在asp.net WebAPI 中 使用Forms认证和ModelValidata(模型验证)

时间:2020-12-24 13:25:25

一、Forms认证

1、在webapi项目中启用Forms认证

Why:为什么要在WebAPI中使用Forms认证?因为其它项目使用的是Forms认证。

What:什么是Forms认证?它在WebAPI中就是一个MessageHandle,具体请查找关键字“ASP.NET Forms

How:如何启动Forms认证?

  最简单的是通过配置启动Forms认证:

在asp.net WebAPI 中 使用Forms认证和ModelValidata(模型验证)在asp.net WebAPI 中 使用Forms认证和ModelValidata(模型验证)
1 <system.web>
2 <authentication mode="Forms">
3 <forms name=".FormsCookie" loginUrl="/login.aspx" protection="All" timeout="43200" path="/" defaultUrl="http://www.cnblogs.com" domain=".cnblogs.com" cookieless="UseCookies" />
4 </authentication>
5 <httpCookies httpOnlyCookies="true" />
6 </system.web>
7 <system.webServer>
View Code

  简单说说Forms认证的工作原理:首先在管道中,Forms读取请求中的相关的cookie,解密,进行认证,并把认证的结果写到请求上下文和线程的Identity属性中。然后请求继续往后面走,最终生成的响应在管道中返回时,Forms会判断如果响应为401,那么就location到配置中的loginUrl设置的地址,并改变status为302。

2、几个Attribute

Why:为什么要认识Attribute?因为Forms认证的结果是写到Identity属性中,一般我们要获取该属性,判断是否认证成功,如果失败返回401,等等进行很多处理。是不是很麻烦?对,封装起来,自己写一个吗?当然可以,其实微软大法早就考虑好了,针对一般的场景的处理逻辑都封装好了,他们分别叫做

AuthorizeAttribute、AllowAnonymousAttribute,都是Attribute。

What:这些Attribute是什么?顾名思义,AuthorizeAttribute只允许认证通过的请求,AllowAnonymousAttribute允许匿名请求。

How:那么该怎么用呢?很简单他们可以作用类型、方法上,所以可以全局注册、controller、action, so easy!

 

3、重写unauthorize中验证失败方法

Why:因为如果response status == 401,那么Forms会location到配置中的loginUrl,(即使没有手动配置它,也会生成一个默认值“login.aspx”),并且设置status为302。如果客户端是浏览器的话,那么就会直接进行跳转而无法捕获这个状态,这在很多场景下不合适,例如:spa(单页应用)中,我们不希望它自动跳转到登陆页面,而是给出提示,让用户自己选择是否登录。所以要重写Forms中身份验证失败的处理逻辑。

How:在AuthorizationFilterAttribute中有个虚方法HandleUnauthorizedRequest,重写它来实现自定义的处理逻辑。这样的设计思路挺不错,可以多借鉴。

    /// <summary>
/// If unauthorize return 403 instead of 401, avoid redirect.
/// </summary>
public class ForbiddenLocationAuthorizeAttribute : AuthorizeAttribute
{
protected override void HandleUnauthorizedRequest(HttpActionContext actionContext)
{
HttpResponseMessage response
= new HttpResponseMessage();
response.StatusCode
= System.Net.HttpStatusCode.Forbidden;
actionContext.Response
= response;

}
}

使用403(Forbidden)来代替401,这样就可以避免Forms的自动跳转了。虽然这样做有些弊端,但这也不失为一个有效的解决办法。

二、ModelValidata(模型验证)

1、Why

  凡是有用户输入的地方都少不了参数验证,这不光是个安全问题,也是为了保证数据完整正确。

2、What

  WebAPI集成了模型验证机制,当请求被action执行之前,有一个模型绑定的步骤,它就是匹配action的参数,具体细节就不说了,ModelValidata就是在这里进行,它会根据Model中各个属性的DataAnnotations(数据注解)来进行验证,最终把结果保存在action的上下文的一个属性中,即actionContext.ModelState.IsValid。

3、How

  a、为Model设置DataAnnotations

  

public class BannerDto
{
[JsonProperty(PropertyName
= "id")]
[Required(ErrorMessage
= "Id是必须的")]
public Guid Id { get; set; }

[JsonProperty(PropertyName
= "title")]
[Required(ErrorMessage
= "标题不能为空")]
[MaxLength(
200, ErrorMessage = "标题不能超过200个字符")]
public string Title { get; set; }

[JsonProperty(PropertyName
= "src")]
[Required(ErrorMessage
= "图片链接不能为空")]
[MaxLength(
500, ErrorMessage = "图片链接不能超过500个字符")]
public string ImageUri { get; set; }

[JsonProperty(PropertyName
= "href")]
[Required(ErrorMessage
= "超链接不能为空")]
[MaxLength(
500, ErrorMessage = "超链接不能超过500个字符")]
public string Href { get; set; }

[JsonIgnore]
public Guid? AuthorityId { get; set; }

[JsonIgnore]
public bool IsDeleted { get; set; } = false;

[JsonProperty(PropertyName
="createDate")]
public DateTime CreateDate { get; set; }
}

  ps:[JsonProperty]、[JsonIgnore]是指定Json序列化的一些相关设置,设置别名、忽略等等。返回优雅的变量的名称,保证代码风格。

  DataAnnotations的使用,请查看msdn,太简单了。设置好约束条件和ErrorMessage,当验证失败了,就会返回ErrorMessage。

  b、使用Filter方式,为Action添加验证,好处就不多说了。

public class ValidataModelAttribute : ActionFilterAttribute
{
public override void OnActionExecuting(HttpActionContext actionContext)
{
if (!actionContext.ModelState.IsValid)
{
actionContext.Response
= actionContext.Request.CreateErrorResponse(HttpStatusCode.BadRequest, actionContext.ModelState);
}
}
}

别忘了在HttpComfiguration中注入这个Filter

            //模型验证
config.Filters.Add(new ValidataModelAttribute());

对于不希望不验证的Action可以使用OverrideActionFilters重写上级设置的所有Fiters。

ModelValidate失败的请求会得到400的响应,同时所有ErrorMessage都会在响应报文中,例如:

{"Message":"The request is invalid.","ModelState":{"sub.Href":["超链接不可为空"]}}