WebApi权限验证流程的设计和实现

前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。

 

1. Web Form认证介绍

Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用户身份的合法性。目前常见的方式是Form认证,其处理逻辑描述如下:
1. 用户首先要在登录页面输入用户名和密码,然后登录系统,获取合法身份的票据,再执行后续业务处理操作;
2. 用户在没有登录的情况下提交Http页面访问请求,如果该页面不允许匿名访问,则直接跳转到登录页面;
3. 对于允许匿名访问的页面请求,系统不做权限验证,直接处理业务数据,并返回给前端;
4. 对于不同权限要求的页面Action操作,系统需要校验用户角色,计算权限列表,如果请求操作在权限列表中,则正常访问,如果不在权限列表中,则提示“未授权的访问操作”到异常处理页面。

 

2. WebApi 服务端Basic 方式验证

WebApi服务端接收访问请求,需要做安全验证处理,验证处理步骤如下:
1. 如果是合法的Http请求,在Http请求头中会有用户身份的票据信息,服务端会读取票据信息,并校验票据信息是否完整有效,如果满足校验要求,则进行业务数据的处理,并返回给请求发起方;
2. 如果没有票据信息,或者票据信息不是合法的,则返回“未授权的访问”异常消息给前端,由前端处理此异常。

 

3. 登录及权限验证流程

流程处理步骤说明:
1. 用户打开浏览器,并在地址栏中输入页面请求地址,提交;
2. 浏览器解析Http请求,发送到Web服务器;Web服务器验证用户请求,首先判断是否有登录的票据信息;
3. 用户没有登录票据信息,则跳转到登录页面;
4. 用户输入用户名和密码信息;
5. 浏览器提交登录表单数据给Web服务器;
6. Web服务需要验证用户名和密码是否匹配,发送api请求给api服务器;
7. api用户账户服务根据用户名,读取存储在数据库中的用户资料,判断密码是否匹配;
1)如果用户名和密码不匹配,则提示密码错误等信息,然该用户重新填写登录资料;
2)如果验证通过,则保存用户票据信息;
8. 接第3步,如果用户有登录票据信息,则跳转到用户请求的页面;
9. 验证用户对当前要操作的页面或页面元素是否有权限操作,首先需要发起api服务请求,获取用户的权限数据;
10. api用户权限服务根据用户名,查找该用户的角色信息,并计算用户权限列表,封装为Json数据并返回;
11. 当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到api服务器;
   如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。
12. api业务服务处理业务逻辑,并将结果以Json 数据返回;
13. 返回渲染后的页面给浏览器前端,并呈现业务数据到页面;
14. 用户填写业务数据,或者查找业务数据;
15. 当填写或查找完业务数据后,用户提交表单数据;
16. 浏览器脚本提交get,post等请求给web服务器,由web服务器再次解析请求操作,重复步骤2的后续流程;
17. 当api服务器验证用户身份是,没有可信用户票据,系统提示“未授权的访问操作”,跳转到系统异常处理页面。

 

4. Mvc前端代码示例

4.1 用户登录AccountController

[csharp] view plaincopy
  1. <span style="font-size: 18px;"> </span><span style="font-size: 14px;">
  2. public class AccountController : Controller  
  3.     {  
  4.         //  
  5.         // GET: /Logon/  
  6.   
  7.         public ActionResult Login(string returnUrl)  
  8.         {  
  9.             ViewBag.ReturnUrl = returnUrl;  
  10.             return View();  
  11.         }  
  12.   
  13.         [HttpPost]  
  14.         public ActionResult Logon(LoginUser loginUser, string returnUrl)  
  15.         {  
  16.             string strUserName = loginUser.UserName;  
  17.             string strPassword = loginUser.Password;  
  18.             var accountModel = new AccountModel();  
  19.   
  20.             //验证用户是否是系统注册用户  
  21.             if (accountModel.ValidateUserLogin(strUserName, strPassword))  
  22.             {  
  23.                 if (Url.IsLocalUrl(returnUrl))  
  24.                 {  
  25.                     //创建用户ticket信息  
  26.                     accountModel.CreateLoginUserTicket(strUserName, strPassword);  
  27.   
  28.                     //读取用户权限数据  
  29.                     accountModel.GetUserAuthorities(strUserName);  
  30.   
  31.                     return new RedirectResult(returnUrl);  
  32.                 }  
  33.                 else  
  34.                 {  
  35.                     return RedirectToAction("Index", "Home");  
  36.                 }                 
  37.             }  
  38.             else  
  39.             {  
  40.                 throw new ApplicationException("无效登录用户!");  
  41.             }  
  42.         }  
  43.   
  44.         /// <summary>  
  45.         /// 用户注销,注销之前,清除用户ticket  
  46.         /// </summary>  
  47.         /// <returns></returns>  
  48.         [HttpPost]  
  49.         public ActionResult Logout()  
  50.         {  
  51.             var accountModel = new AccountModel();  
  52.             accountModel.Logout();  
  53.   
  54.             return RedirectToAction("Login", "Account");  
  55.         }  
  56.     }</span>  
[csharp] view plaincopy
  1. <span style="font-size:18px;"> </span><span style="font-size:14px;">public class AccountController : Controller  
  2.     {  
  3.         //  
  4.         // GET: /Logon/  
  5.   
  6.         public ActionResult Login(string returnUrl)  
  7.         {  
  8.             ViewBag.ReturnUrl = returnUrl;  
  9.             return View();  
  10.         }  
  11.   
  12.         [HttpPost]  
  13.         public ActionResult Logon(LoginUser loginUser, string returnUrl)  
  14.         {  
  15.             string strUserName = loginUser.UserName;  
  16.             string strPassword = loginUser.Password;  
  17.             var accountModel = new AccountModel();  
  18.   
  19.             //验证用户是否是系统注册用户  
  20.             if (accountModel.ValidateUserLogin(strUserName, strPassword))  
  21.             {  
  22.                 if (Url.IsLocalUrl(returnUrl))  
  23.                 {  
  24.                     //创建用户ticket信息  
  25.                     accountModel.CreateLoginUserTicket(strUserName, strPassword);  
  26.   
  27.                     //读取用户权限数据  
  28.                     accountModel.GetUserAuthorities(strUserName);  
  29.   
  30.                     return new RedirectResult(returnUrl);  
  31.                 }  
  32.                 else  
  33.                 {  
  34.                     return RedirectToAction("Index", "Home");  
  35.                 }                 
  36.             }  
  37.             else  
  38.             {  
  39.                 throw new ApplicationException("无效登录用户!");  
  40.             }  
  41.         }  
  42.   
  43.         /// <summary>  
  44.         /// 用户注销,注销之前,清除用户ticket  
  45.         /// </summary>  
  46.         /// <returns></returns>  
  47.         [HttpPost]  
  48.         public ActionResult Logout()  
  49.         {  
  50.             var accountModel = new AccountModel();  
  51.             accountModel.Logout();  
  52.   
  53.             return RedirectToAction("Login", "Account");  
  54.         }  
  55.     }</span>  

