Taurus.MVC 2.2.3.4 ：WebAPI 实现权限控制认证（及功能增强说明）

小贝

前言：

前两天，当我还在老家收拾行旅，准备回广州，为IT连的创业再战365天时，

有网友扣上问：Taurus.MVC中如何实现认证和权限控制，最好能做个小例子。

我一不小心回了句：等回广州我再写篇文章......

然后，今天就来补文章了????

Taurus.MVC Nuget 更新：

写文之前，又提前花了点时间，把Nuget的Package升级了一下，和源码版本做了下同步。

通常源码的版本都会比Nuget包的靠前一个小版本：

目前：Taurus.MVC 升级到：V2.2.3.4 （CYQ.Data 同步升级到：V5.7.8.3）

最近版本的更新内容：

1. V2.2.3.1(2017-05-15)
2. 1：增加CheckFormat方法【支持参数为空或正则验证】
4. V2.2.3.3(2017-06-16)
5. 1：增加方法参数的支持(兼容常规webapi的使用方法)
6. 2：CYQ.Data同时升级到V5.7.7.4
8. V2.2.3.4(2017-07-05,2017-10-22)
9. 1 :增强跨域支持
10. 2：修正Query<T>(aaa,defaultValue)的默认取的取值顺序问题。
11. 3：增加EndInvode事件和BenginInvode的事件执行顺序调整。
12. 4：CYQ.Data同时升级到V5.7.8.3

复制代码

Taurus.MVC 增强功能：兼容常规WebAPI参数写法

比如对于以下请求：

1. itlinks.cn/user?uid=666
2. itlinks.cn/user/uid/666

复制代码

常规获取参数：

1. public void Get()
2. {
3. int uid = Query<int>("uid");
4. }

复制代码

兼容性写法：

1. public void Get(int uid)
2. {
4. }

复制代码

同时，兼容参数还可以很复杂，比如这种：

1. public void GetData(List<AB> unList,string a,int? b,AB ab)
2. {
3. Write("your data A:" + unList[0].A+" your data B:" + unList[0].B, true);
4. }<br />

复制代码

传递对应的Post的Json可能是这样的(手打的，就省了双引号了)：

1. { uiList:[{a:1,b:1} , {a:2,b:2}] ,a:1 ,b:2 ,ab:{a:3,b:3}}

复制代码

以IT连示例：WebAPI 解决方案：

先看：IT连的后端WebApi解决方案：

再说：解决方案的创建步骤：

1：新建空Web应用程序。

即上图的：ITLinks.API ，WebAPI不需要界面，该应用程序用于存放各种Controller即可。

2：在项目的引用中用Nuget包管理引入Taurus.MVC。

Nuget包管理会自动在Web.Config中加入以下相关配置。

需要把：key=“Taurus.Controllers” 项的值：改成控制器存放的项目名称（一般名称和最终生成的dll同名）。

Taurus.MVC被引用后，仅包含两个dll，Taurus.Core和CYQ.Data。

IT连的解决方案中，对这两个dll使用了源码项目（方便于作者本人做调试或扩展功能）。

3：项目中新建各种Controller（创建请求规则）。

以IT连中的黑名单功能为例，控制器应继承自Taurus.Core.Controller：

（这里要注意一下构造函数，将自身this传递给逻辑类的构造函数）

1. namespace ITLinks.API
2. {
3. public class BlacklistController : Taurus.Core.Controller
4. {
5. BlacklistLogic blacklist;
6. public BlacklistController()
7. {
8. blacklist = new BlacklistLogic(this);
9. }
10. /// <summary>
11. /// 获取黑名单
12. /// </summary>
13. [Token]
14. public void GetList()
15. {
16. string result = blacklist.GetList();
17. Write(result);
18. }
19. [Token]
20. public void Set()
21. {
22. string result = blacklist.Set();
23. Write(result);
24. }
25. }
26. }

