ajax webapi 接口认证,WebApi身份认证解决方案(1):Basic基础认证(上)

最新推荐文章于 2024-03-26 17:43:09 发布
最新推荐文章于 2024-03-26 17:43:09 发布
阅读量1.4k 收藏 1
点赞数 1
文章标签: ajax webapi 接口认证

来源:赖的安分链接:http://www.cnblogs.com/landeanfen/p/5287064.html

前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证

一、为什么需要身份认证

在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要知道了我们服务的url,就能随意访问我们的服务接口,从而访问或修改数据库。

1、我们不加身份认证,匿名用户可以直接通过url随意访问接口:

77401721_1

77401721_2

可以看到,匿名用户直接通过url就能访问我们的数据接口,最终会发生什么事,大家可以随意畅想。

2、增加了身份认证之后,只有带了我们访问票据的请求才能访问我们的接口。

例如我们直接通过url访问,会返回401

77401721_3

如果是正常流程的请求,带了票据,就OK了。

77401721_4

可以看到,正常流程的请求,会在请求报文的头里面增加Authorization这一项,它的值就是我们的Ticket票据信息。

二、Basic基础认证的原理解析

1、常见的认证方式

我们知道,asp.net的认证机制有很多种。对于WebApi也不例外,常见的认证方式有

FORM身份验证

集成WINDOWS验证

Basic基础认证

Digest摘要认证

园子里很多关于WebApi认证的文章,各种认证方式都会涉及到,但感觉都不够细。这里也并不想去研究哪种验证方式适用哪种使用场景,因为博主还是觉得“贪多嚼不烂”,也可能是博主能力所限。对于认证机制,弄懂其中一种,其他的都能融会贯通。此篇就使用Basic基础认证来详细讲解下整个的过程。

2、Basic基础认证原理

我们知道,认证的目的在于安全,那么如何能保证安全呢?常用的手段自然是加密。Basic认证也不例外,主要原理就是加密用户信息,生成票据,每次请求的时候将票据带过来验证。这样说可能有点抽象,我们详细分解每个步骤:

首先登陆的时候验证用户名、密码,如果登陆成功,则将用户名、密码按照一定的规则生成加密的票据信息Ticket,将票据信息返回到前端。

如果登陆成功,前端会收到票据信息,然后跳转到主界面,并且将票据信息也带到主界面的ActionResult里面(例如跳转的url可以这样写:/Home/Index?Ticket=Ticket)

在主界面的ActionResult里面通过参数得到票据信息Ticket,然后将Ticket信息保存到ViewBag里面传到前端。

在主界面的前端,发送Ajax请求的时候将票据信息加入到请求的Head里面,将票据信息随着请求一起发送到服务端去。

在WebApi服务里面定义一个类,继承AuthorizeAttribute类,然后重写父类的OnAuthorization方法,在OnAuthorization方法里面取到当前http请求的Head,从Head里面取到我们前端传过来的票据信息。解密票据信息,从解密的信息里面得到用户名和密码,然后验证用户名和密码是否正确。如果正确,表示验证通过,否则返回未验证的请求401。

这个基本的原理。下面就按照这个原理来看看每一步的代码如何实现。

三、Basic基础认证的代码示例

首先说下我们的示例场景,上次介绍 CORS 的时候我们在一个解决方案里面放了两个项目Web和WebApiCORS,我们这次还是以这个为例来说明。

1、登录过程

1.1、Web前端

<='' span=''>style='text-align:center;'>

用户名:<='' span=''>type='text'id='txt_username'/>

密  码:<='' span=''>type='password'id='txt_password'/>

<='' span=''>type='button'value='登录'id='btn_login'class='btn-default'/>

$(function(){

$('#btn_login').click(function(){

$.ajax({

type:'get',

url:'http://localhost:27221/api/User/Login',

data:{strUser:$('#txt_username').val(),strPwd:$('#txt_password').val()},

success:function(data,status){

if(status=='success'){

if(!data.bRes){

alert('登录失败');

return;

}

alert('登录成功');

//登录成功之后将用户名和用户票据带到主界面

window.location='/Home/Index?UserName='+data.UserName+'&Ticket='+data.Ticket;

}

},

error:function(e){

},

complete:function(){

}

});

});

});

