本篇介紹Web系統的應用安全,主要涉及用戶的身份認證和訪問許可權問題。 ...
系列目錄
本系列涉及到的源碼下載地址:https://github.com/seabluescn/Blog_WebApi
一、概述
本篇介紹Web系統的應用安全,主要涉及用戶的身份認證和訪問許可權問題。
大部分web應用習慣採用Session來保存用戶認證信息,對於WebApi而言,調用者不一定是Web瀏覽器,可能是Android、iOS客戶端,可能是微信小程式,也可能是客戶端程式等等,這些客戶端模擬構造cookie、存儲或傳遞sessionid都不是太方便,這種情況下,採用令牌(tockenid)的方式進行授權管理就顯得比較方便,唯一不方便的就是每次調用都要傳遞tockenid。
基本流程如下:
1、調用登陸介面,通過正確的用戶名和密碼活動TockenID;
2、通過TockenID調用其他業務介面。
二、基本使用
1、處理用戶登陸的Controller
[HttpPost("login")] public ResultObject Login(string loginname,string password) { try { User user = _context.Users .AsNoTracking() .Where(a => a.LoginName == loginname && a.Password == password) .Single(); String tockenid = Tocken.GetTockenID(); _cache.Set(tockenid, user, new MemoryCacheEntryOptions().SetSlidingExpiration(TimeSpan.FromSeconds(20))); return new ResultObject { state = ResultState.Success, result = tockenid }; } catch(InvalidOperationException ex) { return new ResultObject { state = ResultState.Exception, ExceptionString = "未找到匹配的數據" }; } }
首先在資料庫尋找匹配的用戶信息,如果驗證成功就以TockenID為主鍵把用戶信息存入緩存,並設置過期時間(示例代碼中過期時間為20秒),然後返回TockenID。
2、在業務Controller中根據傳入TockenID的進行用戶認證。
[HttpGet] public ResultObject GetAllArticles(string tockenid) { User user = null; if(!_cache.TryGetValue(tockenid,out user)) { return new ResultObject { state = ResultState.Fail, ExceptionString = "請登陸" }; } List<Article> articles = _context.Articles .AsNoTracking() .ToList<Article>(); return new ResultObject { state = ResultState.Success, result = articles }; }
三、採用中間件進行用戶認證
因為每個業務Controller都需要進行認證,所以按上述方法就比較麻煩了,我們做個中間件來進行統一身份驗證
namespace SaleService.System.Middleware { public class UserAuthenticationMiddleware { private readonly RequestDelegate _next; private readonly ILogger _logger; private readonly IMemoryCache _cache; public UserAuthenticationMiddleware(RequestDelegate next, ILogger<UserAuthenticationMiddleware> logger, IMemoryCache memoryCache) { _next = next; _logger = logger; _cache = memoryCache; } public async Task Invoke(HttpContext context) {
//如果是登陸介面就不需要驗證Tocken if (context.Request.Path.ToString().ToLower().StartsWith("/api/user/login")) { await _next(context); return; } if (context.Request.Path.ToString().ToLower().StartsWith("/api/")) { string tockenid = context.Request.Query["tockenid"]; if (tockenid == null) { var result = new ResultObject { state = ResultState.Exception, ExceptionString = "Need tockenid" }; context.Response.ContentType = "application/json; charset=utf-8"; context.Response.WriteAsync(JsonConvert.SerializeObject(result)); return; } User user = null; if (!_cache.TryGetValue(tockenid, out user)) { context.Response.StatusCode = 401; context.Response.ContentType = "application/json; charset=utf-8"; context.Response.WriteAsync("Invalidate tockenid(用戶認證失敗)"); return; } } await _next(context); } } public static class UserAuthenticationMiddlewareExtensions { public static IApplicationBuilder UseUserAuthentication(this IApplicationBuilder builder) { return builder.UseMiddleware<UserAuthenticationMiddleware>(); } } }
該中間件直接截取Request中的tockid進行驗證,如果驗證不通過就直接返回“短路”其他中間件,所以在使用時需要放在MVC中間件前面。
public class Startup {
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory) { app.UseCors(builder => builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials()); app.UseStaticFiles(); app.UseUserAuthentication();//要放在UseMvc前面 app.UseMvcWithDefaultRoute(); } }
此時業務Controller就比較簡單干凈了,專心做業務就可以了
[HttpGet] public ResultObject GetAllArticles(string tockenid) { List<Article> articles = _context.Articles .AsNoTracking() .ToList<Article>(); return new ResultObject { state = ResultState.Success, result = articles }; }
此時,如果需要,仍可以通過tockenid獲取用戶信息。
四、關於訪問的許可權
此時用戶需要登陸才能訪問受限業務Api,但對用戶許可權並沒有約束,實際應用時需要建立角色,通過用戶於角色對應關係和角色與資源的對應關係,確認用戶可以訪問的資源列表。
五、幾點需要優化的地方
這裡描述了通過TockenID進行用戶認證的基本思路,實際應用時還有很多需要改善的地方:
1、對於一些公開應用是不需要驗證的,如果在中間件中通過if來判斷路徑就顯得比較醜陋,是否可以通過給這些Controller加上相關的特性來進行標識?
2、如何方便地判斷用戶與資源的對應關係?
3、Controller中通過tockenid獲取用戶信息的方法能否封裝一下?
這些問題暫時還沒有考慮充分,以後有機會完善一下。
