按部就班學.Net Core Web Api開發系列【15】：應用安全

時間 2019-12-01

標籤按部就班 core web api 開發系列應用安全欄目 HTML 简体版

原文原文鏈接

原文: 按部就班學.Net Core Web Api開發系列【15】：應用安全

系列目錄html

按部就班學.Net Core Web Api開發系列目錄git

本系列涉及到的源碼下載地址：https://github.com/seabluescn/Blog_WebApigithub

1、概述web

本篇介紹Web系統的應用安全，主要涉及用戶的身份認證和訪問權限問題。數據庫

大部分web應用習慣採用Session來保存用戶認證信息，對於WebApi而言，調用者不必定是Web瀏覽器，多是Android、iOS客戶端，多是微信小程序，也多是客戶端程序等等，這些客戶端模擬構造cookie、存儲或傳遞sessionid都不是太方便，這種狀況下，採用令牌（tockenid）的方式進行受權管理就顯得比較方便，惟一不方便的就是每次調用都要傳遞tockenid。json

基本流程以下：小程序

一、調用登錄接口，經過正確的用戶名和密碼活動TockenID；微信小程序

二、經過TockenID調用其餘業務接口。api

2、基本使用瀏覽器

一、處理用戶登錄的Controller

        [HttpPost("login")]
        public ResultObject Login(string loginname,string password)
        {
            try
            {
                User user = _context.Users
                    .AsNoTracking()
                    .Where(a => a.LoginName == loginname && a.Password == password)
                    .Single();

                String tockenid = Tocken.GetTockenID();

                _cache.Set(tockenid, user, new MemoryCacheEntryOptions().SetSlidingExpiration(TimeSpan.FromSeconds(20)));

                return new ResultObject
                {
                    state = ResultState.Success,
                    result = tockenid
                };
            }
            catch(InvalidOperationException ex)
            {
                return new ResultObject
                {
                    state = ResultState.Exception,
                    ExceptionString = "未找到匹配的數據"
                };
            }           
        }

首先在數據庫尋找匹配的用戶信息，若是驗證成功就以TockenID爲主鍵把用戶信息存入緩存，並設置過時時間（示例代碼中過時時間爲20秒），而後返回TockenID。

二、在業務Controller中根據傳入TockenID的進行用戶認證。

[HttpGet]
        public ResultObject GetAllArticles(string tockenid)
        {
            User user = null;
           if(!_cache.TryGetValue(tockenid,out user))
            {
                return new ResultObject
                {
                    state = ResultState.Fail,
                    ExceptionString = "請登錄"
                };
            }

            List<Article> articles = _context.Articles
                    .AsNoTracking()
                    .ToList<Article>();

            return new ResultObject
            {
                state = ResultState.Success,
                result = articles
            };
        }

3、採用中間件進行用戶認證

由於每一個業務Controller都須要進行認證，因此按上述方法就比較麻煩了，咱們作箇中間件來進行統一身份驗證

namespace SaleService.System.Middleware
{
    public class UserAuthenticationMiddleware
    {
        private readonly RequestDelegate _next;
        private readonly ILogger _logger;
        private readonly IMemoryCache _cache;

        public UserAuthenticationMiddleware(RequestDelegate next, ILogger<UserAuthenticationMiddleware> logger, IMemoryCache memoryCache)
        {
            _next = next;
            _logger = logger;
            _cache = memoryCache;
        }

        public async Task Invoke(HttpContext context)
        { 
            //若是是登錄接口就不須要驗證Tocken
            if (context.Request.Path.ToString().ToLower().StartsWith("/api/user/login"))
            {
                await _next(context);
                return;
            }

            if (context.Request.Path.ToString().ToLower().StartsWith("/api/"))
            {
                string tockenid = context.Request.Query["tockenid"];

                if (tockenid == null)
                {  
                    var result = new ResultObject
                    {
                        state = ResultState.Exception,
                        ExceptionString = "Need tockenid"
                    };

                    context.Response.ContentType = "application/json; charset=utf-8";
                    context.Response.WriteAsync(JsonConvert.SerializeObject(result));
                    return;
                }               

                User user = null;
                if (!_cache.TryGetValue(tockenid, out user))
                {    
                    context.Response.StatusCode = 401;
                    context.Response.ContentType = "application/json; charset=utf-8";
                    context.Response.WriteAsync("Invalidate tockenid(用戶認證失敗)");
                    return;
                }
            }
            await _next(context);
        }
    }

    public static class UserAuthenticationMiddlewareExtensions
    {
        public static IApplicationBuilder UseUserAuthentication(this IApplicationBuilder builder)
        {
            return builder.UseMiddleware<UserAuthenticationMiddleware>();
        }
    }
}

該中間件直接截取Request中的tockid進行驗證，若是驗證不經過就直接返回「短路」其餘中間件，因此在使用時須要放在MVC中間件前面。

public class Startup
    {
        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
        {    
            app.UseCors(builder => builder.AllowAnyOrigin().AllowAnyMethod().AllowAnyHeader().AllowCredentials());       
            app.UseStaticFiles();
            app.UseUserAuthentication();//要放在UseMvc前面  
            app.UseMvcWithDefaultRoute(); 
         }
     }

此時業務Controller就比較簡單幹淨了，專心作業務就能夠了

      [HttpGet]
        public ResultObject GetAllArticles(string tockenid)
        {    
            List<Article> articles = _context.Articles
                    .AsNoTracking()
                    .ToList<Article>();          

            return new ResultObject
            {
                state = ResultState.Success,
                result = articles
            };
        }

此時，若是須要，仍能夠經過tockenid獲取用戶信息。

4、關於訪問的權限

此時用戶須要登錄才能訪問受限業務Api，但對用戶權限並無約束，實際應用時須要創建角色，經過用戶於角色對應關係和角色與資源的對應關係，確認用戶能夠訪問的資源列表。

5、幾點須要優化的地方

這裏描述了經過TockenID進行用戶認證的基本思路，實際應用時還有不少須要改善的地方：

一、對於一些公開應用是不須要驗證的，若是在中間件中經過if來判斷路徑就顯得比較醜陋，是否能夠經過給這些Controller加上相關的特性來進行標識？

二、如何方便地判斷用戶與資源的對應關係？

三、Controller中經過tockenid獲取用戶信息的方法可否封裝一下？

這些問題暫時尚未考慮充分，之後有機會完善一下。