偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

Web API之認(rèn)證(Authentication)兩種實現(xiàn)方式

移動開發(fā)
對于所謂的認(rèn)證說到底就是安全問題,在Web API中有多種方式來實現(xiàn)安全,【accepted】方式來處理基于IIS的安全(通過上節(jié)提到的WindowsIdentity依賴于HttpContext和IIS認(rèn)證)或者在Web API里通過使用Web API中的消息處理機(jī)制,但是如果我們想應(yīng)用程序運行在IIS之外此時Windows Idenitity這一方式似乎就不太可能了,同時在Web API中本身就未提供如何處理認(rèn)證的直接方式,我們不得不自定義來實現(xiàn)認(rèn)證功能,同時這也是我們所推薦的方式,自己動手,豐衣足食。

序言

對于所謂的認(rèn)證說到底就是安全問題,在Web API中有多種方式來實現(xiàn)安全,【accepted】方式來處理基于IIS的安全(通過上節(jié)提到的WindowsIdentity依賴于HttpContext和IIS認(rèn)證)或者在Web API里通過使用Web API中的消息處理機(jī)制,但是如果我們想應(yīng)用程序運行在IIS之外此時Windows Idenitity這一方式似乎就不太可能了,同時在Web API中本身就未提供如何處理認(rèn)證的直接方式,我們不得不自定義來實現(xiàn)認(rèn)證功能,同時這也是我們所推薦的方式,自己動手,豐衣足食。
溫馨提示:下面實現(xiàn)方法皆基于基礎(chǔ)認(rèn)證,若不熟悉Http協(xié)議中的Basic基礎(chǔ)認(rèn)證,請先參看此篇文章【園友海鳥-介紹Basic基礎(chǔ)認(rèn)證和Diges摘要認(rèn)證】。


無論何種方式,對于我們的應(yīng)用程序我們都需要在業(yè)務(wù)層使用基于憑證的用戶認(rèn)證,因為是客戶端一方的需求,所以客戶端需要明確基礎(chǔ)驗證,基礎(chǔ)認(rèn)證(Basic)非常簡單并且支持任何Web客戶端,但是基礎(chǔ)驗證的缺點是不安全,通過使用SSL則可以進(jìn)行加密就可以在一定程度上保證了安全,如果是對于一般的應(yīng)用程序通過基礎(chǔ)認(rèn)證只是進(jìn)行編碼而未加密也可以說是安全的。我們還是看看上一節(jié)所給圖片

通過上述圖片的粗略信息我們可以看出在請求到Action方法之間要經(jīng)過Web API消息處理管道,在請求到目標(biāo)元素之前要經(jīng)過HttpMessageHandler和認(rèn)證過濾器,所以我們可以通過這兩者來自定義實現(xiàn)認(rèn)證。下面我們一一來看。
基于Web API的認(rèn)證過濾器(AuthorizationFilterAttribute)實現(xiàn)認(rèn)證
***步

我們自定義一個認(rèn)證身份(用戶名和密碼)的類,那么此類必須也就要繼承于 GenericIdentity ,既然是基于基礎(chǔ)驗證,那么類型當(dāng)然也就是Basic了。

  1. public class BasicAuthenticationIdentity : GenericIdentity 
  3. public string Password { get; set; } 
  4. public BasicAuthenticationIdentity(string name, string password) 
  5. : base(name, "Basic"
  7. this.Password = password; 


第二步

我們要自定義一個認(rèn)證過濾器特性,并繼承 AuthorizationFilterAttribute ,此時會變成如下:

  1. public class BasicAuthenticationFilter : AuthorizationFilterAttribute 
  3. public override void OnAuthorization(HttpActionContext actionContext) 
  4. {} 

那么在這個重寫的方法我們應(yīng)該寫什么呢?我們慢慢來分析!請往下看。

解析請求報文頭

首先對于客戶單發(fā)送過來的請求我們肯定是需要獲得請求報頭,然后解析請求報頭中的Authorization,若此時其參數(shù)為空,我們將返回到客戶端,并發(fā)起質(zhì)詢。

 

  1.  string authParameter = null
  2.  
  3. var authValue = actionContext.Request.Headers.Authorization; //actionContext:Action方法請求上下文 
  4. if (authValue != null && authValue.Scheme == "Basic"
  5. authParameter = authValue.Parameter; //authparameter:獲取請求中經(jīng)過Base64編碼的(用戶:密碼) 
  6.  
  7. if (string.IsNullOrEmpty(authParameter)) 
  8.  
  9. return null

