数码控科技猎奇Iphone动漫星座游戏电竞lolcosplay王者荣耀攻略allcnewsBLOGNEWSBLOGASKBLOGBLOGZSK全部技术问答问答技术问答it问答代码软件新闻开发博客电脑/网络手机/数码笔记本电脑互联网操作系统软件硬件编程开发360产品资源分享电脑知识文档中心IT全部全部分类全部分类技术牛文全部分类教程最新网页制作cms教程平面设计媒体动画操作系统网站运营网络安全服务器教程数据库工具网络安全软件教学vbscript正则表达式javascript批处理更多»编程更新教程更新游戏更新allitnewsJava新闻网络医疗信息化安全创业站长电商科技访谈域名会议专栏创业动态融资创投创业学院 / 产品经理创业公司人物访谈营销开发数据库服务器系统虚拟化云计算嵌入式移动开发作业作业1常见软件all电脑网络手机数码生活游戏体育运动明星影音休闲爱好文化艺术社会民生教育科学医疗健康金融管理情感社交地区其他电脑互联网软件硬件编程开发360相关产品手机平板其他电子产品摄影器材360硬件通讯智能设备购物时尚生活常识美容塑身服装服饰出行旅游交通汽车购房置业家居装修美食烹饪单机电脑游戏网页游戏电视游戏桌游棋牌游戏手机游戏小游戏掌机游戏客户端游戏集体游戏其他游戏体育赛事篮球足球其他运动球类运动赛车健身运动运动用品影视娱乐人物音乐动漫摄影摄像收藏宠物幽默搞笑起名花鸟鱼虫茶艺彩票星座占卜书画美术舞蹈小说图书器乐声乐小品相声戏剧戏曲手工艺品历史话题时事政治就业职场军事国防节日风俗法律法规宗教礼仪礼节自然灾害360维权社会人物升学入学人文社科外语资格考试公务员留学出国家庭教育学习方法语文物理生物工程学农业数学化学健康知识心理健康孕育早教内科外科妇产科儿科皮肤科五官科男科整形中医药品传染科其他疾病医院两性肿瘤科创业投资企业管理财务税务银行股票金融理财基金债券保险贸易商务文书国民经济爱情婚姻家庭烦恼北京上海重庆天津黑龙江吉林辽宁河北内蒙古山西陕西宁夏甘肃青海新疆西藏四川贵州云南河南湖北湖南山东江苏浙江安徽江西福建广东广西海南香港澳门台湾海外地区

asp.net基于JWT的web api身份验证及跨域调用实践

来源:脚本之家  责任编辑:小易  

随着多终端的出现,越来越多的站点通过web api restful的形式对外提供服务,很多网站也采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于cookie的Session Id的做法有所不同,除了面临跨域提交cookie的烦人问题外,更重要的是,有些终端可能根本不支持cookie。

Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。

但由于时间关系,不对jwt多做描述,详细请参考jwt.io

下面编写一个基于jwt进行身份验证的asp.net web api demo,为了模拟前后端分离的开发方式,该demo包含一个静态页站点(在IIS中的路径为http://localhost:8057)以及一个web api站点(http://localhost:8056)。 静态页站点仅有一个index.html,包含一个登录功能和调用需要身份验证的获取数据的接口这两个功能,所有接口均通过ajax调用。

以下是主要需要编写的代码,让我们一步步来编写代码。

开发登录接口

由于我们使用jwt技术,在nuget上先添加封装了jwt使用的框架。我使用了以下框架。

根据jwt的定义,在jwt中承载用户身份信息的数据段叫payload。这里需要建立一个类"AuthInfo"用来表示payload。

/// <summary>
 /// 表示jwt的payload
 /// </summary>
 public class AuthInfo
 {
  /// <summary>
  /// 用户名
  /// </summary>
  public string UserName { get; set; }
  /// <summary>
  /// 角色列表,可以用于记录该用户的角色,相当于claims的概念(如不清楚什么事claim,请google一下"基于声明的权限控制")
  /// </summary>
  public List<string> Roles { get; set; }
  /// <summary>
  /// 是否是管理员
  /// </summary>
  public bool IsAdmin { get; set; }

