簡單創建.NET Core WebApi:https://www.cnblogs.com/yanbigfeg/p/9197375.html
登陸驗證四種方式:https://www.cnblogs.com/zuowj/p/5123943.html
解決跨域的8種方法:https://blog.csdn.net/weixin_39939012/article/details/83822126
WebApi深入學習--特性路由:https://www.cnblogs.com/TiestoRay/p/5755454.html
本文的示例代碼是基于.NET Framework下的,.NET WebApi與.NET Core WebApi的區別,個人認為主要是來自框架的不一樣,可以參照官網https://docs.microsoft.com/en-us/aspnet/core/migration/webapi?view=aspnetcore-2.2#migrate-models-and-controllers后續介紹到.NET Core的時候再詳細做下這兩個框架的不同,
在WebApi中,方法名以Get開頭,WebApi會自動默認之歌請求是Get請求,而如果你以其他名稱開頭而又不標注這個方法的請求方式,那么這個時候服務器雖然找到了這個方法,但是由于請求方式不確定,所以直接回傳給你405---方法不被允許的錯誤
最后結論:所有的WebApi方法最好是加上請求的方式[HttpGet]/[HttpPost]/[HttpPut]/[HttpDelete],不要偷懶,這樣既能防止類似的錯誤,也有利于方法的維護,被人一看就知道這個方法是什么請求
網站在啟動時執行Application_Start(),給Route增加地址規則,請求進來時,會經過路由匹配找到合適的控制器,
那怎么找Action?
1、根據HttpMethod找方法---用的方法名字開頭,Get就是對應的Get請求
2、如果名字不是Get開頭,可以加上[HttpGet]
3、按照引數找最吻合
其食澩是這樣定義的,不是一個學生,而可能是一個學校,可能是一個訂單----多件商品,一次查詢,訂單-商品,資料之間嵌套關系很復雜,還有個特性路由,可以單獨定制(config.MapHttpAttributeRoutes()、標機特性)
IOC容器+組態檔初始化
控制器也要注入--完成容器和WebApi框架融合--實作IDependencyResolver,將容器放進去--初始化
config.DependencyResolver 換成自定義的Resolver
public class IOCController : ApiController { private IUserService _UserService = null; public IOCController(IUserService userService) { this._UserService = userService; } public string Get(int id) { //IUserService service = new UserService(); //IUserService service = ContainerFactory.BuildContainer().Resolve<IUserService>(); return Newtonsoft.Json.JsonConvert.SerializeObject(this._UserService.Query(id)); } }
在WebApiConfig中加上:
// Web API 配置和服務 config.DependencyResolver = new UnityDependencyResolver(ContainerFactory.BuildContainer());
UnityDependencyResolver:
public class UnityDependencyResolver : IDependencyResolver { private IUnityContainer _UnityContainer = null; public UnityDependencyResolver(IUnityContainer container) { _UnityContainer = container; } public IDependencyScope BeginScope()//Scope { return new UnityDependencyResolver(this._UnityContainer.CreateChildContainer()); } public void Dispose() { this._UnityContainer.Dispose(); } public object GetService(Type serviceType) { try { return this._UnityContainer.Resolve(serviceType); } catch (Exception ex) { Console.WriteLine(ex.Message); return null; } } public IEnumerable<object> GetServices(Type serviceType) { try { return this._UnityContainer.ResolveAll(serviceType); } catch (Exception ex) { Console.WriteLine(ex.Message); return null; } } }View Code
ContainerFactory:
/// <summary>/// 需要在nuget參考之后,單獨參考Unity.Configuration/// 如果有AOP擴展,還需要參考Unity.Interception.Configuration/// 因為我們是用組態檔來做的配置/// </summary>public class ContainerFactory{ public static IUnityContainer BuildContainer() { //get //{ return _Container; //} } private static IUnityContainer _Container = null; static ContainerFactory() { ExeConfigurationFileMap fileMap = new ExeConfigurationFileMap(); fileMap.ExeConfigFilename = Path.Combine(AppDomain.CurrentDomain.BaseDirectory + "CfgFiles\\Unity.Config");//找組態檔的路徑 Configuration configuration = ConfigurationManager.OpenMappedExeConfiguration(fileMap, ConfigurationUserLevel.None); UnityConfigurationSection section = (UnityConfigurationSection)configuration.GetSection(UnityConfigurationSection.SectionName); _Container = new UnityContainer(); section.Configure(_Container, "WebApiContainer"); }}View Code
Basic授權認證&權限Filter
