WebAPI 用ActionFilterAttribute实现token令牌验证与对Action的权限控制

先说说用户身份的识别，简单的做了一个token机制。用户登录，后台产生令牌，发放令牌，用户携带令牌访问...1.cache管理类，由于博主使用的HttpRuntime.Cache来存储token，IIS重启或者意外关闭等情况会造成cache清空，只好在数据库做了cache的备份，在cache为空的时候查询数据库是否有cache数据，有则是cache被意外清空，需要重新放在cache中。复制代码复制代码 /// /// 缓存管理 /// 将令牌、用户凭证以及过期时间的关系数据存放于Cache中 /// public class CacheManager { private static readonly ITempCacheService tempCacheService = ServiceLocator.Instance.GetService(); /// /// 初始化缓存数据结构 /// /// token 令牌 /// uuid 用户ID凭证 /// userType 用户类别 /// timeout 过期时间 /// /// private static void CacheInit() { if (HttpRuntime.Cache["PASSPORT.TOKEN"] == null) { DataTable dt = new DataTable(); dt.Columns.Add("token", Type.GetType("System.String")); dt.Columns["token"].Unique = true; dt.Columns.Add("uuid", Type.GetType("System.Object")); dt.Columns["uuid"].DefaultValue = null; dt.Columns.Add("userType", Type.GetType("System.String")); dt.Columns["userType"].DefaultValue = null; dt.Columns.Add("timeout", Type.GetType("System.DateTime")); dt.Columns["timeout"].DefaultValue = DateTime.Now.AddDays(7); DataColumn[] keys = new DataColumn[1]; keys[0] = dt.Columns["token"]; dt.PrimaryKey = keys; var tempCaches = tempCacheService.GetAllCaches(); if (tempCaches.Any()) { foreach (var tempCacheDTOShow in tempCaches) { DataRow dr = dt.NewRow(); dr["token"] = tempCacheDTOShow.UserToken; dr["uuid"] = tempCacheDTOShow.UserAccountId; dr["userType"] = tempCacheDTOShow.UserType.ToString(); dr["timeout"] = tempCacheDTOShow.EndTime; dt.Rows.Add(dr); } } //Cache的过期时间为 令牌过期时间*2 HttpRuntime.Cache.Insert("PASSPORT.TOKEN", dt, null, DateTime.MaxValue, TimeSpan.FromDays(7 * 2)); } }/// /// 获取用户UUID标识 /// /// /// public static Guid GetUUID(string token) { CacheInit(); DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"]; DataRow[] dr = dt.Select("token = '" + token + "'"); if (dr.Length > 0) { return new Guid(dr[0]["uuid"].ToString()); } return Guid.Empty; } /// /// 获取用户类别（分为员工、企业、客服、管理员等，后期做权限验证使用） /// /// /// public static string GetUserType(string token) { CacheInit(); DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"]; DataRow[] dr = dt.Select("token = '" + token + "'"); if (dr.Length > 0) { return dr[0]["userType"].ToString(); } return null; }/// /// 判断令牌是否存在 /// /// 令牌 /// public static bool TokenIsExist(string token) { CacheInit(); DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"]; DataRow[] dr = dt.Select("token = '" + token + "'"); if (dr.Length > 0) { var timeout = DateTime.Parse(dr[0]["timeout"].ToString()); if (timeout > DateTime.Now) { return true; } else { RemoveToken(token); return false; } } return false; } /// /// 移除某令牌 /// /// /// public static bool RemoveToken(string token) { CacheInit(); DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"]; DataRow[] dr = dt.Select("token = '" + token + "'"); if (dr.Length > 0) { dt.Rows.Remove(dr[0]); } return true; } /// /// 更新令牌过期时间 /// /// 令牌 /// 过期时间 public static void TokenTimeUpdate(string token, DateTime time) { CacheInit(); DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"]; DataRow[] dr = dt.Select("token = '" + token + "'"); if (dr.Length > 0) { dr[0]["timeout"] = time; } } /// /// 添加令牌 /// /// 令牌 /// 用户ID凭证 /// 用户类别 /// 过期时间 public static void TokenInsert(string token, object uuid, string userType, DateTime timeout) { CacheInit(); // token不存在则添加 if (!TokenIsExist(token)) { DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"]; DataRow dr = dt.NewRow(); dr["token"] = token; dr["uuid"] = uuid; dr["userType"] = userType; dr["timeout"] = timeout; dt.Rows.Add(dr); HttpRuntime.Cache["PASSPORT.TOKEN"] = dt; tempCacheService.Add_TempCaches(new List() { new TempCacheDTO_ADD() { EndTime = timeout, UserAccountId = new Guid(uuid.ToString()), UserToken = new Guid(token), UserType = (UserType)Enum.Parse(typeof(UserType),userType) } }); } // token存在则更新过期时间 else { TokenTimeUpdate(token, timeout); tempCacheService.Update_TempCaches(new Guid(token), timeout); } } }复制代码复制代码2.接下来就是对用户携带的token进行验证了，通过继承ActionFilterAttribute来实现，在这里还需要考虑到匿名访问API，对于部分API，是允许匿名访问（不登录访问）的。所以，先写一个代表匿名的Attribute：复制代码复制代码 /// /// 匿名访问标记 /// [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)] public class AnonymousAttribute : Attribute { }复制代码复制代码然后给允许匿名访问的Action打上[Anonymous]标签就OK，再来看我们的token验证代码：复制代码复制代码 /// /// 用户令牌验证/// public class TokenProjectorAttribute : ActionFilterAttribute { private const string UserToken = "token"; private readonly IAccountInfoService accountInfoService = ServiceLocator.Instance.GetService(); private readonly ITempCacheService tempCacheService = ServiceLocator.Instance.GetService(); public override void OnActionExecuting(HttpActionContext actionContext) { // 匿名访问验证 var anonymousAction = actionContext.ActionDescriptor.GetCustomAttributes(); if (!anonymousAction.Any()) { // 验证token var token = TokenVerification(actionContext); } base.OnActionExecuting(actionContext); } /// /// 身份令牌验证 /// /// protected virtual string TokenVerification(HttpActionContext actionContext) { // 获取token var token = GetToken(actionContext.ActionArguments, actionContext.Request.Method); // 判断token是否有效 if (!CacheManager.TokenIsExist(token)) { throw new UserLoginException("Token已失效，请重新登陆!"); } // 判断用户是否被冻结 if (accountInfoService.Exist_User_IsForzen(AccountHelper.GetUUID(token))) { CacheManager.RemoveToken(token); tempCacheService.Delete_OneTempCaches(new Guid(token)); throw new UserLoginException("此用户已被冻结,请联系客服!"); } return token; } private string GetToken(Dictionary actionArguments, HttpMethod type) { var token = ""; if (type == HttpMethod.Post) { foreach (var value in actionArguments.Values) { token = value.GetType().GetProperty(UserToken) == null ? GetToken(actionArguments, HttpMethod.Get) : value.GetType().GetProperty(UserToken).GetValue(value).ToString(); } } else if (type == HttpMethod.Get) { if (!actionArguments.ContainsKey(UserToken)) { throw new Exception("未附带token!"); } if (actionArguments[UserToken] != null) { token = actionArguments[UserToken].ToString(); } else { throw new Exception("token不能为空!"); } } else { throw new Exception("暂未开放其它访问方式!"); } return token; } }复制代码复制代码这里对GetToken方法做一下解释：1.博主只做了POST与GET方法的验证，其他请求未使用也就没做，欢迎大家补充2.POST方式里面的回调是解决POST请求接口只有一个简单参数的情况，例如下面的接口：复制代码复制代码 /// /// 手动向新用户推送短信 /// /// [HttpPost] [Route("api/Common/PushNewUserSMS")]public PushNewWorkSMSResult PushNewUserSMS([FromBody]string token) { sendMessagesService.PushNewUserSMS(); return new PushNewWorkSMSResult() { Code = 0 }; }复制代码复制代码当然，POST方式一般都会把参数写进一个类里，对于一个参数的情况，博主不喜欢那么干。这么写，需要AJAX提交时空变量名才能获取：复制代码复制代码 // 推送新用户营销短信 function pushNewUserSMS() { $(".tuiguang").unbind("click"); // 注意下面的参数为空“” $.post(Config.Api.Common.PushNewUserSMS, { "": $.cookie("MPCBtoken") }, function (data) { if (data.Code == 0) { alert("发送成功!"); _initDatas(); } else { Config.Method.JudgeCode(data, 1); } }); }复制代码复制代码这样，我们就只需要在每个controller上打上[TokenProjector]标签，再在允许匿名的Action上打上[Anonymous]标签就能轻松的搞定token验证了。3.除了token验证外呢，我门还想对Action进行用户角色的控制，比如一个获取登录用户钱包余额的Action（A），肯定只有员工、企业才能访问，管理员、客服没有钱包，所以不允许访问，从业务上应该是去访问另外一个获取指定用户钱包余额的Action（B），当然这个Action又不能对员工、企业开放权限。这就涉及到需要实现一个控制Action访问权限的功能，上面我们对用户的token进行了验证，那么拿到token就拿到了用户基本信息（包括角色），那就只需要做一个对Action的权限标注就能解决问题了，我们先写一个代表权限控制的Attribute：复制代码复制代码 /// /// 权限控制标记 /// [AttributeUsage(AttributeTargets.Method, Inherited = true, AllowMultiple = true)] public class ModuleAuthorizationAttribute : Attribute { public ModuleAuthorizationAttribute(params string[] authorization) { this.Authorizations = authorization; } /// /// 允许访问角色 /// public string[] Authorizations { get; set; } }复制代码复制代码在每个需要权限控制的Action上打上[ModuleAuthorization]标签，并注明访问角色：复制代码复制代码 /// /// 获取钱包余额 /// /// /// [HttpGet] [Route("api/Account/GetWalletBalance")] [ModuleAuthorization(new[] { "Staff", "Enterprise" })] public GetWalletBalanceResult GetWalletBalance(string token) { var result = this.walletService.Get_Wallet_Balance(AccountHelper.GetUUID(token)); return new GetWalletBalanceResult() { Code = 0, Balance = result }; } /// /// 管理员 /// 处理提现申请 /// /// /// [HttpPost] [Route("api/Account/HandleTempWithdrawals")] [ModuleAuthorization(new[] { "PlatformCustomer" })] public HandleTempWithdrawalsResult HandleTempWithdrawals( [FromBody] HandleTempWithdrawalsModel handleTempWithdrawalsModel) { walletService.Handle_TempWithdrawals(AccountHelper.GetUUID(handleTempWithdrawalsModel.token), handleTempWithdrawalsModel.message, handleTempWithdrawalsModel.tempID, handleTempWithdrawalsModel.isSuccess); return new HandleTempWithdrawalsResult() { Code = 0 }; }复制代码复制代码然后我们修改TokenProjectorAttribute这个类，在验证token后做权限验证，权限验证方法如下：复制代码复制代码 /// /// Action 访问权限验证 /// /// 身份令牌 /// /// protected virtual void AuthorizeCore(string token, HttpActionContext actionContext) { // 权限控制Action验证 var moduleAuthorizationAction = actionContext.ActionDescriptor.GetCustomAttributes(); if (moduleAuthorizationAction.Any()) { var userRole = AccountHelper.GetUserType(token); if (!moduleAuthorizationAction[0].Authorizations.Contains(userRole.ToString())) { throw new Exception("用户非法跨权限访问，token：" + token); } } }复制代码复制代码 OK，终于实现了webAPI对用户令牌与Action权限的验证。