 

4.2 用户模型AccountModel

[csharp] view plaincopy
  1. <span style="font-size: 14px;">
  2. public class AccountModel  
  3.     {  
  4.         /// <summary>  
  5.         /// 创建登录用户的票据信息  
  6.         /// </summary>  
  7.         /// <param name="strUserName"></param>  
  8.         internal void CreateLoginUserTicket(string strUserName, string strPassword)  
  9.         {  
  10.             //构造Form验证的票据信息  
  11.             FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, strUserName, DateTime.Now, DateTime.Now.AddMinutes(90),  
  12.                 true, string.Format("{0}:{1}", strUserName, strPassword), FormsAuthentication.FormsCookiePath);  
  13.   
  14.             string ticString = FormsAuthentication.Encrypt(ticket);  
  15.   
  16.             //把票据信息写入Cookie和Session  
  17.             //SetAuthCookie方法用于标识用户的Identity状态为true  
  18.             HttpContext.Current.Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, ticString));  
  19.             FormsAuthentication.SetAuthCookie(strUserName, true);  
  20.             HttpContext.Current.Session["USER_LOGON_TICKET"] = ticString;  
  21.               
  22.             //重写HttpContext中的用户身份,可以封装自定义角色数据;  
  23.             //判断是否合法用户,可以检查:HttpContext.User.Identity.IsAuthenticated的属性值  
  24.             string[] roles = ticket.UserData.Split(',');  
  25.             IIdentity identity = new FormsIdentity(ticket);  
  26.             IPrincipal principal = new GenericPrincipal(identity, roles);  
  27.             HttpContext.Current.User = principal;  
  28.         }  
  29.   
  30.         /// <summary>  
  31.         /// 获取用户权限列表数据  
  32.         /// </summary>  
  33.         /// <param name="userName"></param>  
  34.         /// <returns></returns>  
  35.         internal string GetUserAuthorities(string userName)  
  36.         {  
  37.             //从WebApi 访问用户权限数据,然后写入Session  
  38.             string jsonAuth = "[{\"Controller\": \"SampleController\", \"Actions\":\"Apply,Process,Complete\"}, {\"Controller\": \"Product\", \"Actions\": \"List,Get,Detail\"}]";  
  39.             var userAuthList = ServiceStack.Text.JsonSerializer.DeserializeFromString(jsonAuth, typeof(UserAuthModel[]));  
  40.             HttpContext.Current.Session["USER_AUTHORITIES"] = userAuthList;  
  41.   
  42.             return jsonAuth;  
  43.         }  
  44.   
  45.         /// <summary>  
  46.         /// 读取数据库用户表数据,判断用户密码是否匹配  
  47.         /// </summary>  
  48.         /// <param name="name"></param>  
  49.         /// <param name="password"></param>  
  50.         /// <returns></returns>  
  51.         internal bool ValidateUserLogin(string name, string password)  
  52.         {  
  53.             //bool isValid = password == passwordInDatabase;  
  54.             return true;  
  55.         }  
  56.   
  57.         /// <summary>  
  58.         /// 用户注销执行的操作  
  59.         /// </summary>  
  60.         internal void Logout()  
  61.         {  
  62.             FormsAuthentication.SignOut();  
  63.         }  
  64.     }</span>  
[csharp] view plaincopy
  1. <span style="font-size:14px;">public class AccountModel  
  2.     {  
  3.         /// <summary>  
  4.         /// 创建登录用户的票据信息  
  5.         /// </summary>  
  6.         /// <param name="strUserName"></param>  
  7.         internal void CreateLoginUserTicket(string strUserName, string strPassword)  
  8.         {  
  9.             //构造Form验证的票据信息  
  10.             FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, strUserName, DateTime.Now, DateTime.Now.AddMinutes(90),  
  11.                 true, string.Format("{0}:{1}", strUserName, strPassword), FormsAuthentication.FormsCookiePath);  
  12.   
  13.             string ticString = FormsAuthentication.Encrypt(ticket);  
  14.   
  15.             //把票据信息写入Cookie和Session  
  16.             //SetAuthCookie方法用于标识用户的Identity状态为true  
  17.             HttpContext.Current.Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, ticString));  
  18.             FormsAuthentication.SetAuthCookie(strUserName, true);  
  19.             HttpContext.Current.Session["USER_LOGON_TICKET"] = ticString;  
  20.               
  21.             //重写HttpContext中的用户身份,可以封装自定义角色数据;  
  22.             //判断是否合法用户,可以检查:HttpContext.User.Identity.IsAuthenticated的属性值  
  23.             string[] roles = ticket.UserData.Split(',');  
  24.             IIdentity identity = new FormsIdentity(ticket);  
  25.             IPrincipal principal = new GenericPrincipal(identity, roles);  
  26.             HttpContext.Current.User = principal;  
  27.         }  
  28.   
  29.         /// <summary>  
  30.         /// 获取用户权限列表数据  
  31.         /// </summary>  
  32.         /// <param name="userName"></param>  
  33.         /// <returns></returns>  
  34.         internal string GetUserAuthorities(string userName)  
  35.         {  
  36.             //从WebApi 访问用户权限数据,然后写入Session  
  37.             string jsonAuth = "[{\"Controller\": \"SampleController\", \"Actions\":\"Apply,Process,Complete\"}, {\"Controller\": \"Product\", \"Actions\": \"List,Get,Detail\"}]";  
  38.             var userAuthList = ServiceStack.Text.JsonSerializer.DeserializeFromString(jsonAuth, typeof(UserAuthModel[]));  
  39.             HttpContext.Current.Session["USER_AUTHORITIES"] = userAuthList;  
  40.   
  41.             return jsonAuth;  
  42.         }  
  43.   
  44.         /// <summary>  
  45.         /// 读取数据库用户表数据,判断用户密码是否匹配  
  46.         /// </summary>  
  47.         /// <param name="name"></param>  
  48.         /// <param name="password"></param>  
  49.         /// <returns></returns>  
  50.         internal bool ValidateUserLogin(string name, string password)  
  51.         {  
  52.             //bool isValid = password == passwordInDatabase;  
  53.             return true;  
  54.         }  
  55.   
  56.         /// <summary>  
  57.         /// 用户注销执行的操作  
  58.         /// </summary>  
  59.         internal void Logout()  
  60.         {  
  61.             FormsAuthentication.SignOut();  
  62.         }  
  63.     }</span>  



4.3 控制器基类WebControllerBase

[csharp] view plaincopy
  1. <span style="font-size: 14px;">/// <summary>  
  2.     /// 前端Mvc控制器基类  
  3.     /// </summary>  
  4.     [Authorize]  
  5.     public abstract class WebControllerBase : Controller  
  6.     {  
  7.         /// <summary>  
  8.         /// 对应api的Url  
  9.         /// </summary>  
  10.         public string ApiUrl  
  11.         {  
  12.             get;  
  13.             protected set;  
  14.         }  
  15.   
  16.         /// <summary>  
  17.         /// 用户权限列表  
  18.         /// </summary>  
  19.         public UserAuthModel[] UserAuthList  
  20.         {  
  21.             get  
  22.             {  
  23.                 return AuthorizedUser.Current.UserAuthList;  
  24.             }  
  25.         }  
  26.   
  27.         /// <summary>  
  28.         /// 登录用户票据  
  29.         /// </summary>  
  30.         public string UserLoginTicket  
  31.         {  
  32.             get  
  33.             {  
  34.                 return AuthorizedUser.Current.UserLoginTicket;  
  35.             }  
  36.         }  
  37.     }</span>  
[csharp] view plaincopy
  1. <span style="font-size:14px;">/// <summary>  
  2.     /// 前端Mvc控制器基类  
  3.     /// </summary>  
  4.     [Authorize]  
  5.     public abstract class WebControllerBase : Controller  
  6.     {  
  7.         /// <summary>  
  8.         /// 对应api的Url  
  9.         /// </summary>  
  10.         public string ApiUrl  
  11.         {  
  12.             get;  
  13.             protected set;  
  14.         }  
  15.   
  16.         /// <summary>  
  17.         /// 用户权限列表  
  18.         /// </summary>  
  19.         public UserAuthModel[] UserAuthList  
  20.         {  
  21.             get  
  22.             {  
  23.                 return AuthorizedUser.Current.UserAuthList;  
  24.             }  
  25.         }  
  26.   
  27.         /// <summary>  
  28.         /// 登录用户票据  
  29.         /// </summary>  
  30.         public string UserLoginTicket  
  31.         {  
  32.             get  
  33.             {  
  34.                 return AuthorizedUser.Current.UserLoginTicket;  
  35.             }  
  36.         }  
  37.     }</span>  

 

