簡單創建.NET Core WebApi:https://www.cnblogs.com/yanbigfeg/p/9197375.html
登陸驗證四種方式:https://www.cnblogs.com/zuowj/p/5123943.html
解決跨域的8種方法:https://blog.csdn.net/weixin_39939012/article/details/83822126
WebApi深入學習--特性路由:https://www.cnblogs.com/TiestoRay/p/5755454.html
本文的示例代碼是基於.NET Framework下的,.NET WebApi與.NET Core WebApi的區別,個人認為主要是來自框架的不一樣。可以參照官網https://docs.microsoft.com/en-us/aspnet/core/migration/webapi?view=aspnetcore-2.2#migrate-models-and-controllers后續介紹到.NET Core的時候再詳細做下這兩個框架的不同。
在WebApi中,方法名以Get開頭,WebApi會自動默認之歌請求是Get請求,而如果你以其他名稱開頭而又不標注這個方法的請求方式,那么這個時候服務器雖然找到了這個方法,但是由於請求方式不確定,所以直接返回給你405---方法不被允許的錯誤
最后結論:所有的WebApi方法最好是加上請求的方式[HttpGet]/[HttpPost]/[HttpPut]/[HttpDelete],不要偷懶,這樣既能防止類似的錯誤,也有利於方法的維護,被人一看就知道這個方法是什么請求
網站在啟動時執行Application_Start(),給Route增加地址規則,請求進來時,會經過路由匹配找到合適的控制器。
那怎么找Action?
1、根據HttpMethod找方法---用的方法名字開頭,Get就是對應的Get請求
2、如果名字不是Get開頭,可以加上[HttpGet]
3、按照參數找最吻合
其實資源是這樣定義的,不是一個學生,而可能是一個學校。可能是一個訂單----多件商品,一次查詢,訂單-商品,數據之間嵌套關系很復雜。還有個特性路由,可以單獨定制(config.MapHttpAttributeRoutes()、標機特性)
IOC容器+配置文件初始化
控制器也要注入--完成容器和WebApi框架融合--實現IDependencyResolver,將容器放進去--初始化
config.DependencyResolver 換成自定義的Resolver
public class IOCController : ApiController { private IUserService _UserService = null; public IOCController(IUserService userService) { this._UserService = userService; } public string Get(int id) { //IUserService service = new UserService(); //IUserService service = ContainerFactory.BuildContainer().Resolve<IUserService>(); return Newtonsoft.Json.JsonConvert.SerializeObject(this._UserService.Query(id)); } }
在WebApiConfig中加上:
// Web API 配置和服務 config.DependencyResolver = new UnityDependencyResolver(ContainerFactory.BuildContainer());
UnityDependencyResolver:
public class UnityDependencyResolver : IDependencyResolver { private IUnityContainer _UnityContainer = null; public UnityDependencyResolver(IUnityContainer container) { _UnityContainer = container; } public IDependencyScope BeginScope()//Scope { return new UnityDependencyResolver(this._UnityContainer.CreateChildContainer()); } public void Dispose() { this._UnityContainer.Dispose(); } public object GetService(Type serviceType) { try { return this._UnityContainer.Resolve(serviceType); } catch (Exception ex) { Console.WriteLine(ex.Message); return null; } } public IEnumerable<object> GetServices(Type serviceType) { try { return this._UnityContainer.ResolveAll(serviceType); } catch (Exception ex) { Console.WriteLine(ex.Message); return null; } } }
ContainerFactory:
/// <summary> /// 需要在nuget引用之后,單獨引用Unity.Configuration /// 如果有AOP擴展,還需要引用Unity.Interception.Configuration /// 因為我們是用配置文件來做的配置 /// </summary> public class ContainerFactory { public static IUnityContainer BuildContainer() { //get //{ return _Container; //} } private static IUnityContainer _Container = null; static ContainerFactory() { ExeConfigurationFileMap fileMap = new ExeConfigurationFileMap(); fileMap.ExeConfigFilename = Path.Combine(AppDomain.CurrentDomain.BaseDirectory + "CfgFiles\\Unity.Config");//找配置文件的路徑 Configuration configuration = ConfigurationManager.OpenMappedExeConfiguration(fileMap, ConfigurationUserLevel.None); UnityConfigurationSection section = (UnityConfigurationSection)configuration.GetSection(UnityConfigurationSection.SectionName); _Container = new UnityContainer(); section.Configure(_Container, "WebApiContainer"); } }
Basic授權認證&權限Filter
