ASP.NET Web API 实现客户端Basic(基本)认证 之简单实现

最新推荐文章于 2021-09-26 09:54:01 发布
最新推荐文章于 2021-09-26 09:54:01 发布
阅读量302 收藏
点赞数

优点是逻辑简单明了、设置简单。

缺点显而易见,即使是BASE64后也是可见的明文,很容易被破解、非法利用,使用HTTPS是一个解决方案。

还有就是HTTP是无状态的,同一客户端每次都需要验证。

 

实现:

客户端在用户输入用户名及密码后,将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中,如当用户名为Parry,密码为123456时,客户端将用户名和密码用":"合并,并将合并后的字符串用BASE64加密,并于每次请求数据时,将密文附加于请求头(Request Header)中。

HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。 

自定义属性HTTPBasicAuthorize ,继承AuthorizeAttribute,并实现两个方法:OnAuthorization和HandleUnauthorizedRequest。

   public class HTTPBasicAuthorizeAttribute : System.Web.Http.AuthorizeAttribute
    {
        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            if (actionContext.Request.Headers.Authorization != null)
            {
          //对客户端进行BASE64后的字符串再解码
                string userInfo = Encoding.Default.GetString(Convert.FromBase64String(actionContext.Request.Headers.Authorization.Parameter));
                //用户验证逻辑
                if (string.Equals(userInfo, string.Format("{0}:{1}", "Parry", "123456")))
                {
                    IsAuthorized(actionContext);
                }
                else
                {
                    HandleUnauthorizedRequest(actionContext);
                }
            }
            else
            {
                HandleUnauthorizedRequest(actionContext);
            }
        }
//或不重写OnAuthorization,对IsAuthorized方法重写
        protected override bool IsAuthorized(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
           
            if (actionContext.Request.Method == HttpMethod.Options)
                return true;
            if (actionContext.Request.Headers.Authorization != null && actionContext.Request.Headers.Authorization.Parameter != null) { 
             // System.Web.Security.FormsAuthentication.
               var userdata= System.Text.Encoding.Default.GetString(Convert.FromBase64String(actionContext.Request.Headers.Authorization.Parameter));
               if (userdata.Equals(String.Format("{0}:{1}", "tzy", "123"))) {
                   return true;
                    //base.IsAuthorized(actionContext);
               }
            }
            return false;
           // return base.IsAuthorized(actionContext);
        }



        protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            var challengeMessage = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
            challengeMessage.Headers.Add("WWW-Authenticate", "Basic");
            throw new System.Web.Http.HttpResponseException(challengeMessage);
        }
    }

这些代码值得注意的地方及说明

1.  if (actionContext.Request.Method == HttpMethod.Options)   这个判断是在进行跨域访问时浏览器会发起一个Options请求去试探这个请求,但是他不会带着data参数和一些header参数,所以认证肯定没法通过导致无法继续进行,所以给他直接认证通过。(对非跨域的则没有影响)

2.对Authorization.Parameter 的解密,这里的解析跟登陆成功之后返回的Token 加密方式相同就行 这里采用的是Basic认证方式(简单的64位字符串)

3.HandleUnauthorizedRequest方法 这里因为是继承重写的AuthorizeAttribute,在IsAuthorized 返回False的时候会执行这个方法

这里是返回一个401的错误信息

4.challengeMessage.Headers.Add("WWW-Authenticate","Basic");   这句代码指示浏览器 认证方式为Basic 然后浏览器自动弹出一个登陆窗口并以basic 的方式 加密后每次通过header 传输到服务器进行认证然后得到授权

在需要验证的Controller的类加上[HTTPBasicAuthorize]属性,即可对当前控制器下的所有方法实现基本身份认证

 然后我习惯更改一下api的路由  就改了一下routeTemplate 加入/{action}

public static void Register(HttpConfiguration config)
        {
            // Web API configuration and services

            // Web API routes
            config.MapHttpAttributeRoutes();
           // config.Filters.Add(new AuthorizeAttribute());
            config.Routes.MapHttpRoute(
                name: "DefaultApi",
                routeTemplate: "api/{controller}/{action}/{id}",
                defaults: new { id = RouteParameter.Optional }
            );
        }