4.4 权限属性RequireAuthorizationAttribute

[csharp] view plaincopy
  1. <span style="font-size: 14px;">/// <summary>  
  2.     /// 权限验证属性类  
  3.     /// </summary>  
  4.     public class RequireAuthorizeAttribute : AuthorizeAttribute  
  5.     {  
  6.         /// <summary>  
  7.         /// 用户权限列表  
  8.         /// </summary>  
  9.         public UserAuthModel[] UserAuthList  
  10.         {  
  11.             get  
  12.             {  
  13.                 return AuthorizedUser.Current.UserAuthList;  
  14.             }  
  15.         }  
  16.   
  17.         /// <summary>  
  18.         /// 登录用户票据  
  19.         /// </summary>  
  20.         public string UserLoginTicket  
  21.         {  
  22.             get  
  23.             {  
  24.                 return AuthorizedUser.Current.UserLoginTicket;  
  25.             }  
  26.         }  
  27.   
  28.         public override void OnAuthorization(AuthorizationContext filterContext)  
  29.         {  
  30.             base.OnAuthorization(filterContext);  
  31.   
  32.             验证是否是登录用户  
  33.             var identity = filterContext.HttpContext.User.Identity;  
  34.             if (identity.IsAuthenticated)  
  35.             {  
  36.                 var actionName = filterContext.ActionDescriptor.ActionName;  
  37.                 var controllerName = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName;  
  38.   
  39.                 //验证用户操作是否在权限列表中  
  40.                 if (HasActionQulification(actionName, controllerName, identity.Name))  
  41.                     if (!string.IsNullOrEmpty(UserLoginTicket))  
  42.                         //有效登录用户,有权限访问此Action,则写入Cookie信息  
  43.                         filterContext.HttpContext.Response.Cookies[FormsAuthentication.FormsCookieName].Value = UserLoginTicket;  
  44.                     else  
  45.                         //用户的Session, Cookie都过期,需要重新登录  
  46.                         filterContext.HttpContext.Response.Redirect("~/Account/Login", false);  
  47.                 else  
  48.                     //虽然是登录用户,但没有该Action的权限,跳转到“未授权访问”页面  
  49.                     filterContext.HttpContext.Response.Redirect("~/Home/UnAuthorized", true);  
  50.             }  
  51.             else  
  52.             {  
  53.                 //未登录用户,则判断是否是匿名访问  
  54.                 var attr = filterContext.ActionDescriptor.GetCustomAttributes(true).OfType<AllowAnonymousAttribute>();  
  55.                 bool isAnonymous = attr.Any(a => a is AllowAnonymousAttribute);  
  56.   
  57.                 if (!isAnonymous)  
  58.                     //未验证(登录)的用户, 而且是非匿名访问,则转向登录页面  
  59.                     filterContext.HttpContext.Response.Redirect("~/Account/Login", true);  
  60.             }  
  61.         }  
  62.   
  63.         /// <summary>  
  64.         /// 从权限列表验证用户是否有权访问Action  
  65.         /// </summary>  
  66.         /// <param name="actionName"></param>  
  67.         /// <param name="controllerName"></param>  
  68.         /// <returns></returns>  
  69.         private bool HasActionQulification(string actionName, string controllerName, string userName)  
  70.         {  
  71.             //从该用户的权限数据列表中查找是否有当前Controller和Action的item  
  72.             var auth = UserAuthList.FirstOrDefault(a =>  
  73.             {  
  74.                 bool rightAction = false;  
  75.                 bool rightController = a.Controller == controllerName;  
  76.                 if (rightController)  
  77.                 {  
  78.                     string[] actions = a.Actions.Split(',');  
  79.                     rightAction = actions.Contains(actionName);  
  80.                 }  
  81.                 return rightAction;  
  82.             });  
  83.   
  84.             //此处可以校验用户的其它权限条件  
  85.             //var notAllowed = HasOtherLimition(userName);  
  86.             //var result = (auth != null) && notAllowed;  
  87.             //return result;  
  88.   
  89.             return (auth != null);  
  90.         }  
  91.     }</span>  
[csharp] view plaincopy
  1. <span style="font-size:14px;">/// <summary>  
  2.     /// 权限验证属性类  
  3.     /// </summary>  
  4.     public class RequireAuthorizeAttribute : AuthorizeAttribute  
  5.     {  
  6.         /// <summary>  
  7.         /// 用户权限列表  
  8.         /// </summary>  
  9.         public UserAuthModel[] UserAuthList  
  10.         {  
  11.             get  
  12.             {  
  13.                 return AuthorizedUser.Current.UserAuthList;  
  14.             }  
  15.         }  
  16.   
  17.         /// <summary>  
  18.         /// 登录用户票据  
  19.         /// </summary>  
  20.         public string UserLoginTicket  
  21.         {  
  22.             get  
  23.             {  
  24.                 return AuthorizedUser.Current.UserLoginTicket;  
  25.             }  
  26.         }  
  27.   
  28.         public override void OnAuthorization(AuthorizationContext filterContext)  
  29.         {  
  30.             base.OnAuthorization(filterContext);  
  31.   
  32.             验证是否是登录用户  
  33.             var identity = filterContext.HttpContext.User.Identity;  
  34.             if (identity.IsAuthenticated)  
  35.             {  
  36.                 var actionName = filterContext.ActionDescriptor.ActionName;  
  37.                 var controllerName = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName;  
  38.   
  39.                 //验证用户操作是否在权限列表中  
  40.                 if (HasActionQulification(actionName, controllerName, identity.Name))  
  41.                     if (!string.IsNullOrEmpty(UserLoginTicket))  
  42.                         //有效登录用户,有权限访问此Action,则写入Cookie信息  
  43.                         filterContext.HttpContext.Response.Cookies[FormsAuthentication.FormsCookieName].Value = UserLoginTicket;  
  44.                     else  
  45.                         //用户的Session, Cookie都过期,需要重新登录  
  46.                         filterContext.HttpContext.Response.Redirect("~/Account/Login", false);  
  47.                 else  
  48.                     //虽然是登录用户,但没有该Action的权限,跳转到“未授权访问”页面  
  49.                     filterContext.HttpContext.Response.Redirect("~/Home/UnAuthorized", true);  
  50.             }  
  51.             else  
  52.             {  
  53.                 //未登录用户,则判断是否是匿名访问  
  54.                 var attr = filterContext.ActionDescriptor.GetCustomAttributes(true).OfType<AllowAnonymousAttribute>();  
  55.                 bool isAnonymous = attr.Any(a => a is AllowAnonymousAttribute);  
  56.   
  57.                 if (!isAnonymous)  
  58.                     //未验证(登录)的用户, 而且是非匿名访问,则转向登录页面  
  59.                     filterContext.HttpContext.Response.Redirect("~/Account/Login", true);  
  60.             }  
  61.         }  
  62.   
  63.         /// <summary>  
  64.         /// 从权限列表验证用户是否有权访问Action  
  65.         /// </summary>  
  66.         /// <param name="actionName"></param>  
  67.         /// <param name="controllerName"></param>  
  68.         /// <returns></returns>  
  69.         private bool HasActionQulification(string actionName, string controllerName, string userName)  
  70.         {  
  71.             //从该用户的权限数据列表中查找是否有当前Controller和Action的item  
  72.             var auth = UserAuthList.FirstOrDefault(a =>  
  73.             {  
  74.                 bool rightAction = false;  
  75.                 bool rightController = a.Controller == controllerName;  
  76.                 if (rightController)  
  77.                 {  
  78.                     string[] actions = a.Actions.Split(',');  
  79.                     rightAction = actions.Contains(actionName);  
  80.                 }  
  81.                 return rightAction;  
  82.             });  
  83.   
  84.             //此处可以校验用户的其它权限条件  
  85.             //var notAllowed = HasOtherLimition(userName);  
  86.             //var result = (auth != null) && notAllowed;  
  87.             //return result;  
  88.   
  89.             return (auth != null);  
  90.         }  
  91.     }</span>  

