Vue.js使用$.ajax和vue-resource实现OAuth的注册、登录、注销和API调用
概述
上一篇我们介绍了如何使用vue resource处理http请求,结合服务端的rest api,就能够很容易地构建一个增删查改应用。
这个应用始终遗留了一个问题,web app在访问rest api时,没有经过任何认证,这使得服务端的rest api是不安全的,只要有人知道api地址,就可以调用api对服务端的资源进行修改和删除。
今天我们就来探讨一下如何结合web api来限制资源的访问。
本文的主要内容如下:
- 介绍传统的web应用和基于rest服务的web应用
- 介绍oauth认证流程和密码模式
- 创建一个基于asp.net identity的web api应用程序
- 基于$.ajax实现oauth的注册、登录、注销和api调用
- 基于vue-resource实现oauth的注册、登录、注销和api调用
本文的最终示例是结合上一篇的curd,本文的登录、注册、注销和api调用功能实现的。
本文9个示例的源码已放到github:https://github.com/keepfool/vue-tutorials/tree/master/04.oauth
oauth介绍
传统的web应用
在传统的web应用程序中,前后端是放在一个站点下的,我们可以通过会话(session)来保存用户的信息。
例如:一个简单的asp.net mvc应用程序,用户登录成功后,我们将用户的id记录在session中,假设为session["userid"]。
前端发送ajax请求时,如果这个请求要求已登录的用户才能访问,我们只需在后台controller中验证session["userid"]是否为空,就可以判断用户是否已经登录了。
这也是传统的web应用能够逃避http面向无连接的方法。
基于rest服务的web应用
当今很多应用,客户端和服务端是分离的,服务端是基于rest风格构建的一套service,客户端是第三方的web应用,客户端通过跨域的ajax请求获取rest服务的资源。
然而rest service通常是被设计为无状态的(stateless),这意味着我们不能依赖于session来保存用户信息,也不能使用session["userid"]这种方式确定用户身份。
解决这个问题的方法是什么呢?常规的方法是使用oauth 2.0。
对于用户相关的openapi,为了保护用户数据的安全和隐私,第三方web应用访问用户数据前都需要显式的向用户征求授权。
相比于oauth 1.0,oauth 2.0的认证流程更加简单。
专用名词介绍
在了解oauth 2.0之前,我们先了解几个名词:
- resource:资源,和rest中的资源概念一致,有些资源是访问受保护的
- resource server:存放资源的服务器
- resource owner:资源所有者,本文中又称为用户(user)
- user agent:用户代理,即浏览器
- client: 访问资源的客户端,也就是应用程序
- authorization server:认证服务器,用于给client提供访问令牌的服务器
- access token:访问资源的令牌,由authorization server器授予,client访问resource时,需提供access token
- bearer token:bearer token是access token的一种,另一种是mac token。
- bearer token的使用格式为:bearer xxxxxxxx
token的类型请参考:
有时候认证服务器和资源服务器可以是一台服务器,本文中的web api示例正是这种运用场景。
oauth认证流程
在知道这几个词以后,我们用这几个名词来编个故事。
简化版本
这个故事的简化版本是:用户(resource owner)访问资源(resource)。
具体版本
简化版的故事只有一个结果,下面是这个故事的具体版本:
- 用户通过浏览器打开客户端后,客户端要求用户给予授权。
- 客户端可以直接将授权请求发给用户(如图所示),或者发送给一个中间媒介,比如认证服务器。
- 用户同意给予客户端授权,客户端收到用户的授权。
- 授权模式(grant type)取决于客户端使用的模式,以及认证服务器所支持的模式。
- 客户端提供身份信息,然后向认证服务器发送请求,申请访问令牌
- 认证服务器验证客户端提供的身份信息,如果验证通过,则向客户端发放令牌
- 客户端使用访问令牌,向资源服务器请求受保护的资源
- 资源服务器验证访问令牌,如果有效,则向客户端开放资源
以上几个步骤,(b)是较为关键的一个,即用户怎么样才能给客户端授权。有了这个授权以后,客户端就可以获取令牌,进而通过临牌获取资源。这也是oauth 2.0的运行流程,详情请参考:
客户端的授权模式
客户端必须得到用户的授权(authorization grant),才能获得令牌(access token)。
oauth 2.0定义了四种授权方式:
- 授权码模式(authorization code)
- 简化模式(implicit)
- 密码模式(resource owner password credentials)
- 客户端模式(client credentials)
本文的示例是基于密码模式的,我就只简单介绍这种模式,其他3我就不介绍了。
密码模式
密码模式(resource owner password credentials grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向服务端申请授权。
在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。
密码嘛事的执行步骤如下:
(a)用户向客户端提供用户名和密码。
(b)客户端将用户名和密码发给认证服务器,向后者请求令牌。
(c)认证服务器确认无误后,向客户端提供访问令牌。
(b)步骤中,客户端发出的http请求,包含以下参数:
- grant_type:表示授权类型,此处的值固定为"password",必选项。
- username:表示用户名,必选项。
- password:表示用户的密码,必选项。
- scope:表示权限范围,可选项。
注意:在后面的客户端示例中,除了提供username和password,grant_type也是必须指定为"password",否则无法获取服务端的授权。
服务端环境准备
如果您是前端开发人员,并且未接触过asp.net web api,可以跳过此段落。
authentication选择individual user accounts
创建这个web api工程时,vs会自动引入owin和aspnet.identity相关的库。
