Taurus.MVC 2.2.3.4 ：WebAPI 實現權限控制認證（及功能加強說明）

前言：

前兩天，當我還在老家收拾行旅，準備回廣州，爲IT連的創業再戰365天時，

有網友扣上問：Taurus.MVC中如何實現認證和權限控制，最好能作個小例子。

我一不當心回了句：等回廣州我再寫篇文章......

而後，今天就來補文章了〜〜〜〜

Taurus.MVC Nuget 更新：

寫文以前，又提早花了點時間，把Nuget的Package升級了一下，和源碼版本作了下同步。

一般源碼的版本都會比Nuget包的靠前一個小版本：

目前：Taurus.MVC 升級到：V2.2.3.4 （CYQ.Data 同步升級到：V5.7.8.3）

最近版本的更新內容：

V2.2.3.1(2017-05-15)
1：增長CheckFormat方法【支持參數爲空或正則驗證】

V2.2.3.3(2017-06-16)
1：增長方法參數的支持(兼容常規webapi的使用方法)
2：CYQ.Data同時升級到V5.7.7.4

V2.2.3.4(2017-07-05,2017-10-22)
1 :加強跨域支持
2：修正Query<T>(aaa,defaultValue)的默認取的取值順序問題。
3：增長EndInvode事件和BenginInvode的事件執行順序調整。
4：CYQ.Data同時升級到V5.7.8.3

Taurus.MVC 加強功能：兼容常規WebAPI參數寫法

好比對於如下請求：

itlinks.cn/user?uid=666 
itlinks.cn/user/uid/666

常規獲取參數：

        public void Get()
        {
            int uid = Query<int>("uid");
        }

兼容性寫法：

        public void Get(int uid)
        {
 
        }

同時，兼容參數還能夠很複雜，好比這種：

        public void GetData(List<AB> unList,string a,int? b,AB ab)
        {
            Write("your data A:" + unList[0].A+" your data B:" + unList[0].B, true);
        }

傳遞對應的Post的Json多是這樣的(手打的，就省了雙引號了)：

{ uiList:[{a:1,b:1} , {a:2,b:2}]  ,a:1 ,b:2 ,ab:{a:3,b:3}}

以IT連示例：WebAPI 解決方案：

先看：IT連的後端WebApi解決方案：

再說：解決方案的建立步驟：

1：新建空Web應用程序。

即上圖的：ITLinks.API ，WebAPI不須要界面，該應用程序用於存放各類Controller便可。

2：在項目的引用中用Nuget包管理引入Taurus.MVC。

Nuget包管理會自動在Web.Config中加入如下相關配置。

須要把：key=「Taurus.Controllers」 項的值：改爲控制器存放的項目名稱（通常名稱和最終生成的dll同名）。

Taurus.MVC被引用後，僅包含兩個dll，Taurus.Core和CYQ.Data。

IT連的解決方案中，對這兩個dll使用了源碼項目（方便於做者本人作調試或擴展功能）。

3：項目中新建各類Controller（建立請求規則）。

以IT連中的黑名單功能爲例，控制器應繼承自Taurus.Core.Controller：

（這裏要注意一下構造函數，將自身this傳遞給邏輯類的構造函數）

namespace ITLinks.API
{
    public class BlacklistController : Taurus.Core.Controller
    {
        BlacklistLogic blacklist;
        public BlacklistController()
        {
            blacklist = new BlacklistLogic(this);
        }
        /// <summary>
        /// 獲取黑名單
        /// </summary>
        [Token]
        public void GetList()
        {
            string result = blacklist.GetList();
            Write(result);
        }
        [Token]
        public void Set()
        {
            string result = blacklist.Set();
            Write(result);
        }
    }
}

因Web.Config中的路由類型配置爲1，即路由方式爲：

/控制器名稱/方法名/參數

即建立了如下兩個路徑請求：

/blacklist/getlist
/blacklist/set

理論上來講，在能夠方法裏寫業務代碼，並調用Write方法輸出json格式的字符串即完成了。

不過，實際項目中，須要清晰一些的規劃：

IT連的項目中，控制器被規劃用來定義路由及權限等簡單設定（不包括具體的業務代碼）。

把業務代碼分離到ITLinks.Logic項目中處理了：

業務邏輯類繼承自：Taurus.Core.LogicBase（繼承後可複用Taurus.Core.Controller中的經常使用方法，如Query<T>(xxx)獲取參數）

如：IT連黑名單列表中的黑名單邏輯源碼示例：

（這裏要注意一下構造函數，定義繼承父類接收控制器參數的構造函數方法）

對於IT連的的業務邏輯：

一部分：獨立到解決方案ITLinks.CommonLogic中。

用於功能的複用（在ASP.NET Aries的管理後臺和此處的WebApi中複用同一份代碼）

一部分：獨立到解決方案ITlinks.Aop中。

用於一些第三方的消息處理。

這些，就不細講了~~~直接飄過！

OK，接下來，咱們將重點聚焦在權限安全認證這一塊：

Taurus.MVC WebAPI 權限安全認證

寫此以前，又掃看了一下以前寫的關於Taurus.MVC的文章，發現一共才五篇，其中：

Taurus.MVC 2.0 開源發佈：WebAPI開發教程 ，步驟五：有簡單提到對於權限控制這一塊的處理，只是不夠詳盡。

本文，就以 IT連 App的後端 WebAPI 的邏輯來給大夥作進一步細緻說明：

首先：對於繼承自Taurus.Core.Controller的控制器，都擁有如下幾個可重寫的方法：

    public class TestController : Taurus.Core.Controller
    {
        public override bool CheckToken() { }
        public override bool BeforeInvoke(string methodName) { }
        public override void EndInvoke(string methodName) { }
    }