接着编写登陆接口

public class LoginController : ApiController
 {
  public LoginResult Post([FromBody]LoginRequest request)
  {
   LoginResult rs = new LoginResult();
   //假设用户名为"admin",密码为"123"
   if (request.UserName == "admin" && request.Password == "123")
   {
    //如果用户登录成功,则可以得到该用户的身份数据。当然实际开发中,这里需要在数据库中获得该用户的角色及权限
    AuthInfo authInfo = new AuthInfo
    {
     IsAdmin = true,
     Roles = new List<string> { "admin", "owner" },
     UserName = "admin"
    };
    try
    {
     //生成token,SecureKey是配置的web.config中,用于加密token的key,打死也不能告诉别人
     byte[] key = Encoding.Default.GetBytes(ConfigurationManager.AppSettings["SecureKey"]);
     //采用HS256加密算法
     string token = JWT.JsonWebToken.Encode(authInfo, key, JWT.JwtHashAlgorithm.HS256);
     rs.Token = token;
     rs.Success = true;

    }
    catch
    {
     rs.Success = false;
     rs.Message = "登陆失败";
    }
   }
   else
   {
    rs.Success = false;
    rs.Message = "用户名或密码不正确";
   }
   return rs;
  }
 }

到此,我们已经编写好登陆接口。如果用户名密码都正确,登陆接口生成一个包含着用户身份信息的token作为响应。前端收到token后,在后续的请求中需要附带该token,用于证明其身份。

AuthorizeAttribute

接下来,我们需要编写有关权限控制及token解析有关的代码。

web api框架提供了AuthorizeAttribute,用于在调用api前对请求进行验证,通过重写AuthorizeAttribute.IsAuthorized方法可以自定义验证逻辑

public class ApiAuthorizeAttribute : AuthorizeAttribute
 {
  protected override bool IsAuthorized(HttpActionContext actionContext)
  {
   //前端请求api时会将token存放在名为"auth"的请求头中
   var authHeader = from h in actionContext.Request.Headers where h.Key == "auth" select h.Value.FirstOrDefault();
   if (authHeader != null)
   {
    string token = authHeader.FirstOrDefault();
    if (!string.IsNullOrEmpty(token))
    {
     try
     {
      //对token进行解密
      string secureKey = System.Configuration.ConfigurationManager.AppSettings["SecureKey"];
      AuthInfo authInfo = JWT.JsonWebToken.DecodeToObject<AuthInfo>(token, secureKey);
      if (authInfo != null)
      {
       //将用户信息存放起来,供后续调用
       actionContext.RequestContext.RouteData.Values.Add("auth", authInfo);
       return true;
      }
      else
       return false;
     }
     catch
     {
      return false;
     }
    }
    else
     return false;
   }
   else
    return false;
  }
 }

编写一个受AuthorizeAttribute保护的接口,假设该接口返回和用户相关的敏感信息。

需要注意的是,由于前端站点和web api站点使用了不同的端口,因此即使scheme(http)和address都相同,但仍然造成了跨域访问。因此必须对web api站点启用允许跨域访问。实际上CORS(跨域资源共享)或所谓的same origin policy(同源策略)是浏览器上的概念,服务器需要做的仅是根据需要返回一下几个响应头:

  • Access-Control-Allow-Origin:表示该站点允许被那些源(域)访问
  • Access-Control-Allow-Headers:表示该站点允许那些自定义的请求头(我们通过jquery.ajax发送一个包含着token的名为"auth"的请求头,因此需要api站点设置允许"auth"请求头)
  • Access-Control-Allow-Methods:表示该站点允许那些请求谓词(GET,POST,OPTIONS,PUT...)