1.2、登录的API接口

publicclassUserController:ApiController

{

///

/// 用户登录

///

[HttpGet]

publicobjectLogin(stringstrUser,stringstrPwd)

{

if(!ValidateUser(strUser,strPwd))

{

returnnew{bRes=false};

}

FormsAuthenticationTicketticket=newFormsAuthenticationTicket(0,strUser,DateTime.Now,

DateTime.Now.AddHours(1),true,string.Format('{0}&{1}',strUser,strPwd),

FormsAuthentication.FormsCookiePath);

//返回登录结果、用户信息、用户验证票据信息

varoUser=newUserInfo{bRes=true,UserName=strUser,Password=strPwd,Ticket=FormsAuthentication.Encrypt(ticket)};

//将身份信息保存在session中,验证当前请求是否是有效请求

HttpContext.Current.Session[strUser]=oUser;

returnoUser;

}

//校验用户名密码(正式环境中应该是数据库校验)

privateboolValidateUser(stringstrUser,stringstrPwd)

{

if(strUser=='admin'&strPwd=='123456')

{

returntrue;

}

else

{

returnfalse;

}

}

}

publicclassUserInfo

{

publicboolbRes{get;set;}

publicstringUserName{get;set;}

publicstringPassword{get;set;}

publicstringTicket{get;set;}

}

这里有一点需要注意的是,因为WebApi默认是没有开启Session的,所以需要我们作一下配置,手动去启用session。如何开启WebApi里面的Session,请参考:http://www.cnblogs.com/tinya/p/4563641.html

正如上面的原理部分说的,登录如果失败,则直接返回;如果成功,则将生成的票据Ticket带到前端,传到主界面/Home/Index,下面,我们就来看看主界面Home/Index。

2、/Home/Index主界面

publicclassHomeController:Controller

{

// GET: Home

publicActionResult Index(stringUserName,stringTicket)

{

ViewBag.UserName=UserName;

ViewBag.Ticket=Ticket;

returnView();

}

}

name='viewport'content='width=device-width'/>

Index

href='~/Content/bootstrap/css/bootstrap.css'rel='stylesheet'/>

当前登录用户:'@ViewBag.UserName'

<='' span=''>id='div_test'>

$(function(){

$.ajax({

type:'get',

url:'http://localhost:27221/api/Charging/GetAllChargingData',

data:{},

beforeSend:function(XHR){

//发送ajax请求之前向http的head里面加入验证信息

XHR.setRequestHeader('Authorization','BasicAuth '+Ticket);

},

success:function(data,status){

if(status=='success'){

$('#div_test').html(data);

}

},

error:function(e){

$('#div_test').html('Error');

},

complete:function(){

}

});

});

这里需要说明的是,我们在发送ajax请求之前,通过 XHR.setRequestHeader(‘Authorization’, ‘BasicAuth ‘ + Ticket); 这一句向请求的报文头里面增加票据信息。就是因为这里加了这一句,所以才有我们下图中的红线部分:

77401721_5

LumaLabsAI
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过Ajax实现不显示登录框的IIS-Windows集成身份验证登录
菜刀居士的专栏
09-01 1529
script type="text/javascript" language="javascript"> function Authen() { var location = "http://192.168.0.241/gm"; var auth; var rId = document.getElementBy
WebApi身份验证与接口调用
HobbyFull的博客
08-31 1618
WebAPI身份验证,接口授权,接口调用
Ajax 调用Web API大全
我要的光荣哪怕只有一秒
11-10 1127
目录 首先配置一下WebApiConfig 调用无参数方法 Get Get传递实体 GetUri传递实体 Get序列化后传递实体 Get请求失败405 Post请求单个参数 Post请求多个参数 Post传递实体 Post序列化后传递实体 Post使用Jobject接收多个参数 Put请求单个参数 Put传递实体 Put序列化后传递实体 Put使用Jobjec...
WebAPI身份认证Token
最新发布
qq_41264896的博客
03-26 380
WebAPI身份认证Token
WebApi Basic Auth认证
weixin_30702887的博客
05-02 308
第一步、新建AuthFilterAttribute类 1 public class AuthFilterAttribute : AuthorizeAttribute 2 { 3 public override void OnAuthorization(HttpActionContext actionContext) 4 { 5 ...
C#进阶系列——WebApi 身份认证解决方案Basic基础认证
weixin_34353714的博客
03-24 635
前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 WebApi系列文章 C#进阶系列——WebApi接口测试工具:WebApiTestCli...
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
【C#进阶系列:WebApi身份认证解决方案推荐——Basic基础认证】 在Web开发中,尤其是在涉及API服务时,确保接口的安全性至关重要。C#的WebApi提供了多种身份验证方式,其中Basic认证是一种简单但实用的策略。本文将...
C#进阶系列--WebApi
08-23
C#进阶系列——WebApi 异常处理解决方案 ......................................................................................................................... 23 一、使用异常筛选器捕获所有异常 .........
关于nancy中的身份验证
09-03
在Nancy框架中,身份验证是确保只有经过验证的用户能够访问受保护的API或页面的关键环节。身份验证有多种模式,包括Basic、Form、Token和Stateless。在这篇文章中,我们将专注于Token验证,因为它在现代Web应用中...
CherryPy Essentials - Rapid Python Web Application Development (2007).pdf
08-18
Chapter 1 presents the story behind CherryPy and a high-level overview of the project. Chapter 2 guides you through the installation and deployment of CherryPy via common strategies like using ...
PHP Web 2.0 Mashup Projects.pdf
08-18
A mashup is a web page or application that combines data from two or more external online sources into an integrated experience. This book is your entryway to the world of mashups and Web 2.0. You ...
webapi 身份验证DEMO
12-22
WebApiDemo是webapi摘要验证的demo
webapi-security:web API开放接口设计解决方案
07-24
开放接口设计-解决方案 安全设计(防窃取,防篡改,防泄漏) Java和JavaScrip互通验签及加解密(SM3, AES, 3DES) 多版本管理支持 一. 简单验签加密组件 1. 介绍说明 * BASE64 严格地说,属于编码格式,而非加密算法;双向加密(可解密) 使用场景:任意序列的8位字节描述为一种不易被人直接识别的形式如:空格等,转化成任何国际语言都能识别的64个可见字符 * MD5(Message Digest algorithm 5,信息摘要算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * SHA(Secure Hash Algorithm,安全散列算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * HMAC(Hash Message Authentication Code,散列消息鉴别码)单向加密;
js base64加密解密
chuwa5121的博客
03-08 1700
function util(){ function Base64() { // private property var _keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrst...
c# WebApi身份验证:Basic基础认证
热门推荐
lwpoor123的博客
11-08 1万+
为什么需要身份认证身份认证是为了提高接口访问的安全性,如果没有身份验证,那么任何匿名用户只要知道服务器的url,就可以随意访问服务器,从而访问或者操作数据库,这会是很恐怖的事。什么是Basic基础认证Basic基础认证是一种简单的用户名、密码验证过程,它的主要原理是加密用户信息,生成票据,每次需要身份验证时将票据带过来验证,实现步骤为: 用户登录,登录成功后将生成的票据返回到前端; 前端登录成功后,
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 3896
令牌概述(Token) 在以用户账号体系作为安全认证信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
ASP.NET MVC WebApi接口授权验证
耀的专栏
07-10 1490
ASP.NET MVC WebApi接口授权验证 对于很多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程。使用面向接口编程的时候,就会有很多的权限验证,用户验证等等。 特别是对于一些系统来说,别人想要对接你的系统,同步系统数据,那么就必须要提供对外访问接口。当然,这对外接口也不是随便就提供的,对于一些机密数据,那么对于别人想要使用你的数据,就必须按照一个标准来。我系统对外提供接口,想要用这个接口必须要通过身份认证才行。举个例子:你想去我家,你必须经过我的同意和我给你的钥
JSwebapi
兔子零
03-17 693
一.DOM 文档对象模型 javascript 由三部分组成:ECMAScript,DOM,BOM 浏览器不会执行JS代码,是通过JS内置引擎(解释器)来执行代码. 1.1 获取标签元素方式 1.根据id获取元素 var div = document.getElementById('main'); 注意:由于id名具有唯一性,部分浏览器支持直接使用id名访问元素,但不是标准...
asp.net 用ajax调后台方法
05-12
1. 在 ASP.NET Web 应用程序中添加一个 Web 服务 (Web Service),或者一个 Web API 控制器 (Web API Controller)。 2. 在 Web 服务或 Web API 控制器中创建一个可供 AJAX 调用的方法。 3. 在 ASP.NET 页面中添加一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值