次之,若此時認(rèn)證中的參數(shù)不為空并開始對其進(jìn)行編碼,并返回一個BasicAuthenticationIdentity對象,若此時對象為空,則同樣返回到客戶端,并發(fā)起質(zhì)詢
  1. uthParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); //對編碼的參數(shù)進(jìn)行解碼 
  2.  
  3. var authToken = authParameter.Split(':'); //解碼后的參數(shù)格式為(用戶名:密碼)將其進(jìn)行分割 
  4. if (authToken.Length < 2
  5. return null
  6.  
  7. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); //將分割的用戶名和密碼傳遞給此類構(gòu)造函數(shù)進(jìn)行初始化 


***,我們將上述兩者封裝為一個ParseHeader方法以便進(jìn)行調(diào)用

  1.  public virtual BasicAuthenticationIdentity ParseHeader(HttpActionContext actionContext) 
  3. string authParameter = null
  4.  
  5. var authValue = actionContext.Request.Headers.Authorization; 
  6. if (authValue != null && authValue.Scheme == "Basic"
  7. authParameter = authValue.Parameter; 
  8.  
  9. if (string.IsNullOrEmpty(authParameter)) 
  10.  
  11. return null
  12.  
  13. authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
  14.  
  15. var authToken = authParameter.Split(':'); 
  16. if (authToken.Length < 2
  17. return null
  18.  
  19. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 

接下來我們將認(rèn)證未通過而需要發(fā)起認(rèn)證質(zhì)詢,我們將其封裝為一個方法Challenge

  1. void Challenge(HttpActionContext actionContext) 
  3. var host = actionContext.Request.RequestUri.DnsSafeHost; 
  4. actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized); 
  5. actionContext.Response.Headers.Add("WWW-Authenticate", string.Format("Basic realm=\"{0}\"", host)); 
  6.  

定義一個方法便于對用戶名和密碼進(jìn)行校驗,并將其修飾為虛方法,以免后續(xù)要添加其他有關(guān)用戶數(shù)

  1.  public virtual bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) 
  3. if (string.IsNullOrEmpty(userName) || string.IsNullOrEmpty(userPassword)) 
  4.  
  5. return false
  6. else 
  7. return true
  8.  

在認(rèn)證成功后將認(rèn)證身份設(shè)置給當(dāng)前線程中Principal屬性

  1. ar principal = new GenericPrincipal(identity, null); 
  2.  
  3. Thread.CurrentPrincipal = principal; 
  4.  
  5. //下面是針對ASP.NET而設(shè)置 
  6. //if (HttpContext.Current != null) 
  7. // HttpContext.Current.User = principal; 


第三步

一切已經(jīng)就緒,此時在重寫方法中進(jìn)行相應(yīng)的調(diào)用即可,如下:

  1.  [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, AllowMultiple = false)] 
  2. public class BasicAuthenticationFilter : AuthorizationFilterAttribute 
  4. public override void OnAuthorization(HttpActionContext actionContext) 
  6. var userIdentity = ParseHeader(actionContext); 
  7. if (userIdentity == null
  9. Challenge(actionContext); 
  10. return
  12.  
  13. if (!OnAuthorize(userIdentity.Name, userIdentity.Password, actionContext)) 
  15. Challenge(actionContext); 
  16. return
  18.  
  19. var principal = new GenericPrincipal(userIdentity, null); 
  20.  
  21. Thread.CurrentPrincipal = principal; 
  22.  
  23. base.OnAuthorization(actionContext); 

 #p#


第四步

自定義 CustomBasicAuthenticationFilter 并繼承于 BasicAuthenticationFilter ,重寫其虛方法。

  1.  public class CustomBasicAuthenticationFilter : BasicAuthenticationFilter 
  3. public override bool OnAuthorize(string userName, string userPassword, HttpActionContext actionContext) 
  5. if (userName == "xpy0928" && userPassword == "cnblogs"
  6.  
  7. return true
  8. else 
  9. return false
  10.  