在Basic授權認證,(.NET Core下面用OAuth2,后續的隨筆會記載到OAuth2),兩者的區別可以參考博客https://blog.csdn.net/qq_15028299/article/details/89028774
權限認證,是需要的,因為是Http地址,如果不加權限認證,別人不就可以直接拿到這邊的請求去進行操作了,然后再去猜測別的WebApi,
Session不可以嗎?WebApi默認是不支持的Session的,因為RESTFul風格,因為是狀態的,
無狀態:第二次請求和第一次請求不聯系,沒關系,
步驟:
1、登錄程序,是為了拿到令牌,tooken/ticket/許可證
2、驗證成功,把賬號+密碼+其他資訊+時間,加密一下,得到ticket,回傳給客戶端
3、請求時,Ajax里面就帶上這個tooken/ticket(在header里面驗證)
4、介面呼叫時,就去驗證下ticket,解密一下,看看資訊,看看時間
5、每個方法都驗證下ticket?不是這樣的,可以基于filter來實作,FormAuthenticationTicket
用戶登錄回傳的結果中會是這個樣子的,
這邊用到了AuthorizeAttribute,現在我們自定義個類CustomBasicAuthorizeAttribute繼承自AuthorizeAttribute,
1、方法注冊,標機在action上
2、控制器生效,方法全部生效,標機在Controller上
3、全域注冊:
在WebApiConfig里面加上
問題來了,現在不能每一個action都標機吧,就要用到控制器或者全域的,那么登錄的時候也要驗證token,每次都登錄,就是登錄不上去,然后回圈下去,,,
有一個特性AllowAnonymous,我們可以自己寫一個CustomAllowAnonymousAttribute,其實就是
下面是示例代碼:
#region 用戶登陸 [CustomAllowAnonymousAttribute] [HttpGet] public string Login(string account, string password) { if ("Admin".Equals(account) && "123456".Equals(password))//應該資料庫校驗 { FormsAuthenticationTicket ticketObject = new FormsAuthenticationTicket(0, account, DateTime.Now, DateTime.Now.AddHours(1), true, string.Format("{0}&{1}", account, password), FormsAuthentication.FormsCookiePath); var result = new { Result = true, Ticket = FormsAuthentication.Encrypt(ticketObject) }; return JsonConvert.SerializeObject(result); } else { var result = new { Result = false }; return JsonConvert.SerializeObject(result); } } #endregionpublic class CustomAllowAnonymousAttribute : Attribute{} public class CustomBasicAuthorizeAttribute : AuthorizeAttribute { /// <summary> /// action前會先來這里完成權限校驗 /// </summary> /// <param name="actionContext"></param> public override void OnAuthorization(HttpActionContext actionContext) { //actionContext.Request.Headers["Authorization"] if (actionContext.ActionDescriptor.GetCustomAttributes<CustomAllowAnonymousAttribute>().FirstOrDefault() != null) { return;//繼續 } else if (actionContext.ActionDescriptor.ControllerDescriptor.GetCustomAttributes<CustomAllowAnonymousAttribute>().FirstOrDefault() != null) { return;//繼續 } else { var authorization = actionContext.Request.Headers.Authorization; if (authorization == null) { this.HandlerUnAuthorization(); } else if (this.ValidateTicket(authorization.Parameter)) { return;//繼續 } else { this.HandlerUnAuthorization(); } } } private void HandlerUnAuthorization() { throw new HttpResponseException(System.Net.HttpStatusCode.Unauthorized); } private bool ValidateTicket(string encryptTicket) { ////解密Ticket //if (string.IsNullOrWhiteSpace(encryptTicket)) // return false; try { var strTicket = FormsAuthentication.Decrypt(encryptTicket).UserData; //FormsAuthentication.Decrypt(encryptTicket). return string.Equals(strTicket, string.Format("{0}&{1}", "Admin", "123456"));//應該分拆后去資料庫驗證 } catch (Exception ex) { return false; } } }View Code
例外處理Filter,ExceptionFilterAttribute
1、自己定義一個類,繼承自ExceptionFilterAttribute
2、實作OnException方法
3、標機到需要的控制錢Action
4、注冊到全域
5、Filter的范圍僅僅局限在Action里面
public class CustomExceptionFilterAttribute : ExceptionFilterAttribute { /// <summary> /// 例外發生后(沒有被catch),會進到這里 /// </summary> /// <param name="actionExecutedContext"></param> public override void OnException(HttpActionExecutedContext actionExecutedContext) { //actionExecutedContext.Response. 可以獲取很多資訊,日志一下 Console.WriteLine(actionExecutedContext.Exception.Message);//日志一下 actionExecutedContext.Response = actionExecutedContext.Request.CreateResponse( System.Net.HttpStatusCode.OK, new { Result = false, Msg = "出現例外,請聯系管理員", //Value=https://www.cnblogs.com/taotaozhuanyong/p/ });//創造一個回傳 //base.OnException(actionExecutedContext); //ExceptionHandler } }View Code