修改valuescontroller,除了ienumerable<string> get()操作外,其他操作都删除,并为该操作应用[authorize]特性,这表示客户端必须通过身份验证后才能调用该操作。
public class valuescontroller : apicontroller { // get: api/values [authorize] public ienumerable<string> get() { return new string[] { "value1", "value2" }; } }
添加model, controller
初始化数据库
执行以下3个命令
customerscontroller类有5个action,除了2个get请求外,其他3个请求分别是post, put和delete。
为这3个请求添加[authorize]特性,这3个请求必须通过身份验证才能访问。
public class customerscontroller : apicontroller { private applicationdbcontext db = new applicationdbcontext(); // get: api/customers public iqueryable<customer> getcustomers() { return db.customers; } // get: api/customers/5 [responsetype(typeof(customer))] public async task<ihttpactionresult> getcustomer(int id) { customer customer = await db.customers.findasync(id); if (customer == null) { return notfound(); } return ok(customer); } // put: api/customers/5 [authorize] [responsetype(typeof(void))] public async task<ihttpactionresult> putcustomer(int id, customer customer) { // ... } // post: api/customers [authorize] [responsetype(typeof(customer))] public async task<ihttpactionresult> postcustomer(customer customer) { // ... } // delete: api/customers/5 [responsetype(typeof(customer))] [authorize] public async task<ihttpactionresult> deletecustomer(int id) { // ... } }
让web api以camelcase输出json
在global.asax文件中添加以下几行代码:
var formatters = globalconfiguration.configuration.formatters; var jsonformatter = formatters.jsonformatter; var settings = jsonformatter.serializersettings; settings.formatting = formatting.indented; settings.contractresolver = new camelcasepropertynamescontractresolver();
启用cors
在nuget package manager console输入以下命令:
install-package microsoft.aspnet.webapi.cors
在webapiconfig中启用cors:
public static class webapiconfig { public static void register(httpconfiguration config) { var cors = new enablecorsattribute("*", "*", "*"); config.enablecors(cors); // ... } }
类说明
在执行上述步骤时,vs已经帮我们生成好了一些类
identitymodels.cs:包含applicationdbcontext类和applicationuser类,无需再创建dbcontext类
public class applicationuser : identityuser { // ... } public class applicationdbcontext : identitydbcontext<applicationuser> { // ... }
startup.auth.cs:用于配置oauth的一些属性。
public partial class startup { public static oauthauthorizationserveroptions oauthoptions { get; private set; } public static string publicclientid { get; private set; } // for more information on configuring authentication, please visit http://go.microsoft.com/fwlink/?linkid=301864 public void configureauth(iappbuilder app) { // .. // configure the application for oauth based flow publicclientid = "self"; oauthoptions = new oauthauthorizationserveroptions { tokenendpointpath = new pathstring("/token"), provider = new applicationoauthprovider(publicclientid), authorizeendpointpath = new pathstring("/api/account/externallogin"), accesstokenexpiretimespan = timespan.fromdays(14), // in production mode set allowinsecurehttp = false allowinsecurehttp = true }; // enable the application to use bearer tokens to authenticate users app.useoauthbearertokens(oauthoptions); // .. } }
