簡單創建.NET Core WebApi:https://www.cnblogs.com/yanbigfeg/p/9197375.html 登陸驗證四種方式:https://www.cnblogs.com/zuowj/p/5123943.html 解決跨域的8種方法:https://blog.csd ...
簡單創建.NET Core WebApi:https://www.cnblogs.com/yanbigfeg/p/9197375.html
登陸驗證四種方式:https://www.cnblogs.com/zuowj/p/5123943.html
解決跨域的8種方法:https://blog.csdn.net/weixin_39939012/article/details/83822126
WebApi深入學習--特性路由:https://www.cnblogs.com/TiestoRay/p/5755454.html
本文的示例代碼是基於.NET Framework下的,.NET WebApi與.NET Core WebApi的區別,個人認為主要是來自框架的不一樣。可以參照官網https://docs.microsoft.com/en-us/aspnet/core/migration/webapi?view=aspnetcore-2.2#migrate-models-and-controllers後續介紹到.NET Core的時候再詳細做下這兩個框架的不同。
在WebApi中,方法名以Get開頭,WebApi會自動預設之歌請求是Get請求,而如果你以其他名稱開頭而又不標註這個方法的請求方式,那麼這個時候伺服器雖然找到了這個方法,但是由於請求方式不確定,所以直接返回給你405---方法不被允許的錯誤
最後結論:所有的WebApi方法最好是加上請求的方式[HttpGet]/[HttpPost]/[HttpPut]/[HttpDelete],不要偷懶,這樣既能防止類似的錯誤,也有利於方法的維護,被人一看就知道這個方法是什麼請求
網站在啟動時執行Application_Start(),給Route增加地址規則,請求進來時,會經過路由匹配找到合適的控制器。
那怎麼找Action?
1、根據HttpMethod找方法---用的方法名字開頭,Get就是對應的Get請求
2、如果名字不是Get開頭,可以加上[HttpGet]
3、按照參數找最吻合
其實資源是這樣定義的,不是一個學生,而可能是一個學校。可能是一個訂單----多件商品,一次查詢,訂單-商品,數據之間嵌套關係很複雜。還有個特性路由,可以單獨定製(config.MapHttpAttributeRoutes()、標機特性)
IOC容器+配置文件初始化
控制器也要註入--完成容器和WebApi框架融合--實現IDependencyResolver,將容器放進去--初始化
config.DependencyResolver 換成自定義的Resolver
public class IOCController : ApiController { private IUserService _UserService = null; public IOCController(IUserService userService) { this._UserService = userService; } public string Get(int id) { //IUserService service = new UserService(); //IUserService service = ContainerFactory.BuildContainer().Resolve<IUserService>(); return Newtonsoft.Json.JsonConvert.SerializeObject(this._UserService.Query(id)); } }
在WebApiConfig中加上:
// Web API 配置和服務 config.DependencyResolver = new UnityDependencyResolver(ContainerFactory.BuildContainer());
UnityDependencyResolver:
public class UnityDependencyResolver : IDependencyResolver { private IUnityContainer _UnityContainer = null; public UnityDependencyResolver(IUnityContainer container) { _UnityContainer = container; } public IDependencyScope BeginScope()//Scope { return new UnityDependencyResolver(this._UnityContainer.CreateChildContainer()); } public void Dispose() { this._UnityContainer.Dispose(); } public object GetService(Type serviceType) { try { return this._UnityContainer.Resolve(serviceType); } catch (Exception ex) { Console.WriteLine(ex.Message); return null; } } public IEnumerable<object> GetServices(Type serviceType) { try { return this._UnityContainer.ResolveAll(serviceType); } catch (Exception ex) { Console.WriteLine(ex.Message); return null; } } }View Code
ContainerFactory:
/// <summary> /// 需要在nuget引用之後,單獨引用Unity.Configuration /// 如果有AOP擴展,還需要引用Unity.Interception.Configuration /// 因為我們是用配置文件來做的配置 /// </summary> public class ContainerFactory { public static IUnityContainer BuildContainer() { //get //{ return _Container; //} } private static IUnityContainer _Container = null; static ContainerFactory() { ExeConfigurationFileMap fileMap = new ExeConfigurationFileMap(); fileMap.ExeConfigFilename = Path.Combine(AppDomain.CurrentDomain.BaseDirectory + "CfgFiles\\Unity.Config");//找配置文件的路徑 Configuration configuration = ConfigurationManager.OpenMappedExeConfiguration(fileMap, ConfigurationUserLevel.None); UnityConfigurationSection section = (UnityConfigurationSection)configuration.GetSection(UnityConfigurationSection.SectionName); _Container = new UnityContainer(); section.Configure(_Container, "WebApiContainer"); } }View Code
Basic授權認證&許可權Filter
在Basic授權認證,(.NET Core下麵用OAuth2,後續的隨筆會記載到OAuth2),兩者的區別可以參考博客https://blog.csdn.net/qq_15028299/article/details/89028774
許可權認證,是需要的,因為是Http地址,如果不加許可權認證,別人不就可以直接拿到這邊的請求去進行操作了,然後再去猜測別的WebApi。
Session不可以嗎?WebApi預設是不支持的Session的,因為RESTFul風格,因為是狀態的。
無狀態:第二次請求和第一次請求不聯繫,沒關係。
步驟:
1、登錄過程,是為了拿到令牌,tooken/ticket/許可證
2、驗證成功,把賬號+密碼+其他信息+時間,加密一下,得到ticket,返回給客戶端
3、請求時,Ajax裡面就帶上這個tooken/ticket(在header裡面驗證)
4、介面調用時,就去驗證下ticket,解密一下,看看信息,看看時間
5、每個方法都驗證下ticket?不是這樣的,可以基於filter來實現,FormAuthenticationTicket
用戶登錄返回的結果中會是這個樣子的。
這邊用到了AuthorizeAttribute,現在我們自定義個類CustomBasicAuthorizeAttribute繼承自AuthorizeAttribute。
1、方法註冊,標機在action上
2、控制器生效,方法全部生效,標機在Controller上
3、全局註冊:
在WebApiConfig裡面加上
問題來了,現在不能每一個action都標機吧,就要用到控制器或者全局的。那麼登錄的時候也要驗證token,每次都登錄,就是登錄不上去,然後迴圈下去。。。
有一個特性AllowAnonymous,我們可以自己寫一個CustomAllowAnonymousAttribute,其實就是
下麵是示例代碼:
#region 用戶登陸 [CustomAllowAnonymousAttribute] [HttpGet] public string Login(string account, string password) { if ("Admin".Equals(account) && "123456".Equals(password))//應該資料庫校驗 { FormsAuthenticationTicket ticketObject = new FormsAuthenticationTicket(0, account, DateTime.Now, DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", account, password), FormsAuthentication.FormsCookiePath); var result = new { Result = true, Ticket = FormsAuthentication.Encrypt(ticketObject) }; return JsonConvert.SerializeObject(result); } else { var result = new { Result = false }; return JsonConvert.SerializeObject(result); } } #endregion public class CustomAllowAnonymousAttribute : Attribute { } public class CustomBasicAuthorizeAttribute : AuthorizeAttribute { /// <summary> /// action前會先來這裡完成許可權校驗 /// </summary> /// <param name="actionContext"></param> public override void OnAuthorization(HttpActionContext actionContext) { //actionContext.Request.Headers["Authorization"] if (actionContext.ActionDescriptor.GetCustomAttributes<CustomAllowAnonymousAttribute>().FirstOrDefault() != null) { return;//繼續 } else if (actionContext.ActionDescriptor.ControllerDescriptor.GetCustomAttributes<CustomAllowAnonymousAttribute>().FirstOrDefault() != null) { return;//繼續 } else { var authorization = actionContext.Request.Headers.Authorization; if (authorization == null) { this.HandlerUnAuthorization(); } else if (this.ValidateTicket(authorization.Parameter)) { return;//繼續 } else { this.HandlerUnAuthorization(); } } } private void HandlerUnAuthorization() { throw new HttpResponseException(System.Net.HttpStatusCode.Unauthorized); } private bool ValidateTicket(string encryptTicket) { ////解密Ticket //if (string.IsNullOrWhiteSpace(encryptTicket)) // return false; try { var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData; //FormsAuthentication.Decrypt(encryptTicket). return string.Equals(strTicket, string.Format("{0}&{1}", "Admin", "123456"));//應該分拆後去資料庫驗證 } catch (Exception ex) { return false; } } }View Code
異常處理Filter,ExceptionFilterAttribute