在asp.net web api中,有两种方式可以开启允许跨域访问:

第一种是在Nuget上安装"Microsoft.AspNet.WebApi.Cors"包,并对api controller使用[EnableCors]特性

第二种是在web.config中进行配置:

必须注释掉"<remove name="OPTIONSVerbHandler"/>"以开启OPTIONS谓词处理,否则跨域访问时prefight会失败。

返回和用户相关的敏感信息的api代码如下:

//标记该controller要求身份验证
 [ApiAuthorize]
 public class UserController : ApiController
 {
  public string Get()
  {
   //获取回用户信息(在ApiAuthorize中通过解析token的payload并保存在RouteData中)
   AuthInfo authInfo = this.RequestContext.RouteData.Values["auth"] as AuthInfo;
   if (authInfo == null)
    return "无效的验收信息";
   else
    return string.Format("你好:{0},成功取得数据",authInfo.UserName);
  }
 }

前端站点

到此,api站点的代码编写完成。接下来编写前端站点的代码。

前端站点只有一个html页面,包含两个简单功能:调用登录接口进行登录,以及调用被身份验证保护的获取数据的接口

前端页面的关键脚本代码如下:

$(function () {
   //调用api站点的登录接口,接口在登录成功后返回一个token。
   $("#login").on("click", function () {
    $.ajax({
     url: "http://localhost:8056/api/login",
     data: $("form").serialize(),
     method: "post",
     success: function (data) {
      if (data.Success) {
       //为简单起见,将token保存在全局变量中。
       window.token = data.Token;
       alert("登录成功");
      } else {
       alert("登录失败:" + data.Message);
      }
     }
    });
   });

   //调用api站点的获取数据的接口,该接口要求身份验证。
   $("#invoke").on("click", function () {
    $.ajax({
     url: "http://localhost:8056/api/user",
     method: "get",
     headers: { "auth": window.token },//通过请求头来发送token,放弃了通过cookie的发送方式
     complete: function (jqXHR,textStatus) {
      alert(jqXHR.responseText);
     },
     
    });
   });
  });
 </script>

接下来,在不登录和登录的情况下,调用获取数据的接口,并使用fiddler监视一下请求和响应的过程.

在不登录情况下直接按“调用接口”,服务器返回401未授权信息

以下是通信情况:

这次先登录,再调用接口,同样在fiddler中监视一下通信情况。

在fiddler中可以看到整个过程浏览器发出了3个请求,分别是登录,调用接口前的prefight和实际调用接口:

来看看每个通信的情况

登录过程:

prefight

实际发出get请求调用接口,获得数据

到此,基于JWT进行身份验证及跨域访问的demo已经完成,如有错误的地方请指正

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。

您可能感兴趣的文章:


  • 本文相关:
  • c# webapi cors跨域问题解决方案
  • asp.net webapi跨域调用问题的解决方法
  • 完美解决api、webservice跨域的问题
  • nginx 解决webapi跨域二次请求以及vue单页面的问题
  • asp.net core webapi 服务端配置跨域的实例
  • 基于cors实现webapi ajax 跨域请求解决方法
  • asp.net webapi与ajax进行跨域数据交互时cookies数据的传递
  • jquery.ajax 跨域请求webapi设置headers的解决方案
  • 支持ajax跨域访问asp.net web api 2(cors)的示例教程
  • 微软发布的data access application block的使用代码
  • asp.net比较常用的26个性能优化技巧
  • asp.net编程中经常用到的27个函数集
  • asp.net 无限级分类实例代码
  • asp.net下使用dime协议上传文件
  • asp.net mvc4 htmlhelper扩展类,实现分页功能
  • asp.net 支持多语言站点的实现方法
  • visual studio寻找c#程序必要的运行库文件
  • asp.net 2.0,c#----图像特效处理
  • asp.net回调技术callback学习笔记
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved