循序漸進學.Net Core Web Api開發系列【15】:應用安全


系列目錄

循序漸進學.Net Core Web Api開發系列目錄

 本系列涉及到的源碼下載地址:https://github.com/seabluescn/Blog_WebApi

 

一、概述

本篇介紹Web系統的應用安全,主要涉及用戶的身份認證和訪問權限問題。

大部分web應用習慣采用Session來保存用戶認證信息,對於WebApi而言,調用者不一定是Web瀏覽器,可能是Android、iOS客戶端,可能是微信小程序,也可能是客戶端程序等等,這些客戶端模擬構造cookie、存儲或傳遞sessionid都不是太方便,這種情況下,采用令牌(tockenid)的方式進行授權管理就顯得比較方便,唯一不方便的就是每次調用都要傳遞tockenid。

基本流程如下:

1、調用登陸接口,通過正確的用戶名和密碼活動TockenID;

2、通過TockenID調用其他業務接口。

 

二、基本使用

1、處理用戶登陸的Controller

        [HttpPost("login")]
        public ResultObject Login(string loginname,string password)
        {
            try
            {
                User user = _context.Users
                    .AsNoTracking()
                    .Where(a => a.LoginName == loginname && a.Password == password)
                    .Single();

                String tockenid = Tocken.GetTockenID();

                _cache.Set(tockenid, user, new MemoryCacheEntryOptions().SetSlidingExpiration(TimeSpan.FromSeconds(20)));

                return new ResultObject
                {
                    state = ResultState.Success,
                    result = tockenid
                };
            }
            catch(InvalidOperationException ex)
            {
                return new ResultObject
                {
                    state = ResultState.Exception,
                    ExceptionString = "未找到匹配的數據"
                };
            }           
        }

首先在數據庫尋找匹配的用戶信息,如果驗證成功就以TockenID為主鍵把用戶信息存入緩存,並設置過期時間(示例代碼中過期時間為20秒),然后返回TockenID。

 

2、在業務Controller中根據傳入TockenID的進行用戶認證。

[HttpGet]
        public ResultObject GetAllArticles(string tockenid)
        {
            User user = null;
           if(!_cache.TryGetValue(tockenid,out user))
            {
                return new ResultObject
                {
                    state = ResultState.Fail,
                    ExceptionString = "請登陸"
                };
            }

            List<Article> articles = _context.Articles
                    .AsNoTracking()
                    .ToList<Article>();

            return new ResultObject
            {
                state = ResultState.Success,
                result = articles
            };
        }

 

三、采用中間件進行用戶認證

因為每個業務Controller都需要進行認證,所以按上述方法就比較麻煩了,我們做個中間件來進行統一身份驗證

namespace SaleService.System.Middleware
{
    public class UserAuthenticationMiddleware
    {
        private readonly RequestDelegate _next;
        private readonly ILogger _logger;
        private readonly IMemoryCache _cache;

        public UserAuthenticationMiddleware(RequestDelegate next, ILogger<UserAuthenticationMiddleware> logger, IMemoryCache memoryCache)
        {
            _next = next;
            _logger = logger;
            _cache = memoryCache;
        }

        public async Task Invoke(HttpContext context)
        { 
//如果是登陸接口就不需要驗證Tocken if (context.Request.Path.ToString().ToLower().StartsWith("/api/user/login")) { await _next(context); return; } if (context.Request.Path.ToString().ToLower().StartsWith("/api/")) { string tockenid = context.Request.Query["tockenid"]; if (tockenid == null) { var result = new ResultObject { state = ResultState.Exception, ExceptionString = "Need tockenid" }; context.Response.ContentType = "application/json; charset=utf-8"; context.Response.WriteAsync(JsonConvert.SerializeObject(result)); return; } User user = null; if (!_cache.TryGetValue(tockenid, out user)) { context.Response.StatusCode = 401; context.Response.ContentType = "application/json; charset=utf-8"; context.Response.WriteAsync("Invalidate tockenid(用戶認證失敗)"); return; } } await _next(context); } } public static class UserAuthenticationMiddlewareExtensions { public static IApplicationBuilder UseUserAuthentication(this IApplicationBuilder builder) { return builder.UseMiddleware<UserAuthenticationMiddleware>(); } } }

該中間件直接截取Request中的tockid進行驗證,如果驗證不通過就直接返回“短路”其他中間件,所以在使用時需要放在MVC中間件前面。

public class Startup
    {
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory) { app.UseCors(builder => builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials()); app.UseStaticFiles(); app.UseUserAuthentication();//要放在UseMvc前面 app.UseMvcWithDefaultRoute(); } }

 此時業務Controller就比較簡單干凈了,專心做業務就可以了

      [HttpGet]
        public ResultObject GetAllArticles(string tockenid)
        {    
            List<Article> articles = _context.Articles
                    .AsNoTracking()
                    .ToList<Article>();          

            return new ResultObject
            {
                state = ResultState.Success,
                result = articles
            };
        }      

此時,如果需要,仍可以通過tockenid獲取用戶信息。

 

四、關於訪問的權限

此時用戶需要登陸才能訪問受限業務Api,但對用戶權限並沒有約束,實際應用時需要建立角色,通過用戶於角色對應關系和角色與資源的對應關系,確認用戶可以訪問的資源列表。

 

五、幾點需要優化的地方

這里描述了通過TockenID進行用戶認證的基本思路,實際應用時還有很多需要改善的地方:

1、對於一些公開應用是不需要驗證的,如果在中間件中通過if來判斷路徑就顯得比較丑陋,是否可以通過給這些Controller加上相關的特性來進行標識?

2、如何方便地判斷用戶與資源的對應關系?

3、Controller中通過tockenid獲取用戶信息的方法能否封裝一下?

這些問題暫時還沒有考慮充分,以后有機會完善一下。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM