zoukankan      html  css  js  c++  java
  • Web用户的身份验证及WebApi权限验证流程的设计和实现

    前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。

    1. Web Form认证介绍

    Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用户身份的合法性。目前常见的方式是Form认证,其处理逻辑描述如下:
    1. 用户首先要在登录页面输入用户名和密码,然后登录系统,获取合法身份的票据,再执行后续业务处理操作;
    2. 用户在没有登录的情况下提交Http页面访问请求,如果该页面不允许匿名访问,则直接跳转到登录页面;
    3. 对于允许匿名访问的页面请求,系统不做权限验证,直接处理业务数据,并返回给前端;
    4. 对于不同权限要求的页面Action操作,系统需要校验用户角色,计算权限列表,如果请求操作在权限列表中,则正常访问,如果不在权限列表中,则提示“未授权的访问操作”到异常处理页面。

    2. WebApi 服务端Basic 方式验证

    WebApi服务端接收访问请求,需要做安全验证处理,验证处理步骤如下:
    1. 如果是合法的Http请求,在Http请求头中会有用户身份的票据信息,服务端会读取票据信息,并校验票据信息是否完整有效,如果满足校验要求,则进行业务数据的处理,并返回给请求发起方;
    2. 如果没有票据信息,或者票据信息不是合法的,则返回“未授权的访问”异常消息给前端,由前端处理此异常。

    3. 登录及权限验证流程

    流程处理步骤说明:
    1. 用户打开浏览器,并在地址栏中输入页面请求地址,提交;
    2. 浏览器解析Http请求,发送到Web服务器;Web服务器验证用户请求,首先判断是否有登录的票据信息;
    3. 用户没有登录票据信息,则跳转到登录页面;
    4. 用户输入用户名和密码信息;
    5. 浏览器提交登录表单数据给Web服务器;
    6. Web服务需要验证用户名和密码是否匹配,发送api请求给api服务器;
    7. api用户账户服务根据用户名,读取存储在数据库中的用户资料,判断密码是否匹配;
    1)如果用户名和密码不匹配,则提示密码错误等信息,然该用户重新填写登录资料;
    2)如果验证通过,则保存用户票据信息;
    8. 接第3步,如果用户有登录票据信息,则跳转到用户请求的页面;
    9. 验证用户对当前要操作的页面或页面元素是否有权限操作,首先需要发起api服务请求,获取用户的权限数据;
    10. api用户权限服务根据用户名,查找该用户的角色信息,并计算用户权限列表,封装为Json数据并返回;
    11. 当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到api服务器;
       如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。
    12. api业务服务处理业务逻辑,并将结果以Json 数据返回;
    13. 返回渲染后的页面给浏览器前端,并呈现业务数据到页面;
    14. 用户填写业务数据,或者查找业务数据;
    15. 当填写或查找完业务数据后,用户提交表单数据;
    16. 浏览器脚本提交get,post等请求给web服务器,由web服务器再次解析请求操作,重复步骤2的后续流程;
    17. 当api服务器验证用户身份是,没有可信用户票据,系统提示“未授权的访问操作”,跳转到系统异常处理页面。

    4. Mvc前端代码示例

    4.1 用户登录AccountController

    [csharp] view plain copy
     
    1. <span style="font-size: 18px;"> </span><span style="font-size:14px;">public class AccountController : Controller  
    2.     {  
    3.         //  
    4.         // GET: /Logon/  
    5.   
    6.         public ActionResult Login(string returnUrl)  
    7.         {  
    8.             ViewBag.ReturnUrl = returnUrl;  
    9.             return View();  
    10.         }  
    11.   
    12.         [HttpPost]  
    13.         public ActionResult Logon(LoginUser loginUser, string returnUrl)  
    14.         {  
    15.             string strUserName = loginUser.UserName;  
    16.             string strPassword = loginUser.Password;  
    17.             var accountModel = new AccountModel();  
    18.   
    19.             //验证用户是否是系统注册用户  
    20.             if (accountModel.ValidateUserLogin(strUserName, strPassword))  
    21.             {  
    22.                 if (Url.IsLocalUrl(returnUrl))  
    23.                 {  
    24.                     //创建用户ticket信息  
    25.                     accountModel.CreateLoginUserTicket(strUserName, strPassword);  
    26.   
    27.                     //读取用户权限数据  
    28.                     accountModel.GetUserAuthorities(strUserName);  
    29.   
    30.                     return new RedirectResult(returnUrl);  
    31.                 }  
    32.                 else  
    33.                 {  
    34.                     return RedirectToAction("Index", "Home");  
    35.                 }                 
    36.             }  
    37.             else  
    38.             {  
    39.                 throw new ApplicationException("无效登录用户!");  
    40.             }  
    41.         }  
    42.   
    43.         /// <summary>  
    44.         /// 用户注销,注销之前,清除用户ticket  
    45.         /// </summary>  
    46.         /// <returns></returns>  
    47.         [HttpPost]  
    48.         public ActionResult Logout()  
    49.         {  
    50.             var accountModel = new AccountModel();  
    51.             accountModel.Logout();  
    52.   
    53.             return RedirectToAction("Login", "Account");  
    54.         }  
    55.     }</span>  