这些oauth配置项,我们只用关注其中的两项:
- tokenendpointpath:表示客户端发送验证请求的地址,例如:web api的站点为www.example.com,验证请求的地址则为www.example.com/token。
- useoauthbearertokens:使用bearer类型的token_type(令牌类型)。
applicationoauthprovider.cs:默认的oauthprovider实现,grantresourceownercredentials方法用于验证用户身份信息,并返回access_token(访问令牌)。
public override async task grantresourceownercredentials(oauthgrantresourceownercredentialscontext context) { // ... }
通俗地讲,客户端输入用户名、密码,点击登录后,会发起请求到www.example.com/token。
token这个请求在服务端执行的验证方法是什么呢?正是grantresourceownercredentials方法。
客户端发起验证请求时,必然是跨域的,token这个请求不属于任何apicontroller的action,而在webapiconfig.cs中启用全局的cors,只对apicontroller有效,对token请求是不起作用的。
所以还需要在grantresourceownercredentials方法中添加一行代码:
public override async task grantresourceownercredentials(oauthgrantresourceownercredentialscontext context) { context.response.headers.add("access-control-allow-origin", new []{"*"}); // ... }
identityconfig.cs:配置用户名和密码的复杂度,主要用于用户注册时。例如:不允许用户名为纯字母和数字的组合,密码长度至少为6位…。
public static applicationusermanager create(identityfactoryoptions<applicationusermanager> options, iowincontext context) { var manager = new applicationusermanager(new userstore<applicationuser>(context.get<applicationdbcontext>())); // configure validation logic for usernames manager.uservalidator = new uservalidator<applicationuser>(manager) { allowonlyalphanumericusernames = false, requireuniqueemail = true }; // configure validation logic for passwords manager.passwordvalidator = new passwordvalidator { requiredlength = 6, requirenonletterordigit = true, requiredigit = true, requirelowercase = true, requireuppercase = true, }; // ... return manager; }
使用postman测试get和post请求
测试get请求
get请求测试成功,可以获取到json数据。
测试post请求
post请求测试不通过,提示:验证不通过,请求被拒绝。
基于$.ajax实现注册、登录、注销和api调用
服务端的环境已经准备好了,现在我们就逐个实现用户注册、登录,以及api调用功能吧。
注册
页面的html代码如下:
<div id="app"> <div class="container"> <span id="message">{{ msg }}</span> </div> <div class="container"> <div class="form-group"> <label>电子邮箱</label> <input type="text" v-model="registermodel.email" /> </div> <div class="form-group"> <label>密码</label> <input type="text" v-model="registermodel.password" /> </div> <div class="form-group"> <label>确认密码</label> <input type="text" v-model="registermodel.confirmpassword" /> </div> <div class="form-group"> <label></label> <button @click="register">注册</button> </div> </div> </div>
创建vue实例,然后基于$.ajax发送用户注册请求:
var demo = new vue({ el: '#app', data: { registerurl: 'http://localhost:10648/api/account/register', registermodel: { email: '', password: '', confirmpassword: '' }, msg: '' }, methods: { register: function() { var vm = this vm.msg = '' $.ajax({ url: vm.registerurl, type: 'post', datatype: 'json', data: vm.registermodel, success: function() { vm.msg = '注册成功!' }, error: vm.requesterror }) }, requesterror: function(xhr, errortype, error) { this.msg = xhr.responsetext } } })
登录和注销
登录的html代码:
<div id="app"> <div class="container text-center"> <span id="message">{{ msg }}</span> </div> <div class="container"> <div class="account-info"> <span v-if="username">{{ username }} | <a href="#" rel="external nofollow" @click="logout">注销</a></span> </div> </div> <div class="container"> <div class="form-group"> <label>电子邮箱</label> <input type="text" v-model="loginmodel.username" /> </div> <div class="form-group"> <label>密码</label> <input type="text" v-model="loginmodel.password" /> </div> <div class="form-group"> <label></label> <button @click="login">登录</button> </div> </div> </div>
创建vue实例,然后基于$.ajax发送用户登录请求:
var demo = new vue({ el: '#app', data: { loginurl: 'http://localhost:10648/token', logouturl: 'http://localhost:10648/api/account/logout', loginmodel: { username: '', password: '', grant_type: 'password' }, msg: '', username: '' }, ready: function() { this.username = sessionstorage.getitem('username') }, methods: { login: function() { var vm = this vm.msg = '' vm.result = '' $.ajax({ url: vm.loginurl, type: 'post', datatype: 'json', data: vm.loginmodel, success: function(data) { vm.msg = '登录成功!' vm.username = data.username sessionstorage.setitem('accesstoken', data.access_token) sessionstorage.setitem('username', vm.username) }, error: vm.requesterror }) }, logout: function() { var vm = this vm.msg = '' $.ajax({ url: vm.logouturl, type: 'post', datatype: 'json', success: function(data) { vm.msg = '注销成功!' vm.username = '' vm.loginmodel.username = '' vm.loginmodel.password = '' sessionstorage.removeitem('username') sessionstorage.removeitem('accesstoken') }, error: vm.requesterror }) }, requesterror: function(xhr, errortype, error) { this.msg = xhr.responsetext } } })
在试验这个示例时,把fiddler也打开,我们一共进行了3次操作:
- 第1次操作:输入了错误的密码,服务端响应400的状态码,并提示了错误信息。
- 第2次操作:输入了正确的用户名和密码,服务端响应200的状态码
- 第3次操作:点击右上角的注销链接
注意第2次操作,在fiddler中查看服务端返回的内容:
服务端返回了access_token, expires_in, token_type,username等信息,在客户端可以用sessionstorage或localstorage保存access_token。
调用api
取到了access_token后,我们就可以基于access_token去访问服务端受保护的资源了。
这里我们要访问的资源是/api/values,它来源于valuescontroller的get操作。
基于注册画面,添加一段html代码:
<div class="container text-center"> <div> <button @click="callapi">调用api</button> </div> <div class="result"> api调用结果:{{ result | json }} </div> </div>
在vue实例中添加一个callapi方法:
callapi: function() { var vm = this vm.msg = '' vm.result = '' headers = {} headers.authorization = 'bearer ' + sessionstorage.getitem('accesstoken'); $.ajax({ type: 'get', datatye: 'json', url: vm.apiurl, headers: headers, success: function(data) { vm.result = data }, error: vm.requesterror }) }
在调用callapi方法时,设置了请求头的authorization属性,其格式为:"bearer access_token"。
由于服务端指定使用了bearer类型的access token,所以客户端必须使用这种格式将access token传给资源服务器。
在试验这个示例时,我们一共进行了5次操作:
- 第1次操作:没有输入用户名和密码,直接点击[调用api]按钮,服务端返回401的状态码,表示该请求未授权。
- 第2次操作:输入用户名和密码,然后店点击登录按钮,登录成功。
- 第3次操作:点击[调用api]按钮,服务端返回200的状态码,请求成功。
- 第4次操作:点击[注销]链接,注销成功。
- 第5次操作:再次点击[调用api]按钮,服务端返回401的状态码,表示该请求未授权。
有人可能会注意到,为什么每次点击[调用api]按钮,都发起了两次请求?
这是因为当浏览器发送跨域请求时,浏览器都会先发送一个options预请求(preflight request)给目标站点,用于确认目标站点是否接受跨域请求,如果目标站点不支持跨域请求,浏览器会提示错误:
no 'access-control-allow-origin' header is present on the requested resource.
如果是post请求,且数据类型(content-type)是application/x-www-form-urlencoded,multipart/form-data
或 text/plain中的一种,则浏览器不会发送预请求,上图的/token请求就是满足该条件的。
zepto会自动将非get请求的content-type设置为application/x-www-form-urlencoded
:
if (settings.contenttype || (settings.contenttype !== false && settings.data && settings.type.touppercase() != 'get')) setheader('content-type', settings.contenttype || 'application/x-www-form-urlencoded') image
我们还是通过fidder看一下第1次/api/values请求和响应的headers信息
请求的headers信息,它是一次options请求。
响应的headers信息,access-control-allow-origin: *表示允许所有外部站点对目标站点发送跨域请求。
更多cors的知识,请参考mdn上的说明:
https://developer.mozilla.org/zh-cn/docs/web/http/access_control_cors
基于vue-resource实现注册、登录和api调用
基于vue-resource实现这3项功能时,沿用上面的html代码。
注册
更为简洁的register方法:
register: function() { this.$http.post(this.registerurl, this.registermodel) .then((response) => { this.msg = '注册成功!' }).catch((response) => { this.msg = response.json() }) }
注意:当使用vue-resource发送注册的post请求时,fiddler捕获到了2次请求,第1次是由浏览器发送的options预请求,第2次才是实际的post请求。这和使用$.ajax时是不一样的,因为$.ajax会将非get请求的content-type设置为application/x-www-form-urlencoded,而vue-resource发送post请求的content-type为application/json;charset=utf-8。
启用emulatejson选项,可以让浏览器不发送options预请求,有两种启用方式。
1.全局启用
vue.http.options.emulatejson = true
2.局部启用
this.$http.post(this.registerurl, this.registermodel ,{ emulatejson : true}) .then( (response) => { this.msg = '注册成功!' })
启用了emulatejson选项后,使得post请求的content-type变为application/x-www-form-urlencoded
登录和注销
登录和注销的方法:
login: function() { this.$http.post(this.loginurl, this.loginmodel) .then((response) => { var body = response.json() this.msg = '登录成功!' this.username = body.username sessionstorage.setitem('accesstoken', body.access_token) sessionstorage.setitem('username', body.username) }).catch(this.requesterror) }, logout: function() { this.$http.post(this.logouturl) .then((response) => { this.msg = '注销成功!' this.username = '' this.loginmodel.username = '' this.loginmodel.password = '' sessionstorage.removeitem('username') sessionstorage.removeitem('accesstoken') }).catch(this.requesterror) }, requesterror: function(response) { this.msg = response.json() }
api调用
调用api的方法也更为简洁:
callapi: function() { var headers = {} headers.authorization = 'bearer ' + sessionstorage.getitem('accesstoken') this.$http.get(this.apiurl, { headers: headers }) .then((response) => { this.result = response.json() }).catch(this.requesterror) }
同样的,在发送请求前,需要将access token添加到请求头。
综合示例
本文在准备服务端环境的时候,提供了一个customerscontroller,除了get操作,其他操作的访问都是受保护的,需要用户登录以后才能操作。
现在我们来实现这个示例, 该示例结合了上一篇的curd示例,以及本文的注册、登录、注销功能。
具体代码我就不再贴出来了,大家结合源代码试一试吧。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
上一篇: 详解Vue中状态管理Vuex