在Basic授權認證,(.NET Core下面用OAuth2,后續的隨筆會記載到OAuth2),兩者的區別可以參考博客https://blog.csdn.net/qq_15028299/article/details/89028774
權限認證,是需要的,因為是Http地址,如果不加權限認證,別人不就可以直接拿到這邊的請求去進行操作了,然后再去猜測別的WebApi。
Session不可以嗎?WebApi默認是不支持的Session的,因為RESTFul風格,因為是狀態的。
無狀態:第二次請求和第一次請求不聯系,沒關系。
步驟:
1、登錄過程,是為了拿到令牌,tooken/ticket/許可證
2、驗證成功,把賬號+密碼+其他信息+時間,加密一下,得到ticket,返回給客戶端
3、請求時,Ajax里面就帶上這個tooken/ticket(在header里面驗證)
4、接口調用時,就去驗證下ticket,解密一下,看看信息,看看時間
5、每個方法都驗證下ticket?不是這樣的,可以基於filter來實現,FormAuthenticationTicket
用戶登錄返回的結果中會是這個樣子的。
這邊用到了AuthorizeAttribute,現在我們自定義個類CustomBasicAuthorizeAttribute繼承自AuthorizeAttribute。
1、方法注冊,標機在action上
2、控制器生效,方法全部生效,標機在Controller上
3、全局注冊:
在WebApiConfig里面加上
問題來了,現在不能每一個action都標機吧,就要用到控制器或者全局的。那么登錄的時候也要驗證token,每次都登錄,就是登錄不上去,然后循環下去。。。
有一個特性AllowAnonymous,我們可以自己寫一個CustomAllowAnonymousAttribute,其實就是
下面是示例代碼:
#region 用戶登陸 [CustomAllowAnonymousAttribute] [HttpGet] public string Login(string account, string password) { if ("Admin".Equals(account) && "123456".Equals(password))//應該數據庫校驗 { FormsAuthenticationTicket ticketObject = new FormsAuthenticationTicket(0, account, DateTime.Now, DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", account, password), FormsAuthentication.FormsCookiePath); var result = new { Result = true, Ticket = FormsAuthentication.Encrypt(ticketObject) }; return JsonConvert.SerializeObject(result); } else { var result = new { Result = false }; return JsonConvert.SerializeObject(result); } } #endregion public class CustomAllowAnonymousAttribute : Attribute { } public class CustomBasicAuthorizeAttribute : AuthorizeAttribute { /// <summary> /// action前會先來這里完成權限校驗 /// </summary> /// <param name="actionContext"></param> public override void OnAuthorization(HttpActionContext actionContext) { //actionContext.Request.Headers["Authorization"] if (actionContext.ActionDescriptor.GetCustomAttributes<CustomAllowAnonymousAttribute>().FirstOrDefault() != null) { return;//繼續 } else if (actionContext.ActionDescriptor.ControllerDescriptor.GetCustomAttributes<CustomAllowAnonymousAttribute>().FirstOrDefault() != null) { return;//繼續 } else { var authorization = actionContext.Request.Headers.Authorization; if (authorization == null) { this.HandlerUnAuthorization(); } else if (this.ValidateTicket(authorization.Parameter)) { return;//繼續 } else { this.HandlerUnAuthorization(); } } } private void HandlerUnAuthorization() { throw new HttpResponseException(System.Net.HttpStatusCode.Unauthorized); } private bool ValidateTicket(string encryptTicket) { ////解密Ticket //if (string.IsNullOrWhiteSpace(encryptTicket)) // return false; try { var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData; //FormsAuthentication.Decrypt(encryptTicket). return string.Equals(strTicket, string.Format("{0}&{1}", "Admin", "123456"));//應該分拆后去數據庫驗證 } catch (Exception ex) { return false; } } }
異常處理Filter,ExceptionFilterAttribute
1、自己定義一個類,繼承自ExceptionFilterAttribute
2、實現OnException方法
3、標機到需要的控制錢Action
4、注冊到全局
5、Filter的范圍僅僅局限在Action里面
public class CustomExceptionFilterAttribute : ExceptionFilterAttribute { /// <summary> /// 異常發生后(沒有被catch),會進到這里 /// </summary> /// <param name="actionExecutedContext"></param> public override void OnException(HttpActionExecutedContext actionExecutedContext) { //actionExecutedContext.Response. 可以獲取很多信息,日志一下 Console.WriteLine(actionExecutedContext.Exception.Message);//日志一下 actionExecutedContext.Response = actionExecutedContext.Request.CreateResponse( System.Net.HttpStatusCode.OK, new { Result = false, Msg = "出現異常,請聯系管理員", //Value= });//創造一個返回 //base.OnException(actionExecutedContext); //ExceptionHandler } }
