动态判断是否需要Api接口鉴权

于 2024-03-28 15:14:00 发布
阅读量302 收藏 10
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43394129/article/details/137277809
版权

一.概述

  问题:

    在使用 asp.net core api 做业务开发时,在本地vs开发环境,部署后的测试环境,都需要先获取access_token,才能访问api接口,这样浪费了调试与测试时间。

       现状:

    我这里是通过Apollo 配置中心定义了二套配置环境,一是Dev环境:用于本地vs开发环境,部署后的测试环境; 二是:Pro环境用于生产环境。

    通过keycloak 认证授权服务器来保护api资源,在Controller或Action上加[Authorize] 或[AllowAnonymous] 来确定是否需要接口鉴权

      解决思路

    由于C#的Attribute 是不能通过代码来进行动态的添加和删除,所以需要自定义鉴权Attribute来替换[Authorize]。

二.实现关键代码

  2.1在Program.cs中获取环境

//打印阿波罗环境变量
var env = builder.Configuration.GetSection("Env").Value;

//判断是否要进行接口认证
TokenUtil.IsAuth = env.ToLower().Contains("pro") ? true : false;

  2.2 自定义DynamicAuthorizationAttribute.cs类

    /// <summary>
    /// 根据阿波罗配置的环境(Dev,Pro),动态判断是否需要接口鉴权
    /// Dev环境不用接口鉴权
    /// </summary>
    public class DynamicAuthorizationAttribute : Attribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            //不做鉴权
            if (!TokenUtil.IsAuth)
                return;

            //不做鉴权
            var endpoint = context.HttpContext.GetEndpoint();
            if (endpoint == null)
                return;

            //如果Controller或Action上标记了[AllowAnonymous],不做鉴权
            var metadata = endpoint.Metadata.GetOrderedMetadata<IAllowAnonymous>();
            if (metadata.Any())
                return;

            //是否通过access_token获取到用户信息
            var isAuth = context.HttpContext.User.Identity.IsAuthenticated;
            if (!isAuth)
            {
                //没有权限时返回401错误
                context.Result = new UnauthorizedResult();
            }
        }
    }

  2.3在Controller基数加入[DynamicAuthorization]

    /// <summary>
    /// 辅助基类控制器
    /// </summary>
    //    [Authorize]
    [DynamicAuthorization]
    [ApiController]
    [Route("Auxiliary/[controller]/[action]")]
    public class AuxiliaryControllerBase : Controller
    {