1、自己定義一個類,繼承自ExceptionFilterAttribute
2、實現OnException方法
3、標機到需要的控制錢Action
4、註冊到全局
5、Filter的範圍僅僅局限在Action裡面
public class CustomExceptionFilterAttribute : ExceptionFilterAttribute { /// <summary> /// 異常發生後(沒有被catch),會進到這裡 /// </summary> /// <param name="actionExecutedContext"></param> public override void OnException(HttpActionExecutedContext actionExecutedContext) { //actionExecutedContext.Response. 可以獲取很多信息,日誌一下 Console.WriteLine(actionExecutedContext.Exception.Message);//日誌一下 actionExecutedContext.Response = actionExecutedContext.Request.CreateResponse( System.Net.HttpStatusCode.OK, new { Result = false, Msg = "出現異常,請聯繫管理員", //Value= });//創造一個返回 //base.OnException(actionExecutedContext); //ExceptionHandler } }View Code
自定義的異常類,要在全局中進行註冊:config.Filters.Add(new CustomExceptionFilterAttribute());
WebApi全局異常處理
自定義一個類,繼承自ExceptionHandler,重寫Handle,初始化項目時,服務替換上。
/// <summary> /// WEBApi的全局異常處理 /// </summary> public class CustomExceptionHandler : ExceptionHandler { /// <summary> /// 判斷是否要進行異常處理,規則自己定 /// </summary> /// <param name="context"></param> /// <returns></returns> public override bool ShouldHandle(ExceptionHandlerContext context) { string url = context.Request.RequestUri.AbsoluteUri; return url.Contains("/api/"); //return base.ShouldHandle(context); } /// <summary> /// 完成異常處理 /// </summary> /// <param name="context"></param> public override void Handle(ExceptionHandlerContext context) { //Console.WriteLine(context);//log context.Result = new ResponseMessageResult(context.Request.CreateResponse( System.Net.HttpStatusCode.OK, new { Result = false, Msg = "出現異常,請聯繫管理員", Debug = context.Exception.Message })); //if(context.Exception is HttpException) } } config.Services.Replace(typeof(IExceptionHandler), new CustomExceptionHandler());//替換全局異常處理類View Code
ActionFilter,可以在Action前/後增加邏輯
public class CustomActionFilterAttribute : ActionFilterAttribute { public override void OnActionExecuting(HttpActionContext actionContext) { Console.WriteLine("1234567"); } public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext) { Console.WriteLine("2345678"); actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*"); } }View Code
WebApi跨域請求
這裡對WebApi跨域請求做下簡單介紹。什麼是跨域請求呢?就是瀏覽器請求時,如果A網站(功能變數名稱+埠)頁面裡面,通過XMLHTTPRequest去請求B功能變數名稱,這個就是跨域。這個請求時是跨域正常到達B伺服器後端的,正常的響應(200)。但是瀏覽器是不允許這樣操作的,除非在相應裡面有聲明(Access-Control-Allow-Origin)。
這個是因為瀏覽器同源策略。出於安全考慮,瀏覽器限制腳本去發起蛞蝓請求。比如你想攻擊別人的網站,得自己伺服器發起請求,如果你搞個js,等於在客戶端的電腦上去攻擊別人。但是頁面是script-src、img-href、jss/css/圖片,這些是瀏覽器自己發起的,是可以跨域的。還有a標簽,iframe標簽也是可以的。瀏覽器自己的可以,但是用XHR去請求就是不行。
解決跨域的方法
1、Jsonp:腳本標簽自動請求,請求回來的內容執行回調方法,解析數據
2、CORS,跨域資源共用。允許伺服器在響應時,指定Access-Control-Allow-Origin,瀏覽器按照響應來操作
nuget下麵添加cors
全局的都允許:
Action級別的:
自定義一個一個標簽,繼承ActionFilter Attribute,執行完城後,加上actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");
public class CustomActionFilterAttribute : ActionFilterAttribute { public override void OnActionExecuting(HttpActionContext actionContext) { Console.WriteLine("1234567"); } public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext) { Console.WriteLine("2345678"); actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*"); } }View Code
因為跨域是瀏覽器控制的,在後端並沒有跨域。
自動生成WebApi文檔(.NET Core下麵基於Swagger生成文檔)
可以在瀏覽器中直接訪問。