 

4.5 业务Controller示例

[csharp] view plaincopy
  1. <span style="font-size: 14px;">
  2. public class ProductController : WebControllerBase  
  3. {  
  4.   
  5.         [AllowAnonymous]  
  6.         public ActionResult Query()  
  7.         {  
  8.             return View("ProductQuery");  
  9.         }  
  10.   
  11.         [HttpGet]  
  12.         //[AllowAnonymous]  
  13.         [RequireAuthorize]  
  14.         public ActionResult Detail(string id)  
  15.         {  
  16.             var cookie = HttpContext.Request.Cookies;  
  17.             string url = base.ApiUrl + "/Get/" + id;  
  18.             HttpClient httpClient = HttpClientHelper.Create(url, base.UserLoginTicket);  
  19.               
  20.             string result = httpClient.GetString();  
  21.             var model = JsonSerializer.DeserializeFromString<Product>(result);  
  22.             ViewData["PRODUCT_ADD_OR_EDIT"] = "E";  
  23.             return View("ProductForm", model);  
  24.         }  
  25. }</span>  
[csharp] view plaincopy
  1. <span style="font-size:14px;">public class ProductController : WebControllerBase  
  2. {  
  3.   
  4.         [AllowAnonymous]  
  5.         public ActionResult Query()  
  6.         {  
  7.             return View("ProductQuery");  
  8.         }  
  9.   
  10.         [HttpGet]  
  11.         //[AllowAnonymous]  
  12.         [RequireAuthorize]  
  13.         public ActionResult Detail(string id)  
  14.         {  
  15.             var cookie = HttpContext.Request.Cookies;  
  16.             string url = base.ApiUrl + "/Get/" + id;  
  17.             HttpClient httpClient = HttpClientHelper.Create(url, base.UserLoginTicket);  
  18.               
  19.             string result = httpClient.GetString();  
  20.             var model = JsonSerializer.DeserializeFromString<Product>(result);  
  21.             ViewData["PRODUCT_ADD_OR_EDIT"] = "E";  
  22.             return View("ProductForm", model);  
  23.         }  
  24. }</span>  



5.  WebApi 服务端代码示例

5.1 控制器基类ApiControllerBase

[csharp] view plaincopy
  1. /// <summary>  
  2. /// Controller的基类,用于实现适合业务场景的基础功能  
  3. /// </summary>  
  4. /// <typeparam name="T"></typeparam>  
  5. [BasicAuthentication]  
  6. public abstract class ApiControllerBase : ApiController  
  7. {  
  8.   
  9. }  
[csharp] view plaincopy
  1. /// <summary>  
  2. /// Controller的基类,用于实现适合业务场景的基础功能  
  3. /// </summary>  
  4. /// <typeparam name="T"></typeparam>  
  5. [BasicAuthentication]  
  6. public abstract class ApiControllerBase : ApiController  
  7. {  
  8.   
  9. }  

 

 

5.2 权限属性BaseAuthenticationAttribute

[csharp] view plaincopy
  1. /// <summary>  
  2.     /// 基本验证Attribtue,用以Action的权限处理  
  3.     /// </summary>  
  4.     public class BasicAuthenticationAttribute : ActionFilterAttribute  
  5.     {  
  6.         /// <summary>  
  7.         /// 检查用户是否有该Action执行的操作权限  
  8.         /// </summary>  
  9.         /// <param name="actionContext"></param>  
  10.         public override void OnActionExecuting(HttpActionContext actionContext)  
  11.         {  
  12.             //检验用户ticket信息,用户ticket信息来自调用发起方  
  13.             if (actionContext.Request.Headers.Authorization != null)  
  14.             {  
  15.                 //解密用户ticket,并校验用户名密码是否匹配  
  16.                 var encryptTicket = actionContext.Request.Headers.Authorization.Parameter;  
  17.                 if (ValidateUserTicket(encryptTicket))  
  18.                     base.OnActionExecuting(actionContext);  
  19.                 else  
  20.                     actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);                     
  21.             }  
  22.             else  
  23.             {  
  24.                 //检查web.config配置是否要求权限校验  
  25.                 bool isRquired = (WebConfigurationManager.AppSettings["WebApiAuthenticatedFlag"].ToString() == "true");  
  26.                 if (isRquired)  
  27.                 {  
  28.                     //如果请求Header不包含ticket,则判断是否是匿名调用  
  29.                     var attr = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();  
  30.                     bool isAnonymous = attr.Any(a => a is AllowAnonymousAttribute);  
  31.   
  32.                     //是匿名用户,则继续执行;非匿名用户,抛出“未授权访问”信息  
  33.                     if (isAnonymous)  
  34.                         base.OnActionExecuting(actionContext);  
  35.                     else  
  36.                         actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);  
  37.                 }  
  38.                 else  
  39.                 {  
  40.                     base.OnActionExecuting(actionContext);  
  41.                 }  
  42.             }  
  43.         }  
  44.   
  45.         /// <summary>  
  46.         /// 校验用户ticket信息  
  47.         /// </summary>  
  48.         /// <param name="encryptTicket"></param>  
  49.         /// <returns></returns>  
  50.         private bool ValidateUserTicket(string encryptTicket)  
  51.         {  
  52.             var userTicket = FormsAuthentication.Decrypt(encryptTicket);  
  53.             var userTicketData = userTicket.UserData;  
  54.   
  55.             string userName = userTicketData.Substring(0, userTicketData.IndexOf(":"));  
  56.             string password = userTicketData.Substring(userTicketData.IndexOf(":") + 1);  
  57.   
  58.             //检查用户名、密码是否正确,验证是合法用户  
  59.             //var isQuilified = CheckUser(userName, password);  
  60.             return true;  
  61.         }  
  62.     }  
[csharp] view plaincopy
  1. /// <summary>  
  2.     /// 基本验证Attribtue,用以Action的权限处理  
  3.     /// </summary>  
  4.     public class BasicAuthenticationAttribute : ActionFilterAttribute  
  5.     {  
  6.         /// <summary>  
  7.         /// 检查用户是否有该Action执行的操作权限  
  8.         /// </summary>  
  9.         /// <param name="actionContext"></param>  
  10.         public override void OnActionExecuting(HttpActionContext actionContext)  
  11.         {  
  12.             //检验用户ticket信息,用户ticket信息来自调用发起方  
  13.             if (actionContext.Request.Headers.Authorization != null)  
  14.             {  
  15.                 //解密用户ticket,并校验用户名密码是否匹配  
  16.                 var encryptTicket = actionContext.Request.Headers.Authorization.Parameter;  
  17.                 if (ValidateUserTicket(encryptTicket))  
  18.                     base.OnActionExecuting(actionContext);  
  19.                 else  
  20.                     actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);                     
  21.             }  
  22.             else  
  23.             {  
  24.                 //检查web.config配置是否要求权限校验  
  25.                 bool isRquired = (WebConfigurationManager.AppSettings["WebApiAuthenticatedFlag"].ToString() == "true");  
  26.                 if (isRquired)  
  27.                 {  
  28.                     //如果请求Header不包含ticket,则判断是否是匿名调用  
  29.                     var attr = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();  
  30.                     bool isAnonymous = attr.Any(a => a is AllowAnonymousAttribute);  
  31.   
  32.                     //是匿名用户,则继续执行;非匿名用户,抛出“未授权访问”信息  
  33.                     if (isAnonymous)  
  34.                         base.OnActionExecuting(actionContext);  
  35.                     else  
  36.                         actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);  
  37.                 }  
  38.                 else  
  39.                 {  
  40.                     base.OnActionExecuting(actionContext);  
  41.                 }  
  42.             }  
  43.         }  
  44.   
  45.         /// <summary>  
  46.         /// 校验用户ticket信息  
  47.         /// </summary>  
  48.         /// <param name="encryptTicket"></param>  
  49.         /// <returns></returns>  
  50.         private bool ValidateUserTicket(string encryptTicket)  
  51.         {  
  52.             var userTicket = FormsAuthentication.Decrypt(encryptTicket);  
  53.             var userTicketData = userTicket.UserData;  
  54.   
  55.             string userName = userTicketData.Substring(0, userTicketData.IndexOf(":"));  
  56.             string password = userTicketData.Substring(userTicketData.IndexOf(":") + 1);  
  57.   
  58.             //检查用户名、密码是否正确,验证是合法用户  
  59.             //var isQuilified = CheckUser(userName, password);  
  60.             return true;  
  61.         }  
  62.     }  

 