自定義的例外類,要在全域中進行注冊:config.Filters.Add(new CustomExceptionFilterAttribute());
WebApi全域例外處理
自定義一個類,繼承自ExceptionHandler,重寫Handle,初始化專案時,服務替換上,
/// <summary> /// WEBApi的全域例外處理 /// </summary> public class CustomExceptionHandler : ExceptionHandler { /// <summary> /// 判斷是否要進行例外處理,規則自己定 /// </summary> /// <param name="context"></param> /// <returns></returns> public override bool ShouldHandle(ExceptionHandlerContext context) { string url = context.Request.RequestUri.AbsoluteUri; return url.Contains("/api/"); //return base.ShouldHandle(context); } /// <summary> /// 完成例外處理 /// </summary> /// <param name="context"></param> public override void Handle(ExceptionHandlerContext context) { //Console.WriteLine(context);//log context.Result = new ResponseMessageResult(context.Request.CreateResponse( System.Net.HttpStatusCode.OK, new { Result = false, Msg = "出現例外,請聯系管理員", Debug = context.Exception.Message })); //if(context.Exception is HttpException) } } config.Services.Replace(typeof(IExceptionHandler), new CustomExceptionHandler());//替換全域例外處理類View Code
ActionFilter,可以在Action前/后增加邏輯
public class CustomActionFilterAttribute : ActionFilterAttribute { public override void OnActionExecuting(HttpActionContext actionContext) { Console.WriteLine("1234567"); } public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext) { Console.WriteLine("2345678"); actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin","*"); } }View Code
WebApi跨域請求
這里對WebApi跨域請求做下簡單介紹,什么是跨域請求呢?就是瀏覽器請求時,如果A網站(域名+埠)頁面里面,通過XMLHTTPRequest去請求B域名,這個就是跨域,這個請求時是跨域正常到達B服務器后端的,正常的回應(200),但是瀏覽器是不允許這樣操作的,除非在相應里面有宣告(Access-Control-Allow-Origin),
這個是因為瀏覽器同源策略,出于安全考慮,瀏覽器限制腳本去發起蛞蝓請求,比如你想攻擊別人的網站,得自己服務器發起請求,如果你搞個js,等于在客戶端的電腦上去攻擊別人,但是頁面是script-src、img-href、jss/css/圖片,這些是瀏覽器自己發起的,是可以跨域的,還有a標簽,iframe標簽也是可以的,瀏覽器自己的可以,但是用XHR去請求就是不行,
解決跨域的方法
1、Jsonp:腳本標簽自動請求,請求回來的內容執行回呼方法,決議資料
2、CORS,跨域資源共享,允許服務器在回應時,指定Access-Control-Allow-Origin,瀏覽器按照回應來操作
nuget下面添加cors
全域的都允許:
Action級別的:
自定義一個一個標簽,繼承ActionFilter Attribute,執行完城后,加上actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*");
public class CustomActionFilterAttribute : ActionFilterAttribute{ public override void OnActionExecuting(HttpActionContext actionContext) { Console.WriteLine("1234567"); } public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext) { Console.WriteLine("2345678"); actionExecutedContext.Response.Headers.Add("Access-Control-Allow-Origin", "*"); }}View Code
因為跨域是瀏覽器控制的,在后端并沒有跨域,
自動生成WebApi檔案(.NET Core下面基于Swagger生成檔案)
可以在瀏覽器中直接訪問,
WebApi深坑系列
1、RESTFul Action共存
在get情況下,相同路由的Action無法共存,運行報錯會匹配到多個Action
在post情況下,相同路由的Action可以共存,會存在優先級,但是只會執行一個正則匹配到的Action
2、RESTFul相同路由的Action如何并存,并訪問指定的Action
[Route("list"),HttpPost]
路由如下 api/{controller}/list
3、RESTFul如何設定多引數
[Route("list"),HttpPost("{a}/{b}/{c}")]
路由如下 api/{controller}/list/1/2/3
4、Post提交多引數,[FromBody]跨域問題
去注冊中間件,讓WebApi支持跨域
5、Post提交多引數,[FromBody]ajax提交型別錯誤
必須設定:contentType:'application/json;charset=utf-8'
引數必須格式化成json字串:data:Json.stringify(data)
6、關于[FormBody]表示的引數不能設定基礎型別,如string.....
錯誤書法,跨域設定成string型別
7、為什么Post提交引數必須要標識[FromBody]
[FromBody]標識該引數值應該從請求的Body中獲取,而不是從URL中獲取,URL有長度限制,在不超多長度限制的情況下,可以隨意,
轉載請註明出處,本文鏈接:https://www.uj5u.com/net/12305.html
標籤:ASP.NET
上一篇:快取cache(擦車)