    4.2 用户模型AccountModel

    [csharp] view plain copy
     
    1. <span style="font-size:14px;">public class AccountModel  
    2.     {  
    3.         /// <summary>  
    4.         /// 创建登录用户的票据信息  
    5.         /// </summary>  
    6.         /// <param name="strUserName"></param>  
    7.         internal void CreateLoginUserTicket(string strUserName, string strPassword)  
    8.         {  
    9.             //构造Form验证的票据信息  
    10.             FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, strUserName, DateTime.Now, DateTime.Now.AddMinutes(90),  
    11.                 true, string.Format("{0}:{1}", strUserName, strPassword), FormsAuthentication.FormsCookiePath);  
    12.   
    13.             string ticString = FormsAuthentication.Encrypt(ticket);  
    14.   
    15.             //把票据信息写入Cookie和Session  
    16.             //SetAuthCookie方法用于标识用户的Identity状态为true  
    17.             HttpContext.Current.Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, ticString));  
    18.             FormsAuthentication.SetAuthCookie(strUserName, true);  
    19.             HttpContext.Current.Session["USER_LOGON_TICKET"] = ticString;  
    20.               
    21.             //重写HttpContext中的用户身份,可以封装自定义角色数据;  
    22.             //判断是否合法用户,可以检查:HttpContext.User.Identity.IsAuthenticated的属性值  
    23.             string[] roles = ticket.UserData.Split(',');  
    24.             IIdentity identity = new FormsIdentity(ticket);  
    25.             IPrincipal principal = new GenericPrincipal(identity, roles);  
    26.             HttpContext.Current.User = principal;  
    27.         }  
    28.   
    29.         /// <summary>  
    30.         /// 获取用户权限列表数据  
    31.         /// </summary>  
    32.         /// <param name="userName"></param>  
    33.         /// <returns></returns>  
    34.         internal string GetUserAuthorities(string userName)  
    35.         {  
    36.             //从WebApi 访问用户权限数据,然后写入Session  
    37.             string jsonAuth = "[{"Controller": "SampleController", "Actions":"Apply,Process,Complete"}, {"Controller": "Product", "Actions": "List,Get,Detail"}]";  
    38.             var userAuthList = ServiceStack.Text.JsonSerializer.DeserializeFromString(jsonAuth, typeof(UserAuthModel[]));  
    39.             HttpContext.Current.Session["USER_AUTHORITIES"] = userAuthList;  
    40.   
    41.             return jsonAuth;  
    42.         }  
    43.   
    44.         /// <summary>  
    45.         /// 读取数据库用户表数据,判断用户密码是否匹配  
    46.         /// </summary>  
    47.         /// <param name="name"></param>  
    48.         /// <param name="password"></param>  
    49.         /// <returns></returns>  
    50.         internal bool ValidateUserLogin(string name, string password)  
    51.         {  
    52.             //bool isValid = password == passwordInDatabase;  
    53.             return true;  
    54.         }  
    55.   
    56.         /// <summary>  
    57.         /// 用户注销执行的操作  
    58.         /// </summary>  
    59.         internal void Logout()  
    60.         {  
    61.             FormsAuthentication.SignOut();  
    62.         }  
    63.     }</span>  



