webapi接口是开放给外部使用的，包括接口的地址，传参的规范，还有返回结果的说明。正因为接口的开放性，使得接口的安全很重要。试想一下，用抓包工具（如fiddler)，甚至浏览器获取到接口的规范后（甚至可以猜到接口的其它规范），如果接口没有做”安全“这一道防火墙，任何人都可以调用接口来获取及提交数据，这真是太可怕了。

根据以往经验，我们可以把资源（也就是一个接口）的权限分为三个等级：

1:公开可访问

2:登录用户可访问

3:有权限的登录用户可访问

考虑http的无状态性，且又必须让服务器能区分每次的http请求是”谁“发出的，但又不想在http请求里携带很多信息（尽量每次的请求包比较小），我采用token技术。即将用户的基本信息，如用户id，用户的角色等进行加密，并附在http请求头里。服务器端只要对token进行解密后就能知道是谁发起的请求，JSON Web Token（JWT）是目前最流行的跨域身份验证解决方案。是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。jwt参考如下网站：https://jwt.io/。

微软对webapi的安全拆分为authentication和authorization，authentication的职责是解决”用户是谁“的问题，而authorization的职责是解决”是否有权限“的问题

 2.在项目里新建文件夹Security，并创建IdentityBasicAuthentication类，继承IAuthenticationFilter接口，代码如下：

3.WebapiConfig里面注册IdentityBasicAuthentication

4.修改IdentityBasicAuthentication

6.新建控制器UserController.cs测试

7.测试结果

过段时间再请求会提示token过期了

 如果只是想简单的实现基于角色的权限管理，我们基本上不用写代码，微软已经提供了authorize特性，直接用就行。

 1.User控制器新建2个请求：

2.修改张三的权限，启动项目获取token

 访问onlyadmin会提示拒绝授权

 而访问onlyuser是可以的

 3.修改zhangsan的权限为admin，onlyuser改为lisi可以访问

 重启项目，获取token并请求onlyadmin和onlyuser

1.微软提供的默认authorize特性在小项目和中型的对权限控制没有复杂要求的项目里已经够用了，但是并不能满足所有的需求，比如我一个用户可能不止一个角色，而如果用默认的authorize，会显示未授权。

2. 如果要实现更加可控的基于角色的权限控制，只有自己写Authorize filter。新建RoleAuthorizeAttribute继承AuthorizeAttribute，并重写IsAuthorized方法，代码如下

3.控制器新建一个请求，请求token并验证接口

本文来自博客园，作者：HuTiger，转载请注明原文链接：https://www.cnblogs.com/huguodong/p/12773439.html,欢迎加入qq群927460240学习讨论