5.3 api服务Controller实例

[csharp] view plaincopy
  1. public class ProductController : ApiControllerBase  
  2. {  
  3.   
  4.         [HttpGet]  
  5.         public object Find(string id)  
  6.         {  
  7.             return ProductServiceInstance.Find(2);  
  8.         }  
  9.   
  10.      // GET api/product/5  
  11.         [HttpGet]  
  12.         [AllowAnonymous]  
  13.         public Product Get(string id)  
  14.         {  
  15.             var headers = Request.Headers;  
  16.             var p = ProductServiceInstance.GetById<Product, EPProduct>(long.Parse(id));  
  17.             if (p == null)  
  18.             {  
  19.                   throw new HttpResponseException(new HttpResponseMessage(HttpStatusCode.BadRequest)  
  20.                   Content = new StringContent("id3 not found"), ReasonPhrase = "product id not exist." });  
  21.             }  
  22.             return p;  
  23.         }  
  24. }  
[csharp] view plaincopy
  1. public class ProductController : ApiControllerBase  
  2. {  
  3.   
  4.         [HttpGet]  
  5.         public object Find(string id)  
  6.         {  
  7.             return ProductServiceInstance.Find(2);  
  8.         }  
  9.   
  10.      // GET api/product/5  
  11.         [HttpGet]  
  12.         [AllowAnonymous]  
  13.         public Product Get(string id)  
  14.         {  
  15.             var headers = Request.Headers;  
  16.             var p = ProductServiceInstance.GetById<Product, EPProduct>(long.Parse(id));  
  17.             if (p == null)  
  18.             {  
  19.                   throw new HttpResponseException(new HttpResponseMessage(HttpStatusCode.BadRequest)  
  20.                   Content = new StringContent("id3 not found"), ReasonPhrase = "product id not exist." });  
  21.             }  
  22.             return p;  
  23.         }  
  24. }  



6. 其它配置说明

6.1 Mvc前端Web.Config 配置

[html] view plaincopy
  1. <system.web>  
  2.     <compilation debug="true" targetFramework="4.5">  
  3.       <assemblies>  
  4.         <add assembly="System.Web.Http.Data.Helpers, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />  
  5.       </assemblies>  
  6.     </compilation>  
  7.     <httpRuntime targetFramework="4.5" />  
  8.     <authentication mode="Forms">  
  9.       <forms loginUrl="~/Account/Login" defaultUrl="~/Home/Index" protection="All" timeout="90" name=".AuthCookie"></forms>  
  10.     </authentication>  
  11.     <machineKey validationKey="3FFA12388DDF585BA5D35E7BC87E3F0AB47FBBEBD12240DD3BEA2BEAEC4ABA213F22AD27E8FAD77DCFEE306219691434908D193A17C1FC8DCE51B71A4AE54920" decryptionKey="ECB6A3AF9ABBF3F16E80685ED68DC74B0B13CCEE538EBBA97D0B893139683B3B" validation="SHA1" decryption="AES" />  
  12. </system.web>  
[html] view plaincopy
  1. <system.web>  
  2.     <compilation debug="true" targetFramework="4.5">  
  3.       <assemblies>  
  4.         <add assembly="System.Web.Http.Data.Helpers, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />  
  5.       </assemblies>  
  6.     </compilation>  
  7.     <httpRuntime targetFramework="4.5" />  
  8.     <authentication mode="Forms">  
  9.       <forms loginUrl="~/Account/Login" defaultUrl="~/Home/Index" protection="All" timeout="90" name=".AuthCookie"></forms>  
  10.     </authentication>  
  11.     <machineKey validationKey="3FFA12388DDF585BA5D35E7BC87E3F0AB47FBBEBD12240DD3BEA2BEAEC4ABA213F22AD27E8FAD77DCFEE306219691434908D193A17C1FC8DCE51B71A4AE54920" decryptionKey="ECB6A3AF9ABBF3F16E80685ED68DC74B0B13CCEE538EBBA97D0B893139683B3B" validation="SHA1" decryption="AES" />  
  12. </system.web>  


machineKey节点配置,是应用于对用户ticket数据加密和解密。

6.2 WebApi服务端Web.Config配置

[html] view plaincopy
  1.  <system.web>  
  2.     <machineKey validationKey="3FF112388DDF585BA5D35E7BC87E3F0AB47FBBEBD12240DD3BEA2BEAEC4ABA213F22AD27E8FAD77DCFEE306219691434908D193A17C1FC8DCE51B71A4AE54920" decryptionKey="ECB6A3AF9ABBF3F16E80685ED68DC74B0B13CCEE538EBBA97D0B893139683B3B" validation="SHA1" decryption="AES" />  
  3. </system.web>  
[html] view plaincopy
  1.  <system.web>  
  2.     <machineKey validationKey="3FF112388DDF585BA5D35E7BC87E3F0AB47FBBEBD12240DD3BEA2BEAEC4ABA213F22AD27E8FAD77DCFEE306219691434908D193A17C1FC8DCE51B71A4AE54920" decryptionKey="ECB6A3AF9ABBF3F16E80685ED68DC74B0B13CCEE538EBBA97D0B893139683B3B" validation="SHA1" decryption="AES" />  
  3. </system.web>  


machineKey节点配置,是应用于对用户ticket数据加密和解密。

7. 总结

Web系统的用户登录及页面操作权限验证在处理逻辑上比较复杂,需要考虑到Form认证、匿名访问,Session和Cookie存储,以及Session和Cookie的过期处理,本文实现了整个权限验证框架的基本功能,供系统架构设计人员以及Web开发人员参考。

转载于:https://www.cnblogs.com/robinapp/p/4308708.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/420175.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

前端学习(1374):express参数中get参数的获取

const express require(express);const app express(); app.get(index, (req, res) > {res,end(req.query); })app.listen(3000); console.log(服务器启动成功); 运行结果

mysql二维数据转一维存_二维数组转一维数组

//二维转一维var arr[[1,2,3],[2,5,6,7],[234,234,545]]function dir(arr) {var result[];for(var r0;rfor(var c0;cresult.push(arr[r][c])}}return result;}console.log(dir(arr))//方法二function dir2(arr) {var result[];for(var r0;rresultresult.concat(arr[r])}return …