    }
花阴偷移
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
soringcloud接口鉴权_SpringCloudOAuth实现Server中API鉴权
weixin_39865204的博客
02-11 289
本文是在《Spring Cloud OAuth2实现用户认证中心学习笔记》的基础上扩展的,本文的代码也是与其代码配套使用。1、在上文的AuthenticationServer项目中增加UserDetailsController用于获取当前用户信息1、在SpringCloudOAuth2Server项目中创建一个包com.wongoing.oauth2.controller2、在com.wongoi...
api鉴权-token验证机制springboot版本java后端
04-24
API鉴权中,Token验证机制是现代Web应用中安全访问接口的重要手段。Spring Boot作为Java后端开发的主流框架,提供了丰富的工具和支持来实现这一机制。本教程将重点讲解如何在Spring Boot环境下,不依赖数据库,...
C# 鉴权授权学习总结
qq_38192821的博客
05-10 1257
Session/Cookie,JWT,OAuth2.0。
API接口鉴权签名设计
分享DotNet技术和日常开发笔记,DotNet,Python为主。
03-28 361
在设计API接口鉴权签名时,通常会使用一种加密算法来生成签名,以确保请求的合法性和安全性。以下是通过鉴权签名的设计方案。
api postmain 鉴权_API 接口鉴权设计
weixin_39582724的博客
12-18 143
已经开发好了一套 RESTful API 接口,方便PC端和APP端调用,只进行了 session 认证,每次调用 API 都会检查当前 session 中是否存在 uid,也就是判断是否已经有用户登录了,这样可以防止未登录的用户调用API接口,但这样设计肯定有问题,所以我想用 token 方式认证,类似于 github 的 token 认证,在调用 API 时携带 token 进行认证,这样不需...
api接口鉴权代码
qq_41373328的博客
08-12 2384
执行流程说明请看上一篇。本篇只涉及代码编写 1、新建util。放入以下类 BaseRedisService import java.util.concurrent.TimeUnit; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.StringRedisTemplate; import org.springframework.stereoty
开放api接口平台鉴权怎么做?
Java后端技术栈
03-24 2305
方式2:拦截器+注解实现。
api postmain 鉴权_Web API接口鉴权方式
weixin_35733495的博客
01-11 777
为什么要接口(API)鉴权?如果把API接口直接暴露在互联网上是存在安全风险的,所以我们需要API进行权限划分,对接口调用方做一个用户鉴权,如果鉴权通过则允许此用户进行API调用,反之则拒绝。根据不同的业务场景,接口鉴权方案也有很多种。Cookie + Session机制实现Web API鉴权这种机制是最为传统的,特别是在网站中的登录模块靠的就是Cookie+Session来实现会话管理的。1...
WebMVC+JWT实现API接口鉴权
m0_59765702的博客
07-01 695
Java AOP实现接口API鉴权为什么需要接口API鉴权如何实现接口API鉴权实现方式实现原理接口API鉴权实现代码 为什么需要接口API鉴权 如何实现接口API鉴权 实现方式 实现原理 接口API鉴权实现代码 ...
PHP basic digest API接口鉴权 接口安全
cc2415的博客
07-13 815
关于basic认证和digest认证的初步理解 #初代的是basic的认证,比较容易被破解。升级版的就是加上摘要basic digest。可用于api接口请求的一个过滤,为api的安全提供一定的保护 #####需要注意的地方 有个问题是前端ajax会发送一个预请求OPTION,后端需要对此作出正确的回应前端ajax才会真正的请求。 if($_SERVER[‘REQUEST_METHOD’]==‘...
原子云平台API文档V1.2
09-10
原子云平台API文档V1.2提供了丰富的API接口,供用户定制开发业务相关应用,包括HTTPS协议接口和WebSocket协议接口鉴权机制、HTTPS接口返回数据、返回状态码、账号机构列列表、设备分组列列表和设备列列表等知识点...
过滤器实现鉴权
11-20
- 在`doFilter()`方法中,获取请求URL,根据URL判断是否需要鉴权。 - 如果需要鉴权但用户未登录,可以重定向到登录页面。 - 登录成功后,将用户信息保存在session中,以便后续过滤器检查。 7. **web.xml配置** ...
SpringCloud Zuul过滤器实现登陆鉴权代码实例
08-24
在 shouldFilter 方法中,我们可以根据请求的 URI,来判断是否需要进行拦截和鉴权。在这个示例代码中,我们只拦截了 "/apizuul/order/api/v1/order/save" 这个 URI。 在 run 方法中,我们可以实现登陆鉴权的逻辑。...
网易云音乐api
10-21
网易云音乐作为国内知名的在线音乐平台,其提供的API接口为开发者提供了丰富的功能,允许用户在自己的应用或者项目中集成网易云音乐的服务,包括但不限于播放音乐、搜索歌曲、获取歌单、获取用户信息等。本文将详细...
java毕设&课设-图书管理系统(完整的).zip
07-21
计算机毕业设计资源包含(项目部署视频+源码+LW+开题报告等等),所有项目经过助教老师跑通,有问题可以私信博主解决,可以免费帮部署。
奇异谱分析SSA做信号分解,信号去噪、分解
最新发布
07-21
奇异谱分析SSA做信号分解,信号去噪、分解 1.运行main文件,其余为子函数 2.可以做回归预测,分类预测,时间序列预测 3.可以做信号分解,算法优化,区间预测 4.可以做组合模型预测 5.可以做聚类
ASP电子政务档案管理系统(源代码+论文).rar
07-21
ASP电子政务档案管理系统(源代码+论文)
生物医药Ⅱ行业深度研究:带疱苗市场高速增长时代拉开序幕,大单品蓝海有望渐成.pdf
07-21
生物医药Ⅱ行业深度研究:带疱苗市场高速增长时代拉开序幕,大单品蓝海有望渐成
springboot aop接口鉴权
09-27
Spring Boot是一个开发Java...通过这种方式,当用户访问需要进行鉴权操作的接口时,切面类中的鉴权方法将被调用,并根据用户的身份或权限判断是否允许访问接口。如果鉴权失败,则可以抛出异常或返回相应的错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值