自定義的異常類,要在全局中進行注冊:config.Filters.Add(new CustomExceptionFilterAttribute());
WebApi全局異常處理
自定義一個類,繼承自ExceptionHandler,重寫Handle,初始化項目時,服務替換上。
/// <summary> /// WEBApi的全局異常處理 /// </summary> public class CustomExceptionHandler : ExceptionHandler { /// <summary> /// 判斷是否要進行異常處理,規則自己定 /// </summary> /// <param name="context"></param> /// <returns></returns> public override bool ShouldHandle(ExceptionHandlerContext context) { string url = context.Request.RequestUri.AbsoluteUri; return url.Contains("/api/"); //return base.ShouldHandle(context); } /// <summary> /// 完成異常處理 /// </summary> /// <param name="context"></param> public override void Handle(ExceptionHandlerContext context) { //Console.WriteLine(context);//log context.Result = new ResponseMessageResult(context.Request.CreateResponse( System.Net.HttpStatusCode.OK, new { Result = false, Msg = "出現異常,請聯系管理員", Debug = context.Exception.Message })); //if(context.Exception is HttpException) } } config.Services.Replace(typeof(IExceptionHandler), new CustomExceptionHandler());//替換全局異常處理類
ActionFilter,可以在Action前/后增加邏輯
public class CustomActionFilterAttribute : ActionFilterAttribute { public override void OnActionExecuting(HttpActionContext actionContext) { Console.WriteLine("1234567"); } public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext) { Console.WriteLine("2345678"); actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*"); } }
WebApi跨域請求
這里對WebApi跨域請求做下簡單介紹。什么是跨域請求呢?就是瀏覽器請求時,如果A網站(域名+端口)頁面里面,通過XMLHTTPRequest去請求B域名,這個就是跨域。這個請求時是跨域正常到達B服務器后端的,正常的響應(200)。但是瀏覽器是不允許這樣操作的,除非在相應里面有聲明(Access-Control-Allow-Origin)。
這個是因為瀏覽器同源策略。出於安全考慮,瀏覽器限制腳本去發起蛞蝓請求。比如你想攻擊別人的網站,得自己服務器發起請求,如果你搞個js,等於在客戶端的電腦上去攻擊別人。但是頁面是script-src、img-href、jss/css/圖片,這些是瀏覽器自己發起的,是可以跨域的。還有a標簽,iframe標簽也是可以的。瀏覽器自己的可以,但是用XHR去請求就是不行。
解決跨域的方法
1、Jsonp:腳本標簽自動請求,請求回來的內容執行回調方法,解析數據
2、CORS,跨域資源共享。允許服務器在響應時,指定Access-Control-Allow-Origin,瀏覽器按照響應來操作
nuget下面添加cors
全局的都允許:
Action級別的:
自定義一個一個標簽,繼承ActionFilter Attribute,執行完城后,加上actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");
public class CustomActionFilterAttribute : ActionFilterAttribute { public override void OnActionExecuting(HttpActionContext actionContext) { Console.WriteLine("1234567"); } public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext) { Console.WriteLine("2345678"); actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*"); } }
因為跨域是瀏覽器控制的,在后端並沒有跨域。
自動生成WebApi文檔(.NET Core下面基於Swagger生成文檔)
可以在瀏覽器中直接訪問。
WebApi深坑系列
1、RESTFul Action共存
在get情況下,相同路由的Action無法共存,運行報錯會匹配到多個Action
在post情況下,相同路由的Action可以共存,會存在優先級,但是只會執行一個正則匹配到的Action
2、RESTFul相同路由的Action如何並存,並訪問指定的Action
[Route("list"),HttpPost]
路由如下 api/{controller}/list
3、RESTFul如何設置多參數
[Route("list"),HttpPost("{a}/{b}/{c}")]
路由如下 api/{controller}/list/1/2/3
4、Post提交多參數,[FromBody]跨域問題
去注冊中間件,讓WebApi支持跨域
5、Post提交多參數,[FromBody]ajax提交類型錯誤
必須設置:contentType:'application/json;charset=utf-8'
參數必須格式化成json字符串:data:Json.stringify(data)
6、關於[FormBody]表示的參數不能設置基礎類型,如string.....
錯誤書法,跨域設置成string類型
7、為什么Post提交參數必須要標識[FromBody]
[FromBody]標識該參數值應該從請求的Body中獲取,而不是從URL中獲取,URL有長度限制,在不超多長度限制的情況下,可以隨意。