为了账号安全,请及时绑定邮箱和手机立即绑定

Asp.Net web api基于自定义Filter的安全认证

标签:
C

摘要

对第三方开放的接口,处于安全的考虑需要对其进行安全认证,是否是合法的请求。目前在项目中也遇到这种情况,提供的接口因为涉及到客户铭感数据,所以在调用的时候,不能直接暴露,需要有一个认证的机制。所以对接口安全认证的方式,进行了调研,这里提供一个自定义安全认证的Filter例子。

一个例子

在mvc中,如果需要对某个页面如果用户不登录则无法访问,我们的做法可能是校验session或者使用特性[Authorize]

    [Authorize]    public class UserController : Controller
    {        // GET: User
        public ActionResult Index()
        {            //if (Session["user"]==null)            
        //{            //    return RedirectToAction("login");            
        //}
            return View();
        }
    }

在mvc中,这种认证方式基于windows或者form认证。但在提供web api给移动端app调用的时候,windows或者form认证就不太合适了。但我们可以自定义一种filter对当前访问的用户进行认证。

自定义Filter特性

    /// <summary>
    /// 基于http basic认证    /// </summary>
    public class CustomerBasicAuthrizeAttribute : AuthorizationFilterAttribute
    {        //重写OnAuthorization 方法

        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {            //如果action带有允许匿名访问的特性,则直接返回,不再进行安全认证
            if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().Any())
            {                return;
            }            if (actionContext.Request.Headers.Authorization != null)
            {                if (actionContext.Request.Headers.Authorization.Scheme != "Basic")
                {
                    actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                        new HttpException("no token"));
                }                else
                {                    string base64Para = actionContext.Request.Headers.Authorization.Parameter;                    
                //解码base64字符串
                    byte[] buffer = Convert.FromBase64String(base64Para);                    
                    string decodeBase64 = Encoding.UTF8.GetString(buffer);                    
                    if (!string.IsNullOrEmpty(decodeBase64))
                    {                        string[] paras = decodeBase64.Split(':');                        
                    if (paras.Length > 0)
                        {                            string userName = paras[0];                            string pwd = paras[1];                            if (userName == "wolfy" && pwd == "123456")
                            {
                            }                            else
                            {
                                actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                                    new HttpException("userName or pwd is error."));
                            }
                        }                        else
                        {
                            actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                                new HttpException("no token"));
                        }

                    }                    else
                    {
                        actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                            new HttpException("no token"));
                    }
                }

            }            else
            {
                actionContext.Response = actionContext.Request.CreateErrorResponse(HttpStatusCode.Unauthorized,                   
                 new HttpException("no Authorization header"));
            }            base.OnAuthorization(actionContext);
        }
    }


使用postman测试

认证成功

第三方调用的时候,可以为其生成一对appname和appsecret放在供客户端进行使用。客户端使用的时候在请求头的Authorization中添加base64字符串就可以了。对于basic对应的值,是base64字符串,如果感觉还不安全可以尝试使用SSL方式。

点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消