以及三個權限相關的特性[Token]、[HttpGet]、[HttpPost]：

    [Token]
    public class TestController : Taurus.Core.Controller
    {
        [HttpGet]
        public void Get()
        { }
        [HttpPost]
        public void Post()
        { }
    ｝

特性若放在類上，即對全部方法都生效！

整個的調用順序爲：

1：調用CheckToken（若是方法標識[Token]屬性）【若是返回false則停止如下執行，可人工干預】
2：檢測Get或Post（若是方法標識[HttpGet]或[HttpPost]屬性）【若是返回false則停止如下執行，系統自動控制】
3：調用BeforeInvoke方法【若是返回false則停止如下執行，可人工干預】
4：調用咱們定義的方法，如Get或Post方法。 5：調用EndInvoke方法。

接下來，再以IT連中的請求爲例講述流程：

1：用戶首次打開IT連App時，獲取App的版本更新及配置信息：

此時不需權限，一切正常定義，如：

    public class SysController : Controller
    {
        SysLogic sysLogic = null;
        public SysController()
        {
            sysLogic = new SysLogic(this);
        }
        /// <summary>
        /// 獲取配置信息
        /// </summary>
        public void GetConfig()
        {
            string msg = sysLogic.GetConfig();
            Write(msg);
        }

        /// <summary>
        /// App版本升級
        /// </summary>
        public void Update()
        {
            string msg = sysLogic.CheckAppVersion();
            Write(msg);
        }
    ｝

2：用戶登錄或註冊App：

登錄註冊也不須要權限驗證，方法依舊如常。

    public class UserController : Controller
    {
        UserLogic user;
        public UserController()
        {
            user = new UserLogic(this);
        }
        public void Register()
        {
            string result = user.Register();
            Write(result);
        }
        public void Login()
        {
            string result = user.Login();
            Write(result);
        }
    ｝

不過，在登錄或註冊成功後，須要建立一個Token返回給App客端存檔：

如何建立Token：

能夠把用戶的基本固定又不重要的信息串在一塊兒，而後加下密就能夠了；

好比：（用戶ID+註冊時間+用戶名+有效日期）=》加密成：abfabcbcdxxabfabccdc

具體代碼可參考 ASP.NET Aries 框架中的 UserAuth.cs 中的 GetAuthToken 方法

3：用戶進入主界面，或再次打開App時：

因爲用戶在註冊或登錄時，已經存檔了Token在客戶端，只要以後的請求，都帶上這個Token便可。

好比用戶獲取自身的完整信息，或提交用戶反饋是須要權限的：

    public class FeedbackController : Controller
    {
        FeedbackLogic feedbackLogic = null;
        public FeedbackController()
        {
            feedbackLogic = new FeedbackLogic(this);
        }

        public override bool CheckToken()
        {
            string userid = UserAuth.UserID;//從用戶傳來的Token中解密獲取數據
            bool result = !string.IsNullOrEmpty(userid) && UserAuth.UserID.Length == 36 && UserAuth.RegTime.Length == 8;
            if (!result)
            {
                Write(LangConst.EC_10000, false);//返回Token驗證失敗
            }
            return result;
        }
        /// <summary>
        /// 用戶反饋建議
        /// </summary>
        /// <returns></returns>
        [Token]
        public void Set()
        {
            string result = feedbackLogic.Set();
            Write(result);
        }
    }

對於Set方法，須要基本的身份認證，加上了[Token]特性；

同時：須要在CheckToken方法寫代碼來檢測用戶帶過來的Token是否合法：

1：從請求數據或請求頭中獲取（Token字符串）

2：解密，較驗格式及是否過時。

3：根據解密的結果，來返回true或false。

具體代碼仍可參考 ASP.NET Aries 框架中的 UserAuth.cs 中UserID屬性是怎麼被反解出來的。

這樣，就完成了基本的權限認證。

Taurus.MVC WebAPI 特殊的 DefaultController

鑑於檢測Token合法性的代碼是同樣的，業務控制器可能很多，所以須要有統一的地方：

Taurus.MVC定義了三個全局的方法，位於DefaultController中，固然這個控制器文件默認是不存在的，須要本身新建：

    public class DefaultController : Controller
    {
       
        public static bool CheckToken(IController controller, string methodName)
        {
            //將Token驗證合法性的代碼寫在這全局的地方，對全部的Controller都生效。

             string userid = UserAuth.UserID;
             bool result = !string.IsNullOrEmpty(userid) && UserAuth.UserID.Length == 36 && UserAuth.RegTime.Length == 8;
             if (!result)
             {
                    controller.Write(LangConst.EC_10000, false);
             }
             return result;

        }
        public static bool BeforeInvoke(IController controller, string methodName)
        {
            
        }
        public static void EndInvoke(IController controller, string methodName)
        {

        }

    }

DefaultController的全局方法的優先級：

這三個static方法的優先級，低於Controller自身同名的實例方法；

即若是某個Controller已經重寫了CheckToken實例方法，則全局的CheckToken不會被調 用，其它兩個方法亦同。

DefaultController是Taurus.MVC的特殊的控制器，其特殊在：

1：當尋找的控制器不存在時，都會定位到DefaultController中尋找，若是DefaultController也沒有，則拋出異常。

2：若是方法在DefaultController中找不到時，則會調用Default方法（Taurus.Core.Controller有默認Default方法，可被重寫）。

3：三個全局的統一方法，被命運安排在這裏。

總結：

你值的擁有！

接下來又得把線程切回去繼續寫IT連創業系列、以及IOS的Sagit.Framework開發框架系列了！