项目背景是一个社区类的APP(求轻吐...),博主主要负责后台业务及接口。以前没玩过webAPI,但是领导要求必须用这个(具体原因鬼知道),只好硬着头皮上了。

最近刚做完权限这一块,分享出来给大家。欢迎各种吐槽批判践踏...

先说说用户身份的识别,简单的做了一个token机制。用户登录,后台产生令牌,发放令牌,用户携带令牌访问...

1.cache管理类,由于博主使用的HttpRuntime.Cache来存储token,IIS重启或者意外关闭等情况会造成cache清空,只好在数据库做了cache的备份,在cache为空的时候查询数据库是否有cache数据,有则是cache被意外清空,需要重新放在cache中。

    /// <summary>
    /// 缓存管理
    /// 将令牌、用户凭证以及过期时间的关系数据存放于Cache中
    /// </summary>
    public class CacheManager
    {        private static readonly ITempCacheService tempCacheService = ServiceLocator.Instance.GetService<ITempCacheService>();

        /// <summary>
        /// 初始化缓存数据结构
        /// </summary>
        /// token 令牌
        /// uuid 用户ID凭证
        /// userType 用户类别
        /// timeout 过期时间
        /// <remarks>
        /// </remarks>
        private static void CacheInit()
        {
            if (HttpRuntime.Cache["PASSPORT.TOKEN"] == null)
            {
                DataTable dt = new DataTable();

                dt.Columns.Add("token", Type.GetType("System.String"));
                dt.Columns["token"].Unique = true;

                dt.Columns.Add("uuid", Type.GetType("System.Object"));
                dt.Columns["uuid"].DefaultValue = null;

                dt.Columns.Add("userType", Type.GetType("System.String"));
                dt.Columns["userType"].DefaultValue = null;

                dt.Columns.Add("timeout", Type.GetType("System.DateTime"));
                dt.Columns[);

                DataColumn[] keys = ];
                keys[] = dt.Columns["token"];
                dt.PrimaryKey = keys;

                var tempCaches = tempCacheService.GetAllCaches();
                if (tempCaches.Any())
                {
                    foreach (var tempCacheDTOShow in tempCaches)
                    {
                        DataRow dr = dt.NewRow();
                        dr["token"] = tempCacheDTOShow.UserToken;
                        dr["uuid"] = tempCacheDTOShow.UserAccountId;
                        dr["userType"] = tempCacheDTOShow.UserType.ToString();
                        dr["timeout"] = tempCacheDTOShow.EndTime;
                        dt.Rows.Add(dr);
                    }
                }

                //Cache的过期时间为 令牌过期时间*2
                HttpRuntime.Cache.Insert( * ));
            }
        }

/// <summary>
        /// 获取用户UUID标识
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>
        public static Guid GetUUID(string token)
        {
            CacheInit();

            DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"];
            DataRow[] dr = dt.Select("token = '" + token + "'");
            )
            {
                ]["uuid"].ToString());
            }
            return Guid.Empty;
        }

        /// <summary>
        /// 获取用户类别(分为员工、企业、客服、管理员等,后期做权限验证使用)
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>
        public static string GetUserType(string token)
        {
            CacheInit();

            DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"];
            DataRow[] dr = dt.Select("token = '" + token + "'");
            )
            {
                ]["userType"].ToString();
            }
            return null;
        }

/// <summary>
        /// 判断令牌是否存在
        /// </summary>
        /// <param name="token">令牌</param>
        /// <returns></returns>
        public static bool TokenIsExist(string token)
        {
            CacheInit();

            DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"];
            DataRow[] dr = dt.Select("token = '" + token + "'");
            )
            {
                ]["timeout"].ToString());
                if (timeout > DateTime.Now)
                {
                    return true;
                }
                else
                {
                    RemoveToken(token);
                    return false;
                }
            }
            return false;
        }

        /// <summary>
        /// 移除某令牌
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>
        public static bool RemoveToken(string token)
        {
            CacheInit();

            DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"];
            DataRow[] dr = dt.Select("token = '" + token + "'");
            )
            {
                dt.Rows.Remove(dr[]);
            }
            return true;
        }

        /// <summary>
        /// 更新令牌过期时间
        /// </summary>
        /// <param name="token">令牌</param>
        /// <param name="time">过期时间</param>
        public static void TokenTimeUpdate(string token, DateTime time)
        {
            CacheInit();

            DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"];
            DataRow[] dr = dt.Select("token = '" + token + "'");
            )
            {
                dr[]["timeout"] = time;
            }
        }

        /// <summary>
        /// 添加令牌
        /// </summary>
        /// <param name="token">令牌</param>
        /// <param name="uuid">用户ID凭证</param>
        /// <param name="userType">用户类别</param>
        /// <param name="timeout">过期时间</param>
        public static void TokenInsert(string token, object uuid, string userType, DateTime timeout)
        {
            CacheInit();

