Web用户的身份验证及WebApi权限验证流程的设计和实现
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。
1. Web Form认证介绍
Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用户身份的合法性。目前常见的方式是Form认证,其处理逻辑描述如下:
1. 用户首先要在登录页面输入用户名和密码,然后登录系统,获取合法身份的票据,再执行后续业务处理操作;
2. 用户在没有登录的情况下提交Http页面访问请求,如果该页面不允许匿名访问,则直接跳转到登录页面;
3. 对于允许匿名访问的页面请求,系统不做权限验证,直接处理业务数据,并返回给前端;
4. 对于不同权限要求的页面Action操作,系统需要校验用户角色,计算权限列表,如果请求操作在权限列表中,则正常访问,如果不在权限列表中,则提示“未授权的访问操作”到异常处理页面。
2. WebApi 服务端Basic 方式验证
WebApi服务端接收访问请求,需要做安全验证处理,验证处理步骤如下:
1. 如果是合法的Http请求,在Http请求头中会有用户身份的票据信息,服务端会读取票据信息,并校验票据信息是否完整有效,如果满足校验要求,则进行业务数据的处理,并返回给请求发起方;
2. 如果没有票据信息,或者票据信息不是合法的,则返回“未授权的访问”异常消息给前端,由前端处理此异常。
3. 登录及权限验证流程
流程处理步骤说明:
1. 用户打开浏览器,并在地址栏中输入页面请求地址,提交;
2. 浏览器解析Http请求,发送到Web服务器;Web服务器验证用户请求,首先判断是否有登录的票据信息;
3. 用户没有登录票据信息,则跳转到登录页面;
4. 用户输入用户名和密码信息;
5. 浏览器提交登录表单数据给Web服务器;
6. Web服务需要验证用户名和密码是否匹配,发送api请求给api服务器;
7. api用户账户服务根据用户名,读取存储在数据库中的用户资料,判断密码是否匹配;
1)如果用户名和密码不匹配,则提示密码错误等信息,然该用户重新填写登录资料;
2)如果验证通过,则保存用户票据信息;
8. 接第3步,如果用户有登录票据信息,则跳转到用户请求的页面;
9. 验证用户对当前要操作的页面或页面元素是否有权限操作,首先需要发起api服务请求,获取用户的权限数据;
10. api用户权限服务根据用户名,查找该用户的角色信息,并计算用户权限列表,封装为Json数据并返回;
11. 当用户有权限操作页面或页面元素时,跳转到页面,并由页面Controller提交业务数据处理请求到api服务器;
如果用户没有权限访问该页面或页面元素时,则显示“未授权的访问操作”,跳转到系统异常处理页面。
12. api业务服务处理业务逻辑,并将结果以Json 数据返回;
13. 返回渲染后的页面给浏览器前端,并呈现业务数据到页面;
14. 用户填写业务数据,或者查找业务数据;
15. 当填写或查找完业务数据后,用户提交表单数据;
16. 浏览器脚本提交get,post等请求给web服务器,由web服务器再次解析请求操作,重复步骤2的后续流程;
17. 当api服务器验证用户身份是,没有可信用户票据,系统提示“未授权的访问操作”,跳转到系统异常处理页面。
4. Mvc前端代码示例
4.1 用户登录AccountController
- "font-size: 18px;"> "font-size:14px;">public class AccountController : Controller
- {
- //
- // GET: /Logon/
- public ActionResult Login(string returnUrl)
- {
- ViewBag.ReturnUrl = returnUrl;
- return View();
- }
- [HttpPost]
- public ActionResult Logon(LoginUser loginUser, string returnUrl)
- {
- string strUserName = loginUser.UserName;
- string strPassword = loginUser.Password;
- var accountModel = new AccountModel();
- //验证用户是否是系统注册用户
- if (accountModel.ValidateUserLogin(strUserName, strPassword))
- {
- if (Url.IsLocalUrl(returnUrl))
- {
- //创建用户ticket信息
- accountModel.CreateLoginUserTicket(strUserName, strPassword);
- //读取用户权限数据
- accountModel.GetUserAuthorities(strUserName);
- return new RedirectResult(returnUrl);
- }
- else
- {
- return RedirectToAction("Index", "Home");
- }
- }
- else
- {
- throw new ApplicationException("无效登录用户!");
- }
- }
- ///
- /// 用户注销,注销之前,清除用户ticket
- ///
- ///
- [HttpPost]
- public ActionResult Logout()
- {
- var accountModel = new AccountModel();
- accountModel.Logout();
- return RedirectToAction("Login", "Account");
- }
- }
4.2 用户模型AccountModel
- "font-size:14px;">public class AccountModel
- {
- ///
- /// 创建登录用户的票据信息
- ///
- ///
- internal void CreateLoginUserTicket(string strUserName, string strPassword)
- {
- //构造Form验证的票据信息
- FormsAuthenticationTicket ticket = new FormsAuthenticationTicket(1, strUserName, DateTime.Now, DateTime.Now.AddMinutes(90),
- true, string.Format("{0}:{1}", strUserName, strPassword), FormsAuthentication.FormsCookiePath);
