在WEBAPI项目中使用过滤器做统一权限验证

最新推荐文章于 2023-02-07 08:24:06 发布
最新推荐文章于 2023-02-07 08:24:06 发布
阅读量2.5k 收藏 5
点赞数
分类专栏: 系统架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wxl847466025/article/details/88885845
版权

  最近在使用WEBAPI项目开发接口,主要是用于跟安卓与IOS开发的同事对接。刚开始开发接口的时候,为了省事就没有做权限验证,想着等逻辑都调通以后再回过头来统一加上去。结果等功能开发结束,发现每个接口里面都加上五到十行的权限验证功能就有点坑了,这么多的重复代码怎么给它再简化一下呢?
  在一个技术群里发问之后,有个朋友截了张图,内容是在接口上方声明一个属性,然后在属性里面进行验证。这个是不错的想法,以前我见过用这种方法的,但具体含义不明。正好这次能用上,就自己编写了一个属性。
  基本思路有三步:1、确定在哪里执行验证;2、获取APP传入的参数;3、根据参数进行权限验证;4、如果权限验证不通过就不再执行接口中的功能。
  第1步很容易就实现了,在我敲完“public override”后,界面就提示出了可以重写的方法,一个个的看过注释后,发现OnActionExecuting是接口内容执行前执行的代码,于是确定要在这里面写。
  第2步的难度也不大,程序运行起来之后,把OnActionExecuting参数列表的各项内容打开看了下,结果发现传入参数放在ActionArguments中,于是从中截取出了reqeust参数(即我自定义的传入参数实体名),里面存有APP同事传给我的各项信息。
  第3步就更简单了,就是把参数拿出来跟数据库作下对照。
  第4步有点坑,因为不知道怎么停止执行接口功能。于是先使用了传统的HttpContext.Current.Response.End,结果发现没用。然后去百度了半天接口拦截,一直没看出个所以然来。最后突然灵光一现,如果把请求的返回状态直接声明为完成,会不会拦截成功?于是这样调试了一下,果然奏效。

//属性代码
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
using System.Web.Http.Filters;
using System.Web;
using System.Net.Http;//该DLL需要手动加入,在系统框架中

    public class ApiAuthAttribute : ActionFilterAttribute
    {
        private static DalUser userData = new DalUser();
        /// <summary>
        /// 权限验证,通过为true,否则为false
        /// </summary>
        /// <param name="request"></param>
        /// <returns></returns>
        private static bool AuthValid(string userId)
        {
            if (string.IsNullOrEmpty(userId))
            {
                return false;
            }
            var objUser = userData.GetUserById(userId);
            if (objUser == null || string.IsNullOrEmpty(objUser.ID))
            {
                return false;
            }
            return true;
        }

        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)//执行方法前的操作
        {
            BaseResponseEntity response = new BaseResponseEntity();
            response.Code = (int)ResponseCode.ValidError;
            response.Message = "权限验证失败";
            string result = JsonConvert.SerializeObject(response);

            if (actionContext.ActionArguments == null || actionContext.ActionArguments.Count == 0)//没有传入用户信息
            {
                HttpContext.Current.Response.Write(result);
                actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);//OK为请求结束,拦截其余的执行
            }
            string userId = string.Empty;
            if (actionContext.ActionArguments.ContainsKey("request"))//参数列表中包含request
            {
                BaseRequestEntity request = (BaseRequestEntity)actionContext.ActionArguments["request"];
                if (request == null)
                {
                    HttpContext.Current.Response.Write(result);
                    actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);
                }
                userId = request.userId;
            }

            else

            {

                    HttpContext.Current.Response.Write(result);
                    actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);

            }   
            if (!AuthValid(userId))
            {
                HttpContext.Current.Response.Write(result);
                actionContext.Response = new HttpResponseMessage(System.Net.HttpStatusCode.OK);
            }
        }