如果以webapi里面有xml 方式返回,更改formatter 如下

protected void Application_Start()
        {
            GlobalConfiguration.Configure(WebApiConfig.Register);
            GlobalConfiguration.Configuration.Formatters.XmlFormatter.SupportedMediaTypes.Clear();
        }

 

weixin_34319640
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手把手教你AspNetCore WebApi认证与授权的方法
12-16
前言 这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的。 什么是Token Token是服务生成的一串字符串,以作客户进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户,以后客户只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。 什么是JWT Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧
ASP.NET Core中实现用户登录验证的最低配置示例代码
10-19
ASP.NET Core中,身份验证是构建安全Web应用的关键组件,允许系统识别并授权用户访问受保护的资源。本文将详细介绍如何实现用户登录验证的最低配置,以满足基础的身份认证需求。 首先,我们需要在`Startup.cs`...
asp.net权限认证:HTTP基本认证(http basic
angqishe7119的博客
01-27 230
HTTP基本认证示意图 HTTP基本认证,即http basic认证客户向服务发送一个携带基于用户名/密码的认证凭证的请求。认证凭证的格式为“{UserName}:{Password}”,并采用Base64编码,经过编码的认证凭证被存放在请求报头Authorization中,Authorization报头值类似:Basic MTIzNDU2OjEyMzQ1Ng==。服务接收...
Basic Authentication with Asp.Net WebAPI
weixin_34226706的博客
12-15 99
http://stackoverflow.com/questions/11135473/how-to-use-an-authorized-username-in-other-controllers http://stackoverflow.com/questions/12227495/httpactioncontext-request-headers-authorization-is-null ...
ASP.NET WebApi(四)【身份认证解决方案:Basic基础认证
极客神殿
01-20 1126
一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要知道了我们服务的url,就能随意访问我们的服务接口,从而访问或修改数据库。 1、我们不加身份认证,匿名用户可以直接通过url随意访问接口: 可以看到,匿名用户直接通过url就能访问我们的数据接口,最终会发生什么事,大家可以随意畅想。 2、增加了身份认证之后,只有带了我们访问票据的请求才能访问我们的接口。 例如我们直接通过url访问,会返回401 如果是正常流程的请求,带了票据,就OK了。 可以看到,正常流程的请求
asp.net mvc4 之Webapi之应用客户访问服务器
weixin_30587927的博客
03-31 139
一、说明 客户项目类型设计为:winform(winform窗体项目类型) 服务器项目类型设计为:asp.net mvc4 webapi 在这里分为项目运行和调试两种情况讨论: 运行: 这种情况指的是服务器项目已经开发完成,可以把其部署到iis中(http://localhost:8748)括号里是服务器部署到iis上的访问地址,客户访问服务器时要使用 ...
WebApplication1_C#_visualbasic_asp.net_
10-01
【标题】"WebApplication1_C#_visualbasic_asp.net_" 涉及的是一个使用C#、Visual BasicASP.NET技术开发的Web应用程序示例。这个项目可能是一个基础的Web应用教程,展示了如何构建一个网站。 【描述】"sample on ...
WebApi认证共8页.pdf.zip
最新发布
11-21
WebApiASP.NET框架的一部分,专门用于构建RESTful服务,允许客户通过HTTP协议与服务器进行交互。REST(Representational State Transfer)是一种网络应用程序的设计风格和开发方式,基于HTTP协议,可以利用URI...
aspnet-core-3-basic-authentication-apiASP.NET Core 3.1-基本的HTTP身份验证API
01-30
ASP.NET Core 3.1是Microsoft开发的一个开源框架,用于构建高性能、现代化的Web应用程序。在ASP.NET Core中,身份验证是确保只有经过验证的用户能够访问受保护资源的关键组件。基本的HTTP身份验证(Basic ...