- string ticString = FormsAuthentication.Encrypt(ticket);
- //把票据信息写入Cookie和Session
- //SetAuthCookie方法用于标识用户的Identity状态为true
- HttpContext.Current.Response.Cookies.Add(new HttpCookie(FormsAuthentication.FormsCookieName, ticString));
- FormsAuthentication.SetAuthCookie(strUserName, true);
- HttpContext.Current.Session["USER_LOGON_TICKET"] = ticString;
- //重写HttpContext中的用户身份,可以封装自定义角色数据;
- //判断是否合法用户,可以检查:HttpContext.User.Identity.IsAuthenticated的属性值
- string[] roles = ticket.UserData.Split(',');
- IIdentity identity = new FormsIdentity(ticket);
- IPrincipal principal = new GenericPrincipal(identity, roles);
- HttpContext.Current.User = principal;
- }
- ///
- /// 获取用户权限列表数据
- ///
- ///
- ///
- internal string GetUserAuthorities(string userName)
- {
- //从WebApi 访问用户权限数据,然后写入Session
- string jsonAuth = "[{"Controller": "SampleController", "Actions":"Apply,Process,Complete"}, {"Controller": "Product", "Actions": "List,Get,Detail"}]";
- var userAuthList = ServiceStack.Text.JsonSerializer.DeserializeFromString(jsonAuth, typeof(UserAuthModel[]));
- HttpContext.Current.Session["USER_AUTHORITIES"] = userAuthList;
- return jsonAuth;
- }
- ///
- /// 读取数据库用户表数据,判断用户密码是否匹配
- ///
- ///
- ///
- ///
- internal bool ValidateUserLogin(string name, string password)
- {
- //bool isValid = password == passwordInDatabase;
- return true;
- }
- ///
- /// 用户注销执行的操作
- ///
- internal void Logout()
- {
- FormsAuthentication.SignOut();
- }
- }
4.3 控制器基类WebControllerBase
- "font-size:14px;">///
- /// 前端Mvc控制器基类
- ///
- [Authorize]
- public abstract class WebControllerBase : Controller
- {
- ///
- /// 对应api的Url
- ///
- public string ApiUrl
- {
- get;
- protected set;
- }
- ///
- /// 用户权限列表
- ///
- public UserAuthModel[] UserAuthList
- {
- get
- {
- return AuthorizedUser.Current.UserAuthList;
- }
- }
- ///
- /// 登录用户票据
- ///
- public string UserLoginTicket
- {
- get
- {
- return AuthorizedUser.Current.UserLoginTicket;
- }
- }
- }
相关文章
- 云集,让 web app 像 native app 那样运行(雄起吧,Web 开发者)
- 【CTF WEB】ISCC 2016 web 2题记录
- 昇腾AI处理器软件栈--流程编排器(Matrix)
- Nikto是一款Web安全扫描工具,可以扫描指定主机的web类型,主机名,特定目录,cookie,特定CGI漏洞,XSS漏洞,SQL注入漏洞等,非常强大滴说。。。
- 移动WEB应用开发框架moible-web-app开源
- gitlab 建仓的流程
- Web用户的身份验证及WebApi权限验证流程的设计和实现
- Atitit web 之道 艾龙著 Atitit web 之道 艾龙艾提拉著v2 saa.docx Atitit web开发之道 attilax著 Web应用 1. 第1章 Web编程基础知识 (
- Atitit 部署了个webdav服务 as root 目录 1.1. WEB-INF copy to root dir only a web.xml use...1 1.2. Java.ba
- Atitit 常见每日流程日程日常工作.docx v9 每次pertime Atitit 常见每日每天流程日程日常工作 v9 raf attilax总结分享.docx Ver history i
- Atitit 分区后的查询 mysql分区记录的流程与原理
- 搭建Dynamic Web Project(动态web项目)的springmvc工程2
- CV之VSLAM:SLAM/VSLAM的简介、视觉SLAM的五大流程之详细攻略
- DataScience&ML:金融科技领域之风控的简介、类别、应用流程(定义目标变量→特征构建思路等)、案例集锦之详细攻略
- 【面试2】Springboot启动流程分析原理(二)
- MediaCodec硬解流程
- 智能流程机器人助你“聚划算”
- 奇异值分解和聚类分析操作流程
- 禅道——測试流程
- Android中View绘制流程以及invalidate()等相关方法分析
- Web测试中,各类web控件测试点总结
- 详谈软件测试流程之web服务器要点
- 【2023最全教程】Web自动化测试怎么做?Web自动化测试的详细流程和步骤
- Python 流程控制与循环体
- 2022年Web前端开发流程和学习路线
- 【微服务】SpringBoot启动流程注册FeignClient
- 简搭(jabdp)之自定义流程(二)