使用拦截时的代码:
[ApiAuthAttribute]
public string GetResult(BaseRequest request)
{

}

随后在群里问了一下,有朋友说这是AOP的实现方法,管他什么P呢,好用就行了。

冬瓜就是我
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
WebApi授权拦截——重写AuthorizeAttribute
08-12
webapi重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把401改为其他状态码来避免被重定向
java-web -- servlet 拦截器 过滤器使用
02-24
通过实现Filter接口并配置在web.xml,我们可以对所有请求或特定请求进行拦截,例如进行字符编码转换、权限验证、日志记录等操作。过滤器可以形成一个链,按照定义的顺序执行。 再来看拦截器(Interceptor),这是...
.NET WebAPI 用ActionFilterAttribute实现token令牌验证与对Action的权限控制
weixin_30613433的博客
10-09 242
项目背景是一个社区类的APP(求轻吐...),博主主要负责后台业务及接口。以前没玩过webAPI,但是领导要求必须用这个(具体原因鬼知道),只好硬着头皮上了。 最近刚权限这一块,分享出来给大家。欢迎各种吐槽批判践踏... 先说说用户身份的识别,简单的了一个token机制。用户登录,后台产生令牌,发放令牌,用户携带令牌访问... 1.cache管理类,由于博主使用的HttpR...
WebApi过滤器
qq_38567182的博客
02-07 382
WebApi 权限验证过滤器、程序异常过滤器、模型验证过滤器、限流过滤器
WEBAPI使用过滤器API接口进行验证
weixin_30859423的博客
10-17 367
用户登录控制器:[ActionFilter]自定义过滤器 用户信息:var userData = new JObject(); userData.Add("account", account); userData.Add("password", password); userData.Ad...
MVC及Web API添加身份验证及错误处理的过滤器
softuse的博客
06-14 5095
MVC及Web API添加身份验证及错误处理的过滤器 先说身份验证的问题。无论是mvc还是api都有一个安全性的问题,未通过身份验证的人能不能访问的问题。我们新一个空项目时,默认是没有身份验证的,除非你在控制器类或者方法上面加上Authorize属性才会需要身份验证。但是我的控制器有那么多,我都要给它加上属性,多麻烦,所以我们就想到过滤器了。过滤器加上后,控制器都不用加就相当于有这个属性了。
Web后端开发-使用Filter过滤器技术,实现访问量统计-方法二使用web.xml配置的方式
最新发布
04-11
Web后端开发,Filter过滤器是一种非常重要的技术,它允许我们在请求被Servlet处理之前或之后进行拦截和处理。本篇文章将详细讲解如何通过使用`web.xml`配置文件来实现Filter过滤器,以实现对网站访问量的统计。...
12_基于JWT的Web API身份验证
10-31
- **API验证JWT**:在Web API的每个受保护的路由前,通过权限验证过滤器检查JWT的签名和有效期。如果验证通过,请求将继续处理;否则,返回错误信息。 4. JWT的优势: - **无状态**:因为JWT包含了所有必要的认证...
.net版本单点登录与权限管理(web api)
01-29
2. **授权机制**:在Web API,可以通过过滤器(Filters)实现授权,例如AuthorizeAttribute。开发者可以自定义过滤器,根据用户的角色或权限控制对API的访问。 3. **JWT令牌**:JSON Web Tokens (JWT)是一种流行的...
springboot @WebFilter注解过滤器的实现
08-24
SpringBoot 框架提供了多种方式来实现过滤器,例如使用 Servlet Filter API 或者使用 Spring 的 HandlerInterceptor机制,但是 SpringBoot 2.x 版本引入了新的 @WebFilter 注解,提供了更加简洁和灵活的方式来实现...
.NET MVC授权过滤器验证登录
11-29
.NET MVC授权过滤器验证登录,使用Filter过滤器 验证用户登录Authorization Filter
MVC WebApi 用户权限验证及授权DEMO
07-19
MVC WebApi 用户权限验证及授权DEMO 前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1 Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用户身份的合法性。目前常见的方式是Form认证,其处理逻辑描述如下: 1) 用户首先要在登录页面输入用户名和密码,然后登录系统,获取合法身份的票据,再执行后续业务处理操作; 2) 用户在没有登录的情况下提交Http页面访问请求,如果该页面不允许匿名访问,则直接跳转到登录页面; 3) 对于允许匿名访问的页面请求,系统不权限验证,直接处理业务数据,并返回给前端; 4) 对于不同权限要求的页面Action操作,系统需要校验用户角色,计算权限列表,如果请求操作在权限列表,则正常访问,如果不在权限列表,则提示“未授权的访问操作”到异常处理页面。 2 WebApi 服务端Basic 方式验证 WebApi服务端接收访问请求,需要安全验证处理,验证处理步骤如下: 1) 如果是合法的Http请求,在Http请求头会有用户身份的票据信息,服务端会读取票据信息,并校验票据信息是否完整有效,如果满足校验要求,则进行业务数据的处理,并返回给请求发起方; 2) 如果没有票据信息,或者票据信息不是合法的,则返回“未授权的访问”异常消息给前端,由前端处理此异常。 3 登录及权限验证流程 1) 用户打开浏览器,并在地址栏输入页面请求地址,提交; 2) 浏览器解析Http请求,发送到Web服务器;Web服务器验证用户请求,首先判断是否有登录的票据信息; 3) 用户没有登录票据信息,则跳转到登录页面; 4) 用户输入用户名和密码信息; 5) 浏览器提交登录表单数据给Web服务器; 6) Web服务需要验证用户名和密码是否匹配,发送api请求给api服务器; 7) api用户账户服务根据用户名,读取存储在数据库的用户资料,判断密码是否匹配; 7.1)如果用户名和密码不匹配,则提示密码错误等信息,然该用户重新填写登录资料; 7.2)如果验证通过,则保存用户票据信息; 8) 接第3步,如果用户有登录票据信息,则跳转到用户请求的页面; 9) 验证用户对当前要操作的页面或页面元素是否有权限操作,首先需要发起api服务请求,获取用户的权限数据; 10). api用户权限服务根据用户名,查找该用户的角色信息,并计算用户权限列表,封装为Json数据并返回; 11). 当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到api服务器; 如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。 12). api业务服务处理业务逻辑,并将结果以Json 数据返回; 13). 返回渲染后的页面给浏览器前端,并呈现业务数据到页面; 14). 用户填写业务数据,或者查找业务数据; 15). 当填写或查找完业务数据后,用户提交表单数据; 16). 浏览器脚本提交get,post等请求给web服务器,由web服务器再次解析请求操作,重复步骤2的后续流程; 17). 当api服务器验证用户身份是,没有可信用户票据,系统提示“未授权的访问操作”,跳转到系统异常处理页面。
C# WebAPI 过滤器Filter应用之IP访问控制
MarcoPro的博客
12-19 1734
Filter在Web API经常会用到,主要用于记录日志,安全验证,全局错误处理等,通过Filter能统一地对一些通用逻辑进行处理。在默认的WebApi,框架提供了2种Filter,分别继承actionfilterattribute,exceptionfilterattribute。我们在后台接口开发的时候,为了保障接口访问安全,IP访问控制是必不可少的,这里运用filter的特性来完成接口访问控制。2、新建ActionFilter类。3、获取配置文件授权IP地址信息。1、在接口类/方法添加过滤器
MVC和Web API 过滤器Filter
焦点男孩
11-18 6846
MVC和Web API Filter(过滤器) ASP.NET MVC 支持以下类型的操作筛选器: ·授权筛选器。这些筛选器用于实现IAuthorizationFilter 和出关于是否执行操作方法(如执行身份验证验证请求的属性)的安全决策。AuthorizeAttribute 类和RequireHttpsAttribute类是授权筛选器的示例。授权筛选器在任何其他筛选
第五节:WebApi的三大过滤器
weixin_34112181的博客
02-09 948
一. 基本说明 1. 简介:   WebApi下的过滤器和MVC下的过滤器有一些区别,首先我们要注意的是通常建WebApi项目时,会自动把MVC的程序集也引入进来,所以我们在使用WebApi下的过滤器的时候,要引入“ System.Web.Http”这个程序集,而不是MVC的“System.Web.MVC”。 PS:关于WebApi下的过滤器在的作用位置和使用方法以及执行顺序,均和MVC...
(精华)2020年8月17日 WebApi行为过滤处理方式
热门推荐
时光隧道
08-16 50万+
using (RedisListService service = new RedisListService()) { service.FlushAll(); service.Add("article", "XT1234"); service.Add("article", "kevin"); service.Add("article", "大叔"); service.Add("article", "C卡"); service.Add("article", "
Web用户的身份验证WebApi权限验证流程的设计和实现(续)
weixin_34221036的博客
11-27 139
4.4 权限属性RequireAuthorizationAttribute [csharp] view plaincopy   "font-size:14px;"&gt;/// /// 权限验证属性类 /// public class RequireAuthorizeAttribute : AuthorizeAttribute { /// /// 用户权限列表...
API:接口安全(权限验证、JWT
weixin_30830327的博客
05-26 1361
下午研究了一下JWT,又回顾了了下工作碰到的一些接口安全性验证,写个小结吧: 一、后端对后端 1、IP过滤 因为很多都是内网项目,直接简单粗暴配置下可访问的IP地址也凑合着够用(局域网没高手潜伏着搞破坏就好。。。),具体就是拦截器里 通过Web.Config参数判断是否要验证IP或账号密码,直接写死在Web.Config里,各地上线时去配置,基本是配置了内网IP段即可 pub...
WebApi_基于token的多平台身份认证架构设计(Z)--------PS:转载大神的博客
weixin_42065904的博客
06-21 438
链接https://blog.csdn.net/u010265681/article/details/76651766
webapi的几种过滤器
05-26
Web API,常见的过滤器包括以下几种: 1. 授权过滤器(Authorization Filter):用于控制API的访问权限验证用户的身份和权限。 2. 动作过滤器(Action Filter):用于在执行API请求前或者后执行某些逻辑,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

冬瓜就是我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值