    4.3 控制器基类WebControllerBase

    [csharp] view plain copy
     
    1. <span style="font-size:14px;">/// <summary>  
    2.     /// 前端Mvc控制器基类  
    3.     /// </summary>  
    4.     [Authorize]  
    5.     public abstract class WebControllerBase : Controller  
    6.     {  
    7.         /// <summary>  
    8.         /// 对应api的Url  
    9.         /// </summary>  
    10.         public string ApiUrl  
    11.         {  
    12.             get;  
    13.             protected set;  
    14.         }  
    15.   
    16.         /// <summary>  
    17.         /// 用户权限列表  
    18.         /// </summary>  
    19.         public UserAuthModel[] UserAuthList  
    20.         {  
    21.             get  
    22.             {  
    23.                 return AuthorizedUser.Current.UserAuthList;  
    24.             }  
    25.         }  
    26.   
    27.         /// <summary>  
    28.         /// 登录用户票据  
    29.         /// </summary>  
    30.         public string UserLoginTicket  
    31.         {  
    32.             get  
    33.             {  
    34.                 return AuthorizedUser.Current.UserLoginTicket;  
    35.             }  
    36.         }  
    37.     }</span>  

    4.4 权限属性RequireAuthorizationAttribute

    [csharp] view plain copy
     
    1. <span style="font-size:14px;">/// <summary>  
    2.     /// 权限验证属性类  
    3.     /// </summary>  
    4.     public class RequireAuthorizeAttribute : AuthorizeAttribute  
    5.     {  
    6.         /// <summary>  
    7.         /// 用户权限列表  
    8.         /// </summary>  
    9.         public UserAuthModel[] UserAuthList  
    10.         {  
    11.             get  
    12.             {  
    13.                 return AuthorizedUser.Current.UserAuthList;  
    14.             }  
    15.         }  
    16.   
    17.         /// <summary>  
    18.         /// 登录用户票据  
    19.         /// </summary>  
    20.         public string UserLoginTicket  
    21.         {  
    22.             get  
    23.             {  
    24.                 return AuthorizedUser.Current.UserLoginTicket;  
    25.             }  
    26.         }  
    27.   
    28.         public override void OnAuthorization(AuthorizationContext filterContext)  
    29.         {  
    30.             base.OnAuthorization(filterContext);  
    31.   
    32.             ////验证是否是登录用户  
    33.             var identity = filterContext.HttpContext.User.Identity;  
    34.             if (identity.IsAuthenticated)  
    35.             {  
    36.                 var actionName = filterContext.ActionDescriptor.ActionName;  
    37.                 var controllerName = filterContext.ActionDescriptor.ControllerDescriptor.ControllerName;  
    38.   
    39.                 //验证用户操作是否在权限列表中  
    40.                 if (HasActionQulification(actionName, controllerName, identity.Name))  
    41.                     if (!string.IsNullOrEmpty(UserLoginTicket))  
    42.                         //有效登录用户,有权限访问此Action,则写入Cookie信息  
    43.                         filterContext.HttpContext.Response.Cookies[FormsAuthentication.FormsCookieName].Value = UserLoginTicket;  
    44.                     else  
    45.                         //用户的Session, Cookie都过期,需要重新登录  
    46.                         filterContext.HttpContext.Response.Redirect("~/Account/Login", false);  
    47.                 else  
    48.                     //虽然是登录用户,但没有该Action的权限,跳转到“未授权访问”页面  
    49.                     filterContext.HttpContext.Response.Redirect("~/Home/UnAuthorized", true);  
    50.             }  
    51.             else  
    52.             {  
    53.                 //未登录用户,则判断是否是匿名访问  
    54.                 var attr = filterContext.ActionDescriptor.GetCustomAttributes(true).OfType<AllowAnonymousAttribute>();  
    55.                 bool isAnonymous = attr.Any(a => a is AllowAnonymousAttribute);  
    56.   
    57.                 if (!isAnonymous)  
    58.                     //未验证(登录)的用户, 而且是非匿名访问,则转向登录页面  
    59.                     filterContext.HttpContext.Response.Redirect("~/Account/Login", true);  
    60.             }  
    61.         }  
    62.   
    63.         /// <summary>  
    64.         /// 从权限列表验证用户是否有权访问Action  
    65.         /// </summary>  
    66.         /// <param name="actionName"></param>  
    67.         /// <param name="controllerName"></param>  
    68.         /// <returns></returns>  
    69.         private bool HasActionQulification(string actionName, string controllerName, string userName)  
    70.         {  
    71.             //从该用户的权限数据列表中查找是否有当前Controller和Action的item  
    72.             var auth = UserAuthList.FirstOrDefault(a =>  
    73.             {  
    74.                 bool rightAction = false;  
    75.                 bool rightController = a.Controller == controllerName;  
    76.                 if (rightController)  
    77.                 {  
    78.                     string[] actions = a.Actions.Split(',');  
    79.                     rightAction = actions.Contains(actionName);  
    80.                 }  
    81.                 return rightAction;  
    82.             });  
    83.   
    84.             //此处可以校验用户的其它权限条件  
    85.             //var notAllowed = HasOtherLimition(userName);  
    86.             //var result = (auth != null) && notAllowed;  
    87.             //return result;  
    88.   
    89.             return (auth != null);  
    90.         }  
    91.     }</span>  

