进阶之路—WebAPI的Basic基础认证

之前的文章中,我们熟悉了 WebAPI 同时也了解到,在现在很多公司的项目中已经项目的架构已经有很多不仅仅是建造 MVC 项目了,在很多时候,人们更喜欢建立一个自带 WebAPI  的项目用以代替 MVC 项目,但是在 WebAPI 中,用户权限的认证是比较麻烦的,倘若不设置权限认证,对网站来讲又是不安全的。

WebAPI 的用户权限认证的方式大致可以分为4种,今天我们就来一起探索一下当前比较流行的一种认证方式 Basic 基础认证。

本次的讲解代码源自于网络文章:http://www.cnblogs.com/landeanfen/archive/2016/03/24/5287064.html

接下来,我们看一下程序的目录

进阶之路—WebAPI的Basic基础认证_第1张图片
项目目录

在新建的一个带 WebAPI 的 MVC 项目中,我创建了一些文件和控制器,还有两个模型。

BasicTestController: 是将被调用的接口功能,

HomeController: 系统自带的,我在里边写了两个 action 一个是登陆用的,一个是主页

MyWebAPITestController: 我在这里边写了登陆功能以及生成票据,返回对象的方法

ValidateUser: 里是登陆的时候用到的查询数据库代码

BasicVerification:是我自定义的一个特性,这个特性是负责判断用户认证的

接下来我们从头开始看代码

进阶之路—WebAPI的Basic基础认证_第2张图片
HomeController

只有两个 action ,我们首先打开网站默认进入的是 Login() 

进阶之路—WebAPI的Basic基础认证_第3张图片
js代码
进阶之路—WebAPI的Basic基础认证_第4张图片
前端代码

再起对应的页面中我嵌套了一段 JS 代码,并且画了两个文本框,一个按钮(丑的一匹),我来用我的理解解释一下 JS 代码片段,就是当你点击按钮的时候,以 Get 方式传一个 Ajax 请求到上面的地址中去,并且传入两个参数(文本框中的值),如果请求成功,就判断返回的对象的 bRes 属性,判断是否登陆成功,失败的话直接提示登陆失败并且返回登陆页面,成功的话提示登陆成功,并跳转到主页。

进阶之路—WebAPI的Basic基础认证_第5张图片
MyWebAPITestController中的Login action

我们来看一看上面的这段代码,这段代码主要的意义是:当点击完登陆按钮之后,跳转到这个方法,将传入的参数传到另一个验证用户登录方法中,之后生成票据(FormsAuthenticationTicket 生成票据的类,位于 System.Web.Security 命名空间中),最后将查询到的各种属性以及加密后的票据信息存到一个 UserInfo 对象中。(后面的 Session 存不存无所谓,不是重点,我们这个认证用不到 Session,而且在 WebAPI 中开启 Session 需要进行一些设置)。

进阶之路—WebAPI的Basic基础认证_第6张图片
VerificationUser中的ValidateUser方法

这个方法就是单纯的连接数据库查询登陆用户是否存在的方法,但是在实际的生产环境中这种方法我们是不会写在这里的。此时登陆成功的话,会跳转到程序的主页,也就是 Index 页面中

进阶之路—WebAPI的Basic基础认证_第7张图片
js代码
进阶之路—WebAPI的Basic基础认证_第8张图片
前端代码

上图的 JS 中,有一段代码:

XHR.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);

这段代码所表示的含义是在执行 Ajax 请求之前,会向请求的头文件中加入一段名为 Authorization 的"没有意义的"票据信息,这个票据信息就是之前我们生成的票据

进阶之路—WebAPI的Basic基础认证_第9张图片
在GetUser的请求头文件中的票据信息

接下来,我们看一下在程序中是怎么具体实现 Basic 认证的

进阶之路—WebAPI的Basic基础认证_第10张图片
BasicVerification中的解密票据信息
进阶之路—WebAPI的Basic基础认证_第11张图片
BasicVerification中的验证用户存在

上面个两张图是 Basic 验证的具体实现,这个类是我们自定义的一个特性契约,,只需要在想要进行验证的方法的类名上面添加上这个特性就可以了,要注意的是,这个特性必须要继承 AuthorizeAttribute 类(该类需要引用 System.Web.Http 命名空间),之后我们重写父类中的 OnAuthorization 方法:传入从 Http 获取的信息,并获取头信息里的 Authorization 信息,然后跳转到下面的校验用户名信息的方法中,在下面的方法中,先将传入的票据信息解密,然后通过解析字符串的方式取出里面的用户名和密码,然后上数据库中查询。最后返回一个 bool 类型结果拿到第一个方法中判断,如果为真就表示授权成功,反则表示授权失败。

另外说一点,在某些情况中,我们再写被调用的方法的时候,有的方法是不希望有用户验证的,这种情况下我们可以单独的为这个方法标识上      [ RequestAuthorize ] 特性,这样,在调用这个方法的时候就会自动跳过用户认证。

你可能感兴趣的:(进阶之路—WebAPI的Basic基础认证)