ASP.NET Web api 身份认证原理解析

最新推荐文章于 2025-10-12 00:48:05 发布
原创 最新推荐文章于 2025-10-12 00:48:05 发布 · 6.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#asp.net #web api #api #身份认证

本文介绍了一个基于 Web API 的身份验证系统实现方法,通过自定义的 MyFormsAuthenticationTicket 和 MyFormsAuthentication 类来处理用户的登录状态及权限。系统使用了 DES 加密确保安全性,并通过 HttpModule 实现了自定义的身份验证流程。

类图:

这里写图片描述

TestController.cs

using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Net;
using System.Net.Http;
using System.Net.Http.Headers;
using System.Web;
using System.Web.Http;
using System.Web.Security;
using WebApiAuthentication.Core;

namespace WebApiAuthentication.Controllers
{
    [RoutePrefix("Test")]
    public class TestController : ApiController
    {
        [Route("SignIn")]
        [HttpGet]
        public IHttpActionResult SignIn()
        {
            MyFormsAuthenticationTicket ticket = new MyFormsAuthenticationTicket(2, new Random().Next().ToString(), DateTime.Now, DateTime.Now.AddDays(1), true, "admin,张三");
            string encryptStr = MyFormsAuthentication.EncryptDES(JsonConvert.SerializeObject(ticket), "11111111");
            HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptStr);
            //cookie.HttpOnly = true;
            cookie.Secure = FormsAuthentication.RequireSSL;
            HttpContext context = HttpContext.Current;
            if (context == null)
                throw new InvalidOperationException();
            //  写入Cookie
            context.Response.Cookies.Remove(cookie.Name);
            context.Response.Cookies.Add(cookie);
            return Ok("登陆成功");
        }
        [Route("SignOut")]
        [HttpGet]
        [Authorize]
        public IHttpActionResult SignOut()
        {
            HttpCookie cookie = new HttpCookie(FormsAuthentication.FormsCookieName, "");
            cookie.Expires = DateTime.Now.AddDays(-1);
            HttpContext.Current.Response.Cookies.Add(cookie);
            return Ok("退出成功");
        }

        /// <summary>
        /// 测试是否登陆后可以访问
        /// </summary>
        /// <returns></returns>
        [Route("TestSuccess")]
        [HttpGet]
        [Authorize]
        public IHttpActionResult TestSuccess()
        {
            return Ok("访问成功");
        }
        /// <summary>
        /// 测试指定角色
        /// </summary>
        /// <returns></returns>
        [Route("TestRoles")]
        [HttpGet]
        [Authorize(Roles="找刘")]
        public IHttpActionResult TestRoles()
        {
            return Ok("访问成功");
        }
        /// <summary>
        /// 测试指定角色
        /// </summary>
        /// <returns></returns>
        [Route("TestZhangsan")]
        [HttpGet]
        [Authorize(Roles = "张三")]
        public IHttpActionResult TestZhangsan()
        {
            return Ok("访问成功");
        }
    }
}

MyFormsAuthenticationTicket.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Security;

namespace WebApiAuthentication.Core
{
    public class MyFormsAuthenticationTicket
    {
        public MyFormsAuthenticationTicket(int version, string name, DateTime issueDate, DateTime expiration, bool isPersistent, string userData)
        {
            this.Version = version;
            this.Name = name;
            this.Expiration = expiration;
            this.IssueDate = issueDate;
            this.IsPersistent = isPersistent;
            this.UserData = userData;
            this.CookiePath = FormsAuthentication.FormsCookiePath;
            DtNow = DateTime.Now.ToString("yyyy-MM-dd HH:mm:ssss");
        }

        public string CookiePath { get; set; }

        public DateTime Expiration { get; set; }

        public bool Expired { get; set; }

        public bool IsPersistent { get; set; }

        public DateTime IssueDate { get; set; }

        public string Name { get; set; }

        public string UserData { get; set; }

        public int Version { get; set; }

        public string DtNow { get; set; }
    }
}

MyFormsAuthentication.cs

using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using System.Web;

namespace WebApiAuthentication.Core
{
    public static class MyFormsAuthentication
    {
        /// <summary>
        /// DES加密字符串
        /// </summary>
        /// <param name="encryptString">待加密的字符串</param>
        /// <param name="encryptKey">加密密钥,要求为8位</param>
        /// <returns>加密成功返回加密后的字符串,失败返回源串</returns>
        public static string EncryptDES(string encryptString, string key)
        {
            try
            {
                byte[] rgbKey = Encoding.UTF8.GetBytes(key);
                byte[] rgbIV = { 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF };
                byte[] inputByteArray = Encoding.UTF8.GetBytes(encryptString);
                DESCryptoServiceProvider dCSP = new DESCryptoServiceProvider();
                MemoryStream mStream = new MemoryStream();
                CryptoStream cStream = new CryptoStream(mStream, dCSP.CreateEncryptor(rgbKey, rgbIV), CryptoStreamMode.Write);
                cStream.Write(inputByteArray, 0, inputByteArray.Length);
                cStream.FlushFinalBlock();
                return Convert.ToBase64String(mStream.ToArray());
            }
            catch
            {
                return encryptString;
            }
        }

        /// <summary>
        /// DES解密字符串
        /// </summary>
        /// <param name="decryptString">待解密的字符串</param>
        /// <param name="key">解密密钥,要求8位</param>
        /// <returns></returns>
        public static string DecryptDES(string decryptString, string key)
        {
            try
            {
                //默认密钥向量
                byte[] Keys = { 0x12, 0x34, 0x56, 0x78, 0x90, 0xAB, 0xCD, 0xEF };
                byte[] rgbKey = Encoding.UTF8.GetBytes(key);
                byte[] rgbIV = Keys;
                byte[] inputByteArray = Convert.FromBase64String(decryptString);
                DESCryptoServiceProvider DCSP = new DESCryptoServiceProvider();
                MemoryStream mStream = new MemoryStream();
                CryptoStream cStream = new CryptoStream(mStream, DCSP.CreateDecryptor(rgbKey, rgbIV), CryptoStreamMode.Write);
                cStream.Write(inputByteArray, 0, inputByteArray.Length);
                cStream.FlushFinalBlock();
                return Encoding.UTF8.GetString(mStream.ToArray());
            }
            catch
            {
                return decryptString;
            }
        }
    }
}

DecryptHttpMoudle.cs

using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Security;

namespace WebApiAuthentication.Core
{
    public class DecryptHttpMoudle : IHttpModule
    {
        public void Dispose()
        {

        }

        public void Init(HttpApplication context)
        {
            context.AuthenticateRequest += Context_AuthenticateRequest;
        }
        /// <summary>
        /// 替换HttpContext.Current.User实现
        /// </summary>
        /// <param name="sender"></param>
        /// <param name="e"></param>
        private void Context_AuthenticateRequest(object sender, EventArgs e)
        {
            var app = sender as HttpApplication;
            if (app == null)
            {
                app.Context.User = null;
                return;
            }
            var cookie = HttpContext.Current.Request.Headers.GetValues("Cookie");
            if (cookie == null)
            {
                app.Context.User = new MyPrincipal("",null);
                return;
            }
            if (cookie.Count() < 1)
            {
                app.Context.User = new MyPrincipal("", null);
                return;
            }
            MyFormsAuthenticationTicket ticket;
            try
            {
                //获取cookie值的另一种方式,特殊符号会被省略
                //var sdd = Request.Headers.GetCookies(FormsAuthentication.FormsCookieName).FirstOrDefault();
                //var value=sdd[FormsAuthentication.FormsCookieName].Value;
                string decryptStr = MyFormsAuthentication.DecryptDES(cookie[0].Substring(cookie[0].IndexOf('=') + 1), "11111111");
                ticket = JsonConvert.DeserializeObject<MyFormsAuthenticationTicket>(decryptStr);
            }
            catch (Exception)
            {
                app.Context.User = new MyPrincipal("", null);
                return;
            }
            if (ticket == null)
            {
                app.Context.User = new MyPrincipal("", null);
                return;
            }
            app.Context.User = new MyPrincipal(ticket.Name,ticket.UserData);
        }
    }
}

MyPrincipal.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Principal;
using System.Web;

namespace WebApiAuthentication.Core
{
    public class MyPrincipal : IPrincipal
    {
        private string[] m_roles;
        public MyPrincipal(string name,string roles)
        {
            if (!string.IsNullOrEmpty(roles)) {
                string[] rolesArr = roles.Split(',');
                m_roles = new string[rolesArr.Count()];
                for (int i = 0; i < rolesArr.Count(); i++)
                {
                    m_roles[i] = rolesArr[i];
                }
            }
            _identity = new MyIdentity(name);
        }

        private IIdentity _identity;

        public IIdentity Identity
        {
            get
            {
                return _identity;
            }
        }
        public bool IsInRole(string role)
        {
            if ((role == null) || (this.m_roles == null))
            {
                return false;
            }
            for (int i = 0; i < this.m_roles.Length; i++)
            {
                if ((this.m_roles[i] != null) && (string.Compare(this.m_roles[i], role, StringComparison.OrdinalIgnoreCase) == 0))
                {
                    return true;
                }
            }
            return false;
        }

    }
}

MyIdentity.cs

using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Principal;
using System.Web;

namespace WebApiAuthentication.Core
{
    public class MyIdentity : IIdentity
    {
        public MyIdentity(string name) {
            this.m_name = name;
            this.m_type = "";
        }
        private string m_type;
        private string m_name;
        public  string Name
        {
            get
            {
                return this.m_name;
            }
        }
        public bool IsAuthenticated
        {
            get
            {
                return !this.m_name.Equals("");
            }
        }
        public string AuthenticationType
        {
            get
            {
                return this.m_type;
            }
        }

    }
}

Web.config

<system.webServer>
    ...
    <!--配置文件里注册的HttpModules-->
    <modules>
      <add name="DecryptHttpMoudle" type="WebApiAuthentication.Core.DecryptHttpMoudle"/>
    </modules>
  </system.webServer>

运行结果如图:

这里写图片描述

这里写图片描述

这里写图片描述

这里写图片描述

这里写图片描述

WebApi用户身份验证(basic验证)
随笔
07-27 869
测试代码链接 webapi用户身份验证:Form身份验证 Basic window集成 摘要 OAuth 案例使用basic验证;BasicAuthorizeAttribute : AuthorizeAttribute 只要带有BasicAuthorizeAttribute特性的控制器或控制器api都会在api执行前进行身份验证 basic验证流程: 在用户登录时记录票证Ticket(用户账号密码加密字符串)可存session中,也可以利用其他缓存技术存储实现多服务器共享用户身份验证,跨域验证。。
MVC WebApi 用户权限验证及授权DEMO
04-26
MVC WebApi 用户权限验证及授权DEMO
Asp.Net MVC WebAPI身份验证Demo_v1.0.0
11-08
项目中经常需要使用WebAPI编写接口提供给其他人调用, 那么接口就需要进行身份验证,否则只要知道了这个接口的地址都可以访问了 这里说下如何对webapi进行身份验证 主要通过重新AuthorizeAttribute内OnAuthorization方法进行身份验证
ASP.NET Web API(二)
最新发布
龙哥盟
10-12 446
JavaScript 对象表示法JSON)是一种基于开放标准的轻量级文本,用于数据交换。您可以使用 JSON 数据格式在 Web 上序列化和传输数据。注意,JSON 起源于 JavaScript,并使用两个数据结构表示——有序列表和名称/值对。提供了以下定义:JSON (JavaScript Object Notation)是一种轻量级的数据交换格式。人类很容易读和写。机器很容易解析和生成它。它基于 JavaScript 编程语言的一个子集,标准 ECMA-262 第三版- 1999 年 12 月。
ASP.NET WEBAPI 的身份验证和授权
weixin_33912638的博客
07-28 2194
定义 身份验证(Authentication):确定用户是谁。 授权(Authorization):确定用户能做什么,不能做什么。 身份验证 WebApi 假定身份验证发生在宿主程序称中。对于 web-hosting,宿主是 IIS。这种情况下使用 HTTP Module 进行验证。 验证时,宿主会创建一个表示安全上下文的主体对象(实现 IPrincipal),将它附加到当前线程。主体对...
ASP.NET 身份认证
weixin_30830327的博客
10-15 190
ASP.NET 身份认证相关 原理 ASP.NET身份认证分为两个阶段:认证与授权 1. 认证:识别当前请求的用户是不是一个可识别(登录)用户。AuthenticateRequest 2. 授权:是否允许当前请求访问指定资源。AuthorizeRequest 受保护页面和登录页面都可以在Web.Config进行配置。 Form认证是FormAuthenticationModule...
剖析Asp.Net Web API路由系统---WebHost部署方式
10-20
本文将深入剖析Asp.Net Web API路由系统在WebHost部署时的工作原理。 首先,路由的注册是在`Application_Start`方法中完成的。例如,在提供的代码示例中,我们看到`GlobalConfiguration.Configuration.Routes....
ASP.NET Web API 2 框架原理与实战解析
本书首先围绕ASP.NET Web API 2的整体架构展开论述,详细解析了请求处理管道(Message Handler Pipeline)、路由系统(Routing)、控制器激活机制(Controller Activation)、操作选择(Action Selection)、模型...
ASP.NET Web API 2框架深度解析与实践应用
标题中提到的“框架揭秘”,意味着本书将深入探讨ASP.NET Web API 2框架的内部工作原理和机制。读者可以期待获取到关于框架内部如何处理请求、路由选择、控制器激活、方法选择与执行、参数绑定与验证、过滤器处理、...
4、初学者指南:ASP.NET Web API 入门
life6的博客
07-22 97
本文是一篇 ASP.NET Web API 的初学者指南,详细介绍了其内部机制与核心运行时类型,包括 DelegatingHandler、HttpRequestMessage、HttpResponseMessage 和 ApiController 等关键组件。文章深入解析Web API 的消息生命周期,从主机监听、路由调度到控制器处理的全过程,并提供了实际开发中的应用建议,如自定义消息处理程序、优化内容协商和统一异常处理。通过本文学,开发者可以更好地理解 ASP.NET Web API 的运行原理,并能
Hmac.WebApi:使用ASP.NET Web Api进行Hmac身份验证
05-06
Hmac.WebApi HMAC身份验证为每个使用者使用一个秘密密钥,使用者和服务器双方都知道该密钥对hmac哈希消息,应该使用HMAC256。 大多数情况下,将用户的哈希密码用作秘密密钥。 该消息通常是根据HTTP请求中的数据甚至是添加到HTTP标头中的自定义数据构建的,该消息可能包括: 时间戳:请求发送的时间(UTC或GMT时间) HTTP动词:GET,POST,PUT,DELETE。 发布数据和查询字符串, 网址 在幕后,HMAC身份验证将是: 消费者在构建签名(hmac哈希的输出)后,将HTTP请求发送到Web服务器,该请求是HTTP请求的模板: User-Agent: {agent} Host: {host} Timestamp: {timestamp} Authentication: {username}:{signature} GET请求的示例:
webapi 身份验证DEMO
12-22
WebApiDemo是webapi摘要验证的demo
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
webapi JWT身份验证Demo
08-16
使用postgresql+EF,用于JWT身份验证的 .NetCore WebAPI
C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证
09-02
下面小编就为大家带来一篇C#进阶系列 WebApi身份认证解决方案推荐:Basic基础认证。小编觉得挺不错的,现在分享给大家。给大家一个参考。一起跟随小编过来看看吧
ASP.NET MVC WebApi接口授权验证
weixin_30367945的博客
04-07 608
对于很任何多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程。使用面向接口编程的时候,那么就会有很多的权限验证,用户验证等等。 特别是对于一些系统来说,别人想要对接你的系统,同步系统数据,那么就必须要提供对外访问接口。当然,这对外接口也不是随随便便就提供的,对于一些机密数据,那么对于别人想要使用你的数据,那么必须按照一个标准来。我系统对外提供接口,想要用...
ASP.NET身份认证
小女子不才
07-17 1023
1、     Windows验证:IIS和服务器的账户管理功能之间验证客户端用户并发送票据; 2、     Forms验证:在HttpApplication处理管道的页面处理流程中完成, 3、     Passport验证:用户登录了passport账户就可以直接访问操作系统、邮件、MSN等程序而不需要再进行身份验证操作。 4、     None验证:不验证
ASP.NET 身份验证
weixin_30955617的博客
08-02 234
ASP.NET 身份验证 身份验证是从用户获取名称和密码等标识凭证并根据某些机构验证这些凭据的过程。如果凭据有效,则提交该凭据的实体被视为通过身份验证的标识。一旦标识通过了身份验证,则身份验证过程会确定该标识是否可以访问给定的资源。 ASP.NET 通过身份验证提供程序、包含验证请求者凭据所需代码的代码模块来实现身份验证。AS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值