之前的文章中,我们熟悉了 WebAPI 同时也了解到,在现在很多公司的项目中已经项目的架构已经有很多不仅仅是建造 MVC 项目了,在很多时候,人们更喜欢建立一个自带 WebAPI 的项目用以代替 MVC 项目,但是在 WebAPI 中,用户权限的认证是比较麻烦的,倘若不设置权限认证,对网站来讲又是不安全的。
WebAPI 的用户权限认证的方式大致可以分为4种,今天我们就来一起探索一下当前比较流行的一种认证方式 Basic 基础认证。
本次的讲解代码源自于网络文章:http://www.cnblogs.com/landeanfen/archive/2016/03/24/5287064.html
接下来,我们看一下程序的目录
在新建的一个带 WebAPI 的 MVC 项目中,我创建了一些文件和控制器,还有两个模型。
BasicTestController: 是将被调用的接口功能,
HomeController: 系统自带的,我在里边写了两个 action 一个是登陆用的,一个是主页
MyWebAPITestController: 我在这里边写了登陆功能以及生成票据,返回对象的方法
ValidateUser: 里是登陆的时候用到的查询数据库代码
BasicVerification:是我自定义的一个特性,这个特性是负责判断用户认证的
接下来我们从头开始看代码
只有两个 action ,我们首先打开网站默认进入的是 Login()
再起对应的页面中我嵌套了一段 JS 代码,并且画了两个文本框,一个按钮(丑的一匹),我来用我的理解解释一下 JS 代码片段,就是当你点击按钮的时候,以 Get 方式传一个 Ajax 请求到上面的地址中去,并且传入两个参数(文本框中的值),如果请求成功,就判断返回的对象的 bRes 属性,判断是否登陆成功,失败的话直接提示登陆失败并且返回登陆页面,成功的话提示登陆成功,并跳转到主页。
我们来看一看上面的这段代码,这段代码主要的意义是:当点击完登陆按钮之后,跳转到这个方法,将传入的参数传到另一个验证用户登录方法中,之后生成票据(FormsAuthenticationTicket 生成票据的类,位于 System.Web.Security 命名空间中),最后将查询到的各种属性以及加密后的票据信息存到一个 UserInfo 对象中。(后面的 Session 存不存无所谓,不是重点,我们这个认证用不到 Session,而且在 WebAPI 中开启 Session 需要进行一些设置)。
这个方法就是单纯的连接数据库查询登陆用户是否存在的方法,但是在实际的生产环境中这种方法我们是不会写在这里的。此时登陆成功的话,会跳转到程序的主页,也就是 Index 页面中
上图的 JS 中,有一段代码:
XHR.setRequestHeader('Authorization', 'BasicAuth ' + Ticket);
这段代码所表示的含义是在执行 Ajax 请求之前,会向请求的头文件中加入一段名为 Authorization 的"没有意义的"票据信息,这个票据信息就是之前我们生成的票据
接下来,我们看一下在程序中是怎么具体实现 Basic 认证的
上面个两张图是 Basic 验证的具体实现,这个类是我们自定义的一个特性契约,,只需要在想要进行验证的方法的类名上面添加上这个特性就可以了,要注意的是,这个特性必须要继承 AuthorizeAttribute 类(该类需要引用 System.Web.Http 命名空间),之后我们重写父类中的 OnAuthorization 方法:传入从 Http 获取的信息,并获取头信息里的 Authorization 信息,然后跳转到下面的校验用户名信息的方法中,在下面的方法中,先将传入的票据信息解密,然后通过解析字符串的方式取出里面的用户名和密码,然后上数据库中查询。最后返回一个 bool 类型结果拿到第一个方法中判断,如果为真就表示授权成功,反则表示授权失败。
另外说一点,在某些情况中,我们再写被调用的方法的时候,有的方法是不希望有用户验证的,这种情况下我们可以单独的为这个方法标识上 [ RequestAuthorize ] 特性,这样,在调用这个方法的时候就会自动跳过用户认证。