            // token不存在则添加
            if (!TokenIsExist(token))
            {
                DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"];
                DataRow dr = dt.NewRow();
                dr["token"] = token;
                dr["uuid"] = uuid;
                dr["userType"] = userType;
                dr["timeout"] = timeout;
                dt.Rows.Add(dr);
                HttpRuntime.Cache["PASSPORT.TOKEN"] = dt;

                tempCacheService.Add_TempCaches(new List<TempCacheDTO_ADD>()
                {
                    new TempCacheDTO_ADD()
                    {
                        EndTime = timeout,
                        UserAccountId = new Guid(uuid.ToString()),
                        UserToken = new Guid(token),
                        UserType = (UserType)Enum.Parse(typeof(UserType),userType)
                    }
                });
            }
            // token存在则更新过期时间
            else
            {
                TokenTimeUpdate(token, timeout);

                tempCacheService.Update_TempCaches(new Guid(token), timeout);
            }
        }

    }

2.接下来就是对用户携带的token进行验证了,通过继承ActionFilterAttribute来实现,在这里还需要考虑到匿名访问API,对于部分API,是允许匿名访问(不登录访问)的。所以,先写一个代表匿名的Attribute:

    /// <summary>
    /// 匿名访问标记
    /// </summary>
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
    public class AnonymousAttribute : Attribute
    {
    }

然后给允许匿名访问的Action打上[Anonymous]标签就OK,再来看我们的token验证代码:

    /// <summary>
    /// 用户令牌验证/// </summary>
    public class TokenProjectorAttribute : ActionFilterAttribute
    {
        private const string UserToken = "token";
        private readonly IAccountInfoService accountInfoService = ServiceLocator.Instance.GetService<IAccountInfoService>();
        private readonly ITempCacheService tempCacheService = ServiceLocator.Instance.GetService<ITempCacheService>();

        public override void OnActionExecuting(HttpActionContext actionContext)
        {
            // 匿名访问验证
            var anonymousAction = actionContext.ActionDescriptor.GetCustomAttributes<AnonymousAttribute>();
            if (!anonymousAction.Any())
            {
                // 验证token
                var token = TokenVerification(actionContext);
            }

            base.OnActionExecuting(actionContext);
        }

        /// <summary>
        /// 身份令牌验证
        /// </summary>
        /// <param name="actionContext"></param>
        protected virtual string TokenVerification(HttpActionContext actionContext)
        {
            // 获取token
            var token = GetToken(actionContext.ActionArguments, actionContext.Request.Method);

            // 判断token是否有效
            if (!CacheManager.TokenIsExist(token))
            {
                throw new UserLoginException("Token已失效,请重新登陆!");
            }

            // 判断用户是否被冻结
            if (accountInfoService.Exist_User_IsForzen(AccountHelper.GetUUID(token)))
            {
                CacheManager.RemoveToken(token);
                tempCacheService.Delete_OneTempCaches(new Guid(token));
                throw new UserLoginException("此用户已被冻结,请联系客服!");
            }

            return token;
        }

        private string GetToken(Dictionary<string, object> actionArguments, HttpMethod type)
        {
            var token = "";

            if (type == HttpMethod.Post)
            {
                foreach (var value in actionArguments.Values)
                {
                    token = value.GetType().GetProperty(UserToken) == null
                        ? GetToken(actionArguments, HttpMethod.Get)
                        : value.GetType().GetProperty(UserToken).GetValue(value).ToString();
                }
            }
            else if (type == HttpMethod.Get)
            {
                if (!actionArguments.ContainsKey(UserToken))
                {
                    throw new Exception("未附带token!");
                }

                if (actionArguments[UserToken] != null)
                {
                    token = actionArguments[UserToken].ToString();
                }
                else
                {
                    throw new Exception("token不能为空!");
                }
            }
            else
            {
                throw new Exception("暂未开放其它访问方式!");
            }

            return token;
        }
    }

这里对GetToken方法做一下解释:

1.博主只做了POST与GET方法的验证,其他请求未使用也就没做,欢迎大家补充

2.POST方式里面的回调是解决POST请求接口只有一个简单参数的情况,例如下面的接口:

        /// <summary>
        /// 手动向新用户推送短信
        /// </summary>
        /// <returns></returns>
        [HttpPost]
        [Route("api/Common/PushNewUserSMS")]public PushNewWorkSMSResult PushNewUserSMS([FromBody]string token)
        {
            sendMessagesService.PushNewUserSMS();
             };
        }

当然,POST方式一般都会把参数写进一个类里,对于一个参数的情况,博主不喜欢那么干。这么写,需要AJAX提交时空变量名才能获取:

    // 推送新用户营销短信
    function pushNewUserSMS() {
        $(".tuiguang").unbind("click");        // 注意下面的参数为空“”
        $.post(Config.Api.Common.PushNewUserSMS, { "": $.cookie("MPCBtoken") }, function (data) {
            ) {
                alert("发送成功!");
                _initDatas();
            } else {
                Config.Method.JudgeCode(data, );
            }
        });
    }

这样,我们就只需要在每个controller上打上[TokenProjector]标签,再在允许匿名的Action上打上[Anonymous]标签就能轻松的搞定token验证了。

3.除了token验证外呢,我门还想对Action进行用户角色的控制,比如一个获取登录用户钱包余额的Action(A),肯定只有员工、企业才能访问,管理员、客服没有钱包,所以不允许访问,从业务上应该是去访问另外一个获取指定用户钱包余额的Action(B),当然这个Action又不能对员工、企业开放权限。这就涉及到需要实现一个控制Action访问权限的功能,上面我们对用户的token进行了验证,那么拿到token就拿到了用户基本信息(包括角色),那就只需要做一个对Action的权限标注就能解决问题了,我们先写一个代表权限控制的Attribute:

    /// <summary>
    /// 权限控制标记
    /// </summary>
    [AttributeUsage(AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public class ModuleAuthorizationAttribute : Attribute
    {
        public ModuleAuthorizationAttribute(params string[] authorization)
        {
            this.Authorizations = authorization;
        }

        /// <summary>
        /// 允许访问角色
        /// </summary>
        public string[] Authorizations { get; set; }
    }

在每个需要权限控制的Action上打上[ModuleAuthorization]标签,并注明访问角色:

        /// <summary>
        /// 获取钱包余额
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>
        [HttpGet]
        [Route("api/Account/GetWalletBalance")]
        [ModuleAuthorization(new[] { "Staff", "Enterprise" })]
        public GetWalletBalanceResult GetWalletBalance(string token)
        {
            var result = this.walletService.Get_Wallet_Balance(AccountHelper.GetUUID(token));
            return new GetWalletBalanceResult()
            {
                Code = ,
                Balance = result
            };
        }

        /// <summary>
        /// 管理员
        /// 处理提现申请
        /// </summary>
        /// <param name="handleTempWithdrawalsModel"></param>
        /// <returns></returns>
        [HttpPost]
        [Route("api/Account/HandleTempWithdrawals")]
        [ModuleAuthorization(new[] { "PlatformCustomer" })]
        public HandleTempWithdrawalsResult HandleTempWithdrawals(
            [FromBody] HandleTempWithdrawalsModel handleTempWithdrawalsModel)
        {
            walletService.Handle_TempWithdrawals(AccountHelper.GetUUID(handleTempWithdrawalsModel.token),
                handleTempWithdrawalsModel.message, handleTempWithdrawalsModel.tempID,
                handleTempWithdrawalsModel.isSuccess);
             };
        }

然后我们修改TokenProjectorAttribute这个类,在验证token后做权限验证,权限验证方法如下:

        /// <summary>
        /// Action 访问权限验证
        /// </summary>
        /// <param name="token">身份令牌</param>
        /// <param name="actionContext"></param>
        /// <returns></returns>
        protected virtual void AuthorizeCore(string token, HttpActionContext actionContext)
        {
            // 权限控制Action验证
            var moduleAuthorizationAction = actionContext.ActionDescriptor.GetCustomAttributes<ModuleAuthorizationAttribute>();
            if (moduleAuthorizationAction.Any())
            {
                var userRole = AccountHelper.GetUserType(token);
                ].Authorizations.Contains(userRole.ToString()))
                {
                    throw new Exception("用户非法跨权限访问,token:" + token);
                }
            }
        }

OK,终于实现了webAPI对用户令牌与Action权限的验证。

当然,博主也是刚接触webAPI,再者业务需求较简单,如有不对之处,欢迎大家指出,必定虚心求教。

.NET WebAPI 用ActionFilterAttribute实现token令牌验证与对Action的权限控制的更多相关文章

  1. WebAPI 用ActionFilterAttribute实现token令牌验证与对Action的权限控制

    .NET WebAPI 用ActionFilterAttribute实现token令牌验证与对Action的权限控制 项目背景是一个社区类的APP(求轻吐...),博主主要负责后台业务及接口.以前没玩 ...

  2. Nginx集群之SSL证书的WebApi令牌验证

    目录 1       大概思路... 1 2       Nginx集群之SSL证书的WebApi令牌验证... 1 3       Openssl生成SSL证书... 2 4       编写.NE ...

  3. Taurus.MVC 2.2.3.4 :WebAPI 实现权限控制认证(及功能增强说明)

    前言: 前两天,当我还在老家收拾行旅,准备回广州,为IT连的创业再战365天时, 有网友扣上问:Taurus.MVC中如何实现认证和权限控制,最好能做个小例子. 我一不小心回了句:等回广州我再写篇文章 ...

  4. ThinkPHP表单令牌验证功能详细介绍

    注:TP版本为3.1.3 在ThinkPHP框架下,两次提交同一个表单,比如提交信息后在浏览器点击后退退回上次的页面,重新点击提交按钮,就会提示“表单令牌错误”的信息. ThinkPHP新版内置了表单 ...

  5. 用Token令牌维护微服务之间的通信安全的实现

    在微服务架构中,如果忽略服务的安全性,任由接口暴露在网络中,一旦遭受攻击后果是不可想象的. 保护微服务键安全的常见方案有:1.JWT令牌(token) 2.双向SSL 3.OAuth 2.0 等 本文 ...

  6. ASP.NET Core Razor页面禁用防伪令牌验证

    在这篇短文中,我将向您介绍如何ASP.NET Core Razor页面中禁用防伪令牌验证. Razor页面是ASP.NET Core 2.0中增加的一个页面控制器框架,用于构建动态的.数据驱动的网站: ...

  7. .net core 同时实现网站管理员后台、会员、WebApi登录及权限控制

    我们在开网站信息系统时,常常有这样几个角色,如后台的管理员,前台的会员,以及我们各种应用的WebAPI 都需要进行登录操作及权限控制,那么在.net core如何进行设计呢. 首先我使用的是.net ...

  8. 为CDH 5.7集群添加Kerberos身份验证及Sentry权限控制

    转载请注明出处:http://www.cnblogs.com/xiaodf/ 4. 为CDH 5集群添加Kerberos身份验证 4.1 安装sentry1.点击“操作”,“添加服务”:2.选择sen ...

  9. IdentityServer4实现Token认证登录以及权限控制

    相关知识点 不再对IdentityServer4做相关介绍,博客园上已经有人出了相关的系列文章,不了解的可以看一下: 蟋蟀大神的:小菜学习编程-IdentityServer4 晓晨Master:Ide ...

随机推荐

  1. 服务器开启https协议

    开启Tomcat https服务 发布企业级应用的时候遇到一个问题,就是IOS7.1之后app的下载地址URL必须是https开头的协议,所以服务器必须支持https协议. 实验环境:Mac OSX ...

  2. dyld 加载 Mach-O

    ➠更多技术干货请戳:听云博客 前言 最近看 ObjC的runtime 是怎么实现 +load 钩子函数的实现.进而引申分析了 dyld 处理 Mach-O 的这部分机制. 1.简单分析 Mach-O ...

  3. 怎么在Microsoft Project中冻结列

    在用Project排项目计划的时候如果在Gantt图中列比较多,左右滚动的时候就会经想像如果能想Excel一样冻结某些列就方便多了,其实在Project中虽然没有冻结列的功能,但通过一些变通方法还是可 ...

  4. javascript变量声明 及作用域

    javascript变量声明提升(hoisting) http://openwares.net/js/javascript_declaration_hoisting.html 可能要FQ一下 java ...

  5. PetGenie

    大概六.七年前当我还在学 Asphyre 的时候,有看过一个以之编写的类似对对碰的“宠物对对碰”小游戏,虽然很简单,但我当时还是小小的沉溺过数个小时.而不久前,在闲逛论坛时无意看到了个以 FireMo ...

  6. ListView 里面嵌套 GridView 遇到的问题及其解决方法。

    我们直接入主题.所有问题例子请参照下图 1,怎样使图片具有点击事件? 答: 解决方法: 在你的BaseAdapter里面不要设置下面这三个东西,然后再设置GridView的onItemClick. g ...

  7. JS实现移动端图片延迟加载

    图片延迟加载常见的有,jquery.lazyload.js,原生JS实现的echo.js.但是都是必须给图片设置宽高. 因为项目是移动端,而且无法在加载前知道图片的宽高,所以,只好自己写了一个. 既然 ...

  8. jQuery浏览器差异

    //firefox Interface.send(data,function(msg){ $(msg).find("CARINFO").each(function(i){ var ...

  9. 3D拓扑自动布局之Web Workers篇

    2D拓扑的应用在电信网管和电力SCADA领域早已习以为常了,随着OpenGL特别是WebGL技术的普及,3D方式的数据可视化也慢慢从佛殿神堂步入了寻常百姓家,似乎和最近高档会所被整改为普通茶馆是一样的 ...

  10. 新浪微博客户端(18)-集成下拉刷新控件UIRefreshControl

    HomeViewController.m - (void)setupPullToRefreshView { UIRefreshControl *refreshControl = [[UIRefresh ...