")...
WebApplication1_C#_visualbasic_asp.net_
10-01
"asp.net":ASP.NET提供了许多开箱即用的功能,如控件、数据绑定、身份验证和授权、状态管理等,可以帮助开发者快速构建功能丰富的Web应用。ASP.NET页面生命周期、MVC模式、Web Forms和API开发都是其核心概念。 在...
C# WebApi 实现身份验证(权限验证)之 Basic基础认证
lilenglya的博客
09-04 6215
C# WebApi 实现身份验证(权限验证)之 Basic基础认证 WebApi实现身份验证有四种方式: FORM身份验证 集成WINDOWS验证 Basic基础认证 Digest摘要认证 本文使用的是Basic基础认证实现。 先简单说一下思路: 要让别人调用你的WebApi时,需要在Authorization 中设置basic用户名和密码,才可以访问(最后的Postman测试) 当调用controller时,需要先验证请求中的身份信息,通过才实现调用Controller的方法,如何实现呢?就是给con
细说API - 认证、授权和凭证
weixin_33881041的博客
03-27 591
在一些互联网公司的面试中,面试官往往会问这样一个问题: “如果禁用浏览器 cookie,如何实现用户追踪和认证?” 遗憾的是依然有大量候选人答非所问,无法搞清楚 cookie 和 session 之间的区别。而在工作中也有让人惊讶的真实案例:把 user ID 存储到 local storage 中当做 token 使用,原因是他们声称弃用了 cookie 这种落后的东西;一个移动端项目,服务器给...
C# HTTP Post Basic验证
Ericw_wang的博客
06-22 790
using xxxx.Models; using System; using System.IO; using System.Net; using System.Text; namespace xxxxxxx xxxxx { public class HttpUtil { public HttpUtil() { } //string ss = HttpPost("http://localhost:41558/api/Dem...
webapi框架搭建-安全机制(二)-身份验证
diaopan1618的博客
01-14 492
webapi框架搭建系列博客   身份验证(authentication)的责任是识别出http请求者的身份,除此之外尽量不要管其它的事。webapi的authentication我用authentication filter技术去解决。 参考资料:   https://docs.microsoft.com/en-us/aspnet/web-api/overview/securit...
C# 使用Cache和DES进行后端WebApi登录及身份权限验证
glmushroom的专栏
12-22 705
一、Api提供登录接口,并在需要身份验证的接口上添加权限验证拦截器 using System; using System.Web.Http; namespace WebApiTest { public class UserController : ApiController { [HttpPost] [AllowAnonymous] public IHttpActionResult Login(string userName, strin
解决方案设计:WCF增加身份验证
05-13 246
请求流程   客户端-->发起请求-->请求加密-->   服务端-->接收到请求参数-->解密-->处理请求-->处理结果加密-->   客户端-->接收到处理结果-->解密   结束--> 服务端   1、设计机构或应用表,机构表包含字段账户/密码。   2、生成机构客户端公私钥   3、生成服务端公钥   4、业...
C# WebApi 接口传参全解析:GET, POST, PUT, DELETE
总结来说,C# WebApi接口传参涉及多种方式,包括基础类型、实体对象、数组等。理解这些方法及其适用场景对于开发高效且安全的API至关重要。正确处理这些参数可以确保前后端之间的数据交换顺利进行,避免潜在的问题和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值