***一步

注冊自定義認(rèn)證特性并進(jìn)行調(diào)用

  1.  config.Filters.Add(new CustomBasicAuthenticationFilter()); 
  2.  
  3. [CustomBasicAuthenticationFilter] 
  4. public class ProductController : ApiController 
  5. {....} 

至此對于其認(rèn)證方式就已經(jīng)完全實現(xiàn),接下來我們通過【搜狗瀏覽器】來驗收我們的成果。

看到如下認(rèn)證其用戶名和密碼的圖片,我們知道我們成功了一半

我們點擊取消,觀察是否返回401并添加質(zhì)詢頭即WWW-Authenticate,如我們所料

我們輸入正確的用戶名和密碼再試試看,結(jié)果認(rèn)證成功,如下:

基于Web API的消息處理管道(HttpMessageHandler)實現(xiàn)認(rèn)證

我們知道HttpMessageHandler是Web API中請求-響應(yīng)中的消息處理管道的重要角色,但是真正實現(xiàn)管道串聯(lián)的是DelegatingHandler,若你不懂Web API消息管道,請參考前面系列文章,所以我們可以自定義管道來進(jìn)行攔截通過繼承DelegatingHandler。下面我們一步步來實現(xiàn)基于此管道的認(rèn)證。
***步

和***種方法一致不再敘述。
第二步

這一步當(dāng)然是自定義管道進(jìn)行處理并繼承DelegatingHandler,重載在此類中的SendAsync方法,通過獲得其請求并處理從而進(jìn)行響應(yīng),若不懂此類中的具體實現(xiàn),請參看前面系列文章。

同樣是我們需要根據(jù)請求來解析請求報頭,我們依然需要解析報頭方法,但是需要稍作修改

 

  1.  public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) 
  3. string authParameter = null
  4.  
  5. var authValue = requestMessage.Headers.Authorization; 
  6. if (authValue != null && authValue.Scheme == "Basic"
  7. authParameter = authValue.Parameter; 
  8.  
  9. if (string.IsNullOrEmpty(authParameter)) 
  10.  
  11. return null
  12.  
  13. authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
  14.  
  15. var authToken = authParameter.Split(':'); 
  16. if (authToken.Length < 2
  17. return null
  18.  
  19. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 

此時質(zhì)詢也得作相應(yīng)的修改,因為此時不再是依賴于Action請求上下文,而是請求(HttpRequestMessage)和響應(yīng)(HttpResponseMessage)

 

  1.  void Challenge(HttpRequestMessage request,HttpResponseMessage response) 
  3. var host = request.RequestUri.DnsSafeHost; 
  4.  
  5. response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); 
  6.  
  7. }

最終繼承自DelegatingHandler的代碼如

 

  1.  public class BasicAuthenticationHandler : DelegatingHandler 
  3. private const string authenticationHeader = "WWW-Authenticate"
  4. protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken) 
  6. var crendentials = ParseHeader(request); 
  7.  
  8. if (crendentials != null
  10. var identity = new BasicAuthenticationIdentity(crendentials.Name, crendentials.Password); 
  11.  
  12. var principal = new GenericPrincipal(identity, null); 
  13.  
  14. Thread.CurrentPrincipal = principal; 
  15.  
  16. //針對于ASP.NET設(shè)置 
  17. //if (HttpContext.Current != null) 
  18. // HttpContext.Current.User = principal; 
  20.  
  21. return base.SendAsync(request, cancellationToken).ContinueWith(task => { 
  22. var response = task.Result; 
  23. if (crendentials == null && response.StatusCode == HttpStatusCode.Unauthorized) 
  25. Challenge(request, response); 
  27.  
  28. return response; 
  29. }); 
  30.  
  32.  
  33. void Challenge(HttpRequestMessage request,HttpResponseMessage response) 
  35. var host = request.RequestUri.DnsSafeHost; 
  36.  
  37. response.Headers.Add(authenticationHeader, string.Format("Basic realm=\"{0}\"", host)); 
  38.  
  40.  
  41. public virtual BasicAuthenticationIdentity ParseHeader(HttpRequestMessage requestMessage) 
  43. string authParameter = null
  44.  
  45. var authValue = requestMessage.Headers.Authorization; 
  46. if (authValue != null && authValue.Scheme == "Basic"
  47. authParameter = authValue.Parameter; 
  48.  
  49. if (string.IsNullOrEmpty(authParameter)) 
  50.  
  51. return null
  52.  
  53. authParameter = Encoding.Default.GetString(Convert.FromBase64String(authParameter)); 
  54.  
  55. var authToken = authParameter.Split(':'); 
  56. if (authToken.Length < 2
  57. return null
  58.  
  59. return new BasicAuthenticationIdentity(authToken[0], authToken[1]); 

#p#
第三步

上述我們自定義的BasicAuthenticationFilter此時就得繼承 AuthorizeAttribute 該特性也是繼承于上述的 AuthorizationFilterAttribute ,我們需要利用AuthorizeAttribute中的 IsAuthorized 方法來驗證當(dāng)前線程中的Principal是否已經(jīng)被授權(quán)。
 