    4.5 业务Controller示例

    [csharp] view plain copy
     
    1. <span style="font-size:14px;">public class ProductController : WebControllerBase  
    2. {  
    3.   
    4.         [AllowAnonymous]  
    5.         public ActionResult Query()  
    6.         {  
    7.             return View("ProductQuery");  
    8.         }  
    9.   
    10.         [HttpGet]  
    11.         //[AllowAnonymous]  
    12.         [RequireAuthorize]  
    13.         public ActionResult Detail(string id)  
    14.         {  
    15.             var cookie = HttpContext.Request.Cookies;  
    16.             string url = base.ApiUrl + "/Get/" + id;  
    17.             HttpClient httpClient = HttpClientHelper.Create(url, base.UserLoginTicket);  
    18.               
    19.             string result = httpClient.GetString();  
    20.             var model = JsonSerializer.DeserializeFromString<Product>(result);  
    21.             ViewData["PRODUCT_ADD_OR_EDIT"] = "E";  
    22.             return View("ProductForm", model);  
    23.         }  
    24. }</span>  



    5.  WebApi 服务端代码示例

    5.1 控制器基类ApiControllerBase

    [csharp] view plain copy
     
    1. /// <summary>  
    2. /// Controller的基类,用于实现适合业务场景的基础功能  
    3. /// </summary>  
    4. /// <typeparam name="T"></typeparam>  
    5. [BasicAuthentication]  
    6. public abstract class ApiControllerBase : ApiController  
    7. {  
    8.   
    9. }  

    5.2 权限属性BaseAuthenticationAttribute

    [csharp] view plain copy
     
    1. /// <summary>  
    2.     /// 基本验证Attribtue,用以Action的权限处理  
    3.     /// </summary>  
    4.     public class BasicAuthenticationAttribute : ActionFilterAttribute  
    5.     {  
    6.         /// <summary>  
    7.         /// 检查用户是否有该Action执行的操作权限  
    8.         /// </summary>  
    9.         /// <param name="actionContext"></param>  
    10.         public override void OnActionExecuting(HttpActionContext actionContext)  
    11.         {  
    12.             //检验用户ticket信息,用户ticket信息来自调用发起方  
    13.             if (actionContext.Request.Headers.Authorization != null)  
    14.             {  
    15.                 //解密用户ticket,并校验用户名密码是否匹配  
    16.                 var encryptTicket = actionContext.Request.Headers.Authorization.Parameter;  
    17.                 if (ValidateUserTicket(encryptTicket))  
    18.                     base.OnActionExecuting(actionContext);  
    19.                 else  
    20.                     actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);                     
    21.             }  
    22.             else  
    23.             {  
    24.                 //检查web.config配置是否要求权限校验  
    25.                 bool isRquired = (WebConfigurationManager.AppSettings["WebApiAuthenticatedFlag"].ToString() == "true");  
    26.                 if (isRquired)  
    27.                 {  
    28.                     //如果请求Header不包含ticket,则判断是否是匿名调用  
    29.                     var attr = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();  
    30.                     bool isAnonymous = attr.Any(a => a is AllowAnonymousAttribute);  
    31.   
    32.                     //是匿名用户,则继续执行;非匿名用户,抛出“未授权访问”信息  
    33.                     if (isAnonymous)  
    34.                         base.OnActionExecuting(actionContext);  
    35.                     else  
    36.                         actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);  
    37.                 }  
    38.                 else  
    39.                 {  
    40.                     base.OnActionExecuting(actionContext);  
    41.                 }  
    42.             }  
    43.         }  
    44.   
    45.         /// <summary>  
    46.         /// 校验用户ticket信息  
    47.         /// </summary>  
    48.         /// <param name="encryptTicket"></param>  
    49.         /// <returns></returns>  
    50.         private bool ValidateUserTicket(string encryptTicket)  
    51.         {  
    52.             var userTicket = FormsAuthentication.Decrypt(encryptTicket);  
    53.             var userTicketData = userTicket.UserData;  
    54.   
    55.             string userName = userTicketData.Substring(0, userTicketData.IndexOf(":"));  
    56.             string password = userTicketData.Substring(userTicketData.IndexOf(":") + 1);  
    57.   
    58.             //检查用户名、密码是否正确,验证是合法用户  
    59.             //var isQuilified = CheckUser(userName, password);  
    60.             return true;  
    61.         }  
    62.     }  

    5.3 api服务Controller实例

    [csharp] view plain copy
     
    1. public class ProductController : ApiControllerBase  
    2. {  
    3.   
    4.         [HttpGet]  
    5.         public object Find(string id)  
    6.         {  
    7.             return ProductServiceInstance.Find(2);  
    8.         }  
    9.   
    10.      // GET api/product/5  
    11.         [HttpGet]  
    12.         [AllowAnonymous]  
    13.         public Product Get(string id)  
    14.         {  
    15.             var headers = Request.Headers;  
    16.             var p = ProductServiceInstance.GetById<Product, EPProduct>(long.Parse(id));  
    17.             if (p == null)  
    18.             {  
    19.                   throw new HttpResponseException(new HttpResponseMessage(HttpStatusCode.BadRequest)  
    20.                   Content = new StringContent("id3 not found"), ReasonPhrase = "product id not exist." });  
    21.             }  
    22.             return p;  
    23.         }  
    24. }  



    6. 其它配置说明

    6.1 Mvc前端Web.Config 配置

    [html] view plain copy
     
    1. <system.web>  
    2.     <compilation debug="true" targetFramework="4.5">  
    3.       <assemblies>  
    4.         <add assembly="System.Web.Http.Data.Helpers, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" />  
    5.       </assemblies>  
    6.     </compilation>  
    7.     <httpRuntime targetFramework="4.5" />  
    8.     <authentication mode="Forms">  
    9.       <forms loginUrl="~/Account/Login" defaultUrl="~/Home/Index" protection="All" timeout="90" name=".AuthCookie"></forms>  
    10.     </authentication>  
    11.     <machineKey validationKey="3FFA12388DDF585BA5D35E7BC87E3F0AB47FBBEBD12240DD3BEA2BEAEC4ABA213F22AD27E8FAD77DCFEE306219691434908D193A17C1FC8DCE51B71A4AE54920" decryptionKey="ECB6A3AF9ABBF3F16E80685ED68DC74B0B13CCEE538EBBA97D0B893139683B3B" validation="SHA1" decryption="AES" />  
    12. </system.web>  


    machineKey节点配置,是应用于对用户ticket数据加密和解密。

    6.2 WebApi服务端Web.Config配置

    [html] view plain copy
     
    1.  <system.web>  
    2.     <machineKey validationKey="3FF112388DDF585BA5D35E7BC87E3F0AB47FBBEBD12240DD3BEA2BEAEC4ABA213F22AD27E8FAD77DCFEE306219691434908D193A17C1FC8DCE51B71A4AE54920" decryptionKey="ECB6A3AF9ABBF3F16E80685ED68DC74B0B13CCEE538EBBA97D0B893139683B3B" validation="SHA1" decryption="AES" />  
    3. </system.web>  


    machineKey节点配置,是应用于对用户ticket数据加密和解密。

    7. 总结

    Web系统的用户登录及页面操作权限验证在处理逻辑上比较复杂,需要考虑到Form认证、匿名访问,Session和Cookie存储,以及Session和Cookie的过期处理,本文实现了整个权限验证框架的基本功能,供系统架构设计人员以及Web开发人员参考。

    Demo项目代码地址:
    https://github.com/besley/DemoUserAuthorization/

    8. 春风吹又起--后记

    由于项目的需要,彻底打造了登录及权限验证的一个新开源项目SlickSafe.NET,欢迎大家挪步。

    GitHub:

    http://github.com/besley/slicksafe

    博客文章

    http://www.cnblogs.com/slickflow/p/6478887.html

    在线DEMO地址:

    http://demo.slickflow.com//ssweb/

    (用户名密码:admin/123456, jack/123456)

  • 相关阅读:
    Cloudera Manager 4.6 安装部署hadoop CDH集群
    linux下统计目录下所有子目录的大小
    jvisualvm远程监控tomcat
    安装ubuntu server时可能会需要的配置
    安装配置maven私服-nexus
    maven环境配置
    各版本eclipse的maven配置
    转载:Centos7 从零编译Nginx+PHP+MySql 序言 一
    MongoDB系列一:CentOS7.2下安装mongoDB3.2.8
    MongoDB Windows环境安装及配置
  • 原文地址:https://www.cnblogs.com/webenh/p/7499802.html
Copyright © 2011-2022 走看看