复制代码

因Web.Config中的路由类型配置为1，即路由方式为：

1. /控制器名称/方法名/参数

复制代码

即创建了以下两个路径请求：

1. /blacklist/getlist
2. /blacklist/set

复制代码

理论上来说，在可以方法里写业务代码，并调用Write方法输出json格式的字符串即完成了。

不过，实际项目中，需要清晰一些的规划：

1. IT连的项目中，控制器被规划用来定义路由及权限等简单设定（不包括具体的业务代码）。
3. 把业务代码分离到ITLinks.Logic项目中处理了：
5. 业务逻辑类继承自：Taurus.Core.LogicBase（继承后可复用Taurus.Core.Controller中的常用方法，如Query<T>(xxx)获取参数）

复制代码

如：IT连黑名单列表中的黑名单逻辑源码示例：

（这里要注意一下构造函数，定义继承父类接收控制器参数的构造函数方法）

对于IT连的的业务逻辑：

1. 一部分：独立到解决方案ITLinks.CommonLogic中。
3. 用于功能的复用（在asp.net Aries的管理后台和此处的WebApi中复用同一份代码）
5. 一部分：独立到解决方案ITlinks.Aop中。
7. 用于一些第三方的消息处理。<br /><br />这些，就不细讲了~~~直接飘过！

复制代码

OK，接下来，我们将重点聚焦在权限安全认证这一块：

Taurus.MVC WebAPI 权限安全认证

写此之前，又扫看了一下之前写的关于Taurus.MVC的文章，发现一共才五篇，其中：

Taurus.MVC 2.0 开源发布：WebAPI开发教程 ，步骤五：有简单提到对于权限控制这一块的处理，只是不够详尽。

本文，就以 IT连 App的后端 WebAPI 的逻辑来给大伙做进一步细致说明：

首先：对于继承自Taurus.Core.Controller的控制器，都拥有以下几个可重写的方法：

1. public class TestController : Taurus.Core.Controller
2. {
3. public override bool CheckToken() { }
4. public override bool BeforeInvoke(string methodName) { }
5. public override void EndInvoke(string methodName) { }
6. }

复制代码

以及三个权限相关的特性[Token]、[HttpGet]、[HttpPost]：

1. [Token]
2. public class TestController : Taurus.Core.Controller
3. {
4. [HttpGet]
5. public void Get()
6. { }
7. [HttpPost]
8. public void Post()
9. { }
10. ｝

复制代码

特性若放在类上，即对所有方法都生效！

整个的调用顺序为：

1. 1：调用CheckToken（如果方法标识[Token]属性）【<strong>如果返回false则中止以下执行，可人工干预</strong>】
2. 2：检测Get或Post（如果方法标识[HttpGet]或[HttpPost]属性）【<strong>如果返回false则中止以下执行，系统自动控制</strong>】
3. 3：调用BeforeInvoke方法【<strong>如果返回false则中止以下执行，可人工干预</strong>】
4. <strong>4：调用我们定义的方法，如Get或Post方法。
5. </strong>5：调用EndInvoke方法。

复制代码

接下来，再以IT连中的请求为例讲述流程：

1：用户首次打开IT连App时，获取App的版本更新及配置信息：

此时不需权限，一切正常定义，如：

1. public class SysController : Controller
2. {
3. SysLogic sysLogic = null;
4. public SysController()
5. {
6. sysLogic = new SysLogic(this);
7. }
8. /// <summary>
9. /// 获取配置信息
10. /// </summary>
11. public void GetConfig()
12. {
13. string msg = sysLogic.GetConfig();
14. Write(msg);
15. }
17. /// <summary>
18. /// App版本升级
19. /// </summary>
20. public void Update()
21. {
22. string msg = sysLogic.CheckAppVersion();
23. Write(msg);
24. }
25. ｝

复制代码

2：用户登陆或注册App：

登陆注册也不需要权限验证，方法依旧如常。

1. public class UserController : Controller
2. {
3. UserLogic user;
4. public UserController()
5. {
6. user = new UserLogic(this);
7. }
8. public void Register()
9. {
10. string result = user.Register();
11. Write(result);
12. }
13. public void Login()
14. {
15. string result = user.Login();
16. Write(result);
17. }
18. ｝