 

  1.  public class BasicAuthenticationFilter : AuthorizeAttribute 
  3. protected override bool IsAuthorized(HttpActionContext actionContext) 
  5.  
  6. var identity = Thread.CurrentPrincipal.Identity; 
  7. if (identity != null && HttpContext.Current != null
  8. identity = HttpContext.Current.User.Identity; 
  9.  
  10. if (identity != null && identity.IsAuthenticated) 
  12.  
  13. var basicAuthIdentity = identity as BasicAuthenticationIdentity; 
  14.  
  15. //可以添加其他需要的業(yè)務(wù)邏輯驗證代碼 
  16. if (basicAuthIdentity.Name == "xpy0928" && basicAuthIdentity.Password == "cnblogs"
  18. return true
  21.  
  22. return false
  23.  

通過 IsAuthorized 方法返回值來看,若為false,則返回401狀態(tài)碼,此時會觸發(fā) BasicAuthenticationHandler 中的質(zhì)詢,并且此方法里面主要是我們需要添加認(rèn)證用戶的業(yè)務(wù)邏輯代碼。同時我們也說過我們***種方法自定義實現(xiàn)的過濾器特性是 AuthorizationFilterAttribute (如果我們有更多邏輯使用這個特性是個不錯的選擇),而在這里是 AuthorizeAttribute (對于驗證用戶并且返回bool值使用此過濾器特性是個不錯的選擇)。
第四步

注冊自定義管道以及認(rèn)證過濾器特性

  1. config.MessageHandlers.Add(new BasicAuthenticationHandler()); 
  2. config.Filters.Add(new BasicAuthenticationFilter()); 

***一步

[BasicAuthenticationFilter]
public class ProductController : ApiController
{.....}

下面我們通過【360極速瀏覽器】來驗收成果。點擊按鈕直接請求控制器

接下來取消,是否返回401

至此***結(jié)束。
總結(jié)
用認(rèn)證特性(AuthorizationFilterAttribute)還是HttpMessageHandler實現(xiàn)認(rèn)證,這是一個問題?
通過比較這二者的實現(xiàn)操作在實現(xiàn)方式上明顯有極大的不同,個人覺得用AuthorizationFilterAttribute來實現(xiàn)認(rèn)證是更加簡單并且緊湊,因為實現(xiàn)的每一處都在每一個地方,在大多數(shù)實現(xiàn)自定義登陸的場景下,對于用過濾器如此緊湊的業(yè)務(wù)邏輯用這個更加高效, 用HttpMessageHandler的優(yōu)點是全局應(yīng)用且是Web API消息處理管道的一部分,如果對于不同的部分要用不同的認(rèn)證那么用HttpMessageHandler效果更好,但是此時你需要自定義一個過濾器,尤其是當(dāng)MessageHandler對于一個認(rèn)證需要一個過濾器的時候。所以綜上所述,根據(jù)不同的應(yīng)用場景我們應(yīng)該選擇對應(yīng)的方式來實現(xiàn)認(rèn)證。

責(zé)任編輯:chenqingxiang 來源: xpy0928的博客
Web API認(rèn)證
相關(guān)推薦

2023-03-29 13:06:36

2024-04-28 18:28:12

API文檔生成工具開發(fā)Web API

2021-12-08 10:47:35

RabbitMQ 實現(xiàn)延遲

2022-06-08 15:12:34

前端前端截圖

2010-07-14 10:30:26

Perl多線程

2011-03-03 10:26:04

Pureftpd

2009-04-03 09:00:20

SQL Server2005用戶

2009-06-15 15:02:48

Spring定時器

2010-09-28 15:12:27

Javascript

2010-09-07 11:09:59

2024-01-09 09:09:45

RESTGraphQL

2010-07-13 14:54:15

Perl面向?qū)ο缶幊?/a>

2023-05-31 19:10:31

2020-05-11 13:03:03

SR-TEIP路由器

2024-12-19 00:12:02

APIJSON數(shù)據(jù)

2010-02-02 14:32:32

Python線程編程

2010-10-21 16:24:18

sql server升

2021-05-27 10:57:01

TCP定時器網(wǎng)絡(luò)協(xié)議

2009-06-25 13:43:00

Buffalo AJA

2010-08-06 09:38:11

Flex讀取XML
點贊
收藏

51CTO技術(shù)棧公眾號