前端学习(1375):express参数中post参数的获取

demo39.js const express require(express);const app express(); const bodyParser require(body-parser); //拦截所有请求 //extends:true 方法内部使用第三方模块请求的参数 app.use(bodyParser.urlencoded({ extends: false }))app.post(/add, (req, res) > {res.se…

iOS开发那些悲剧的事儿

一丶百度地图,百度导航开发中的问题: 1,开启引擎的时候,会再沙盒中自动生成一些二进制文件. 不符合苹果储存规则; 解决:将文件手动写入Cache, iCloud Drive 对于 iOS 8 和 OS X Yosemite &#xff0c;苹果决定采用比较常规的做法&#xff0c;也是 4 亿多 iCloud 用户一直想要的…

javascript乘法和加法_js 大整数加法、乘法、除法

有一定的编程经验的人都知道&#xff0c;当我们对数据操作的时候&#xff0c;若数据过大&#xff0c;计算机将这个大数从十进制的转为二进制的&#xff0c;是没有那个类型的放的了的&#xff0c;因此&#xff0c;我们经常将一个大数转化为字符串来操作。接下来我将演示大整数的…

前端学习(1376):app.use方法

const express require(express);const app express(); const bodyParser require(body-parser); //拦截所有请求 //extends:true 方法内部使用第三方模块请求的参数 app.use(fn({ a: 1 }));function fn(obj) {return function(req, res, next) {if (obj.a 1) {console.log…

c treelist绑定mysql_TreeList 绑数据

try{RestService service new RestService();List categories service.SelectGoodsCategory(this.Login.Storeguid);if (categories ! null){TreeNode root new TreeNode(this.Login.StoreName);foreach (UMS_BASE_出品类别表 item in categories){if (categories.Contains(…

websocket + node.js聊天系统

转&#xff1a;http://www.cnblogs.com/Wayou/p/hichat_built_with_nodejs_socket.html 前端一直是一块充满惊喜的土地&#xff0c;不仅是那些富有创造性的页面&#xff0c;还有那些惊赞的效果及不断推出的新技术。像node.js这样的后端开拓者直接将前端人员的能力扩大到了后端。…

前端学习(1377):express路由参数

const express require(express);const app express(); const bodyParser require(body-parser); //拦截所有请求 //extends:true 方法内部使用第三方模块请求的参数app.get(/index/:id, (req, res) > {res.send(req.params); }) app.listen(3000); console.log(服务器启…

java桥_java 泛型--桥方法

因为 java 在编译源码时, 会进行 类型擦除, 导致泛型类型被替换限定类型(无限定类型就使用 Object). 因此为保持继承和重载的多态特性, 编译器会生成 桥方法.本文最后附录所有源码.Pair 是个泛型类, 它具有泛型方法 setSecond(T second),在经过编译时的 类型擦除 后变为 setSec…

前端学习(1378):express静态资源处理

const express require(express); const pathrequire(path); const app express();app.use(express.static(path.join(__dirname))) app.listen(3000); console.log(服务器启动成功);

json字符串生成C#实体类的工具

转载&#xff1a;http://www.cnblogs.com/finesite/archive/2011/07/31/2122984.html json作为互联网上轻量便捷的数据传输格式,越来越受到重视。但在服务器端编程过程中&#xff0c;我们常常希望能通过智能提示来提高编码效率。JSON C# Class Generator 能将json格式所表示的J…

java 栈 泛型_java 泛型栈(数组实现) | 学步园

尝试将一些数据结构用java实现&#xff0c;尝试过程中确实碰到一些问题&#xff0c;收获很大import java.lang.reflect.Array;class ArrayStack {Class type;private T[] values;private int maxSize;private int top;public ArrayStack(Class type, int maxSize) {this.type …

移动web资源整理

2013年底接触移动端&#xff0c;简单做下总结&#xff0c;首先了解下移动web带来的问题 设备更新换代快——低端机遗留下问题、高端机带来新挑战浏览器厂商不统一——兼容问题多网络更复杂——弱网络&#xff0c;页面打开慢低端机性能差——页面操作卡顿HTML5新技术多——学习成…

《Python核心编程》笔记 Python对象

1、Python对象 Python使用对象模型来存储数据&#xff0c;构造任何类型的值都是一个对象。所有的对象都有三个特性&#xff1a; 身份&#xff0c;可通过内建函数id()查看&#xff0c;这个值即该对象的内存地址。类型&#xff0c;可通过内建函数type()查看。值&#xff0c;对象表…

前端学习(1382):多人管理项目2案例初始化

blog.js const express require(express);const app express();const home require(./homegeyao); const admin require(./admingeyao);app.use(/home, home); app.use(/admin, admin); app.listen(3000);console.log(服务器启动成功); admingeyao.js //管理页面 //展示…

codeforces C. Xor-tree

http://codeforces.com/problemset/problem/430/C 题意&#xff1a;在一棵上有n个节点&#xff0c;有n-1条边&#xff0c;在每一个节点上有一个值0或1&#xff0c;然后给你一个目标树&#xff0c;让你选择节点&#xff0c;然后把节点的值翻转&#xff0c;它的孙子节点跟着翻转&…

java jsp ajax_ajax的json传值方式在jsp页面中的应用

jsp页面&#xff1a;$(document).ready(function() {setInterval(function myTimer(){//alert(a);getViews();},1000);});//播放function getViews(){$.ajax({url:"${pageContext.request.contextPath}/video/getVideos.action?r"Math.random()"&open1&quo…

前端学习(1383):多人管理项目3

blog.js const express require(express); //创建网站服务器 const app express(); //开放静态资源文件 const path require(path);//告诉express框架模板所在的位置 app.set(views, path.join(__dirname, views)); //告诉express框架模板的后缀是什么 app.set(view engine…