复制代码

不过，在登陆或注册成功后，需要创建一个Token返回给App客端存档：

1. 如何创建Token：
3. 可以把用户的基本固定又不重要的信息串在一起，然后加下密就可以了；
5. 比如：（用户ID+注册时间+用户名+有效日期）=》加密成：abfabcbcdxxabfabccdc<br /><br />具体代码可参考 ASP.NET Aries 框架中的 UserAuth.cs 中的 GetAuthToken 方法

复制代码

3：用户进入主界面，或再次打开App时：

由于用户在注册或登陆时，已经存档了Token在客户端，只要之后的请求，都带上这个Token即可。

比如用户获取自身的完整信息，或提交用户反馈是需要权限的：

1. public class FeedbackController : Controller
2. {
3. FeedbackLogic feedbackLogic = null;
4. public FeedbackController()
5. {
6. feedbackLogic = new FeedbackLogic(this);
7. }
9. public override bool CheckToken()
10. {
11. string userid = UserAuth.UserID;//从用户传来的Token中解密获取数据
12. bool result = !string.IsNullOrEmpty(userid) && UserAuth.UserID.Length == 36 && UserAuth.RegTime.Length == 8;
13. if (!result)
14. {
15. Write(LangConst.EC_10000, false);//返回Token验证失败
16. }
17. return result;
18. }
19. /// <summary>
20. /// 用户反馈建议
21. /// </summary>
22. /// <returns></returns>
23. [Token]
24. public void Set()
25. {
26. string result = feedbackLogic.Set();
27. Write(result);
28. }
29. }

复制代码

对于Set方法，需要基本的身份认证，加上了[Token]特性；

同时：需要在CheckToken方法写代码来检测用户带过来的Token是否合法：

1. 1：从请求数据或<strong>请求头</strong>中获取（Token字符串）
3. 2：解密，较验格式及是否过期。
5. 3：根据解密的结果，来返回true或false。

复制代码

1. 具体代码仍可参考 ASP.NET Aries 框架中的 UserAuth.cs 中UserID属性是怎么被反解出来的。

复制代码

这样，就完成了基本的权限认证。

Taurus.MVC WebAPI 特殊的 DefaultController

鉴于检测Token合法性的代码是一样的，业务控制器可能不少，因此需要有统一的地方：

Taurus.MVC定义了三个全局的方法，位于DefaultController中，当然这个控制器文件默认是不存在的，需要自己新建：

1. public class DefaultController : Controller
2. {
4. public static bool CheckToken(IController controller, string methodName)
5. {
6. //将Token验证合法性的代码写在这全局的地方，对所有的Controller都生效。<br />

复制代码

string userid = UserAuth.UserID;
bool result = !string.IsNullOrEmpty(userid) && UserAuth.UserID.Length == 36 && UserAuth.RegTime.Length == 8;
if (!result)
{
controller.Write(LangConst.EC_10000, false);
}
return result;

2. }
3. public static bool BeforeInvoke(IController controller, string methodName)
4. {
6. }
7. public static void EndInvoke(IController controller, string methodName)
8. {
10. }
12. }

复制代码

DefaultController的全局方法的优先级：

1. 这三个static方法的优先级，低于Controller自身同名的实例方法；
3. 即如果某个Controller已经重写了CheckToken实例方法，则全局的CheckToken不会被调 用，其它两个方法亦同。

复制代码

DefaultController是Taurus.MVC的特殊的控制器，其特殊在：

1. 1：当寻找的控制器不存在时，都会定位到DefaultController中寻找，如果DefaultController也没有，则抛出异常。
3. 2：如果方法在DefaultController中找不到时，则会调用Default方法（Taurus.Core.Controller有默认Default方法，可被重写）。<br /><br />3：三个全局的统一方法，被命运安排在这里。

复制代码

总结：

你值的拥有！

接下来又得把线程切回去继续写IT连创业系列、以及IOS的Sagit.Framework开发框架系列了！