ASP.NET web系统
01-21
ASP.NET Web系统详解】 ASP.NET 是微软公司推出的一种用于构建Web应用程序的开发框架,它基于.NET Framework,为开发者提供了一种高效、易用且功能强大的工具,支持C#和VB.NET等多种编程语言。在ASP.NET中,可以...
生成用于ASP.NET Web API的C#客户API
寒冰屋的专栏
12-30 1000
用于开发ASP.NET Web APIASP.NET Core Web API客户程序, 强类型客户API生成器以C#代码和TypeScript代码生成强类型客户API,以最大程度地减少重复性任务并提高应用程序开发人员的生产率和产品质量。
关于ASP.Net Core WebAPI身份认证的解决方案
hijk7的博客
04-18 108
关于ASP.Net Core WebAPI身份认证的解决方案
c# WebApi之身份验证:Basic基础认证
热门推荐
lwpoor123的博客
11-08 1万+
为什么需要身份认证身份认证是为了提高接口访问的安全性,如果没有身份验证,那么任何匿名用户只要知道服务器的url,就可以随意访问服务器,从而访问或者操作数据库,这会是很恐怖的事。什么是Basic基础认证Basic基础认证是一种简单的用户名、密码验证过程,它的主要原理是加密用户信息,生成票据,每次需要身份验证时将票据带过来验证,实现步骤为: 用户登录,登录成功后将生成的票据返回到前; 前登录成功后,
Web Service安全(一)——Basic验证
iteye_19249的博客
05-24 677
简单WebService安全要求,就是要求HTTP传输层的Basic验证。 在WebLogic中,只要你设置你的WebService只向个别角色或者用户开放,那么,客户就必须提供某种验证资料,例如用户名和密码。 服务的做法有两种: 一:在代码上设置这个安全要求 import weblogic.jws.security.RolesAllowed; import weblogi...
【转】WebApi 身份认证解决方案:Basic基础认证
sinolover的专栏
11-20 735
参考路径:https://www.cnblogs.com/landeanfen/p/5287064.html 前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要.
ASP.NET Core使用请求拦截器ActionFilterAttribute进行Basic Auth验证
ssjdoudou的博客
08-07 5192
using log4net.Repository.Hierarchy; using Microsoft.AspNetCore.Http; using Microsoft.AspNetCore.Mvc; using Microsoft.AspNetCore.Mvc.Controllers; using Microsoft.AspNetCore.Mvc.Filters; using Microsoft.Extensions.Configuration; using System; using System.C.
Asp.net WEBAPI 简单的OAUTH认证
星火燎猿
08-29 7829
最近想买需要,公司使用了完全的前后分离技术,后使用ASP.NET WEBAPI实现,前使用PHP作为中转服务器调用后服务器提供的WEBAPI,前期测试环境没有加OAUTH 安全认证,但是实际的生产环境肯定要认证,不然暴露出去的WEB API就会很危险,很容易被别人利用来生成脏数据,所以经过仔细思考,前期暂时先使用认证指定IP的方式来防止异常注入操作,整体操作思路比较简单:1. 创建授权过滤器
Asp.net webApi 通过WebSocket推送消息给客户,搭建一个即是服务又是客户的服务
fangyuan621的专栏
09-26 2213
Asp.net webApi 通过WebSocket推送消息给客户,搭建一个即是服务又是客户的服务_IT_ziliang的博客-CSDN博客 WebSocket是一种在单个TCP连接上进行全双工通信的协议。WebSocket通信协议于2011年被IETF定为标准RFC 6455,并由RFC7936补充规范。WebSocketAPI也被W3C定为标准。 WebSocket使得客户和服务器之间的数据交换变得更加简单,允许服务主动向客户推送数据。在WebSocket API中,浏览器和服务器只需.
C#进阶系列——WebApi 身份认证解决方案:Basic基础认证
qiufengwuxiu的博客
03-03 443
阅读目录一、为什么需要身份认证二、Basic基础认证的原理解析1、常见的认证方式2、Basic基础认证原理三、Basic基础认证的代码示例1、登录过程2、/Home/Index主界面3、WebApiCORS验证部分(重点)四、优化1、解决API的问题2、解决ajax的问题3、解决特殊不想使用验证的方法五、总结 正文前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题...
ASP.NET Web API实战指南
"《实用ASP.NET Web API》是一本深入探讨如何构建和使用Web API的书籍,主要关注ASP.NET框架下的实现Web API是通过HTTP协议提供的一种应用程序接口,允许不同平台的设备通过标准的HTTP方法(GET、POST、PUT、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值