Web API应用架构在Winform混合框架中的应用（1）

lijinjinxuzhou

2015-10-06

在《<aid="cb_post_title_url"href="http://www.cnblogs.com/wuhuacong/p/4614875.html">WebAPI应用架构设计分析（1）</a>》和《<aid="cb_post_title_url"href="http://www.cnblogs.com/wuhuacong/p/4620300.html">WebAPI应用架构设计分析（2）</a>》中对WebAPI的架构进行了一定的剖析，在当今移动优先的口号下，传统平台都纷纷开发了属于自己的WebAPI平台，方便各种终端系统的接入，很多企业的需求都是以WebAPI优先的理念来设计整个企业应用体系的。WebAPI作为整个纽带的核心，在整个核心层需要考虑到统一性、稳定性、以及安全性等方面因素。本文主要介绍，WebAPI应用架构，在Winform整合中的角色，以及如何实现在Winform混合架构里面的整合案例。

<h3>1、WebAPI介绍回顾</h3>

WebAPI是一种应用接口框架，它能够构建HTTP服务以支撑更广泛的客户端（包括浏览器，手机和平板电脑等移动设备）的框架，<spanid="mt2"class="sentence">ASP.NETWebAPI是一种用于在.NETFramework上构建RESTful应用程序的理想平台。在目前发达的应用场景下，我们往往需要接入Winform客户端、APP程序、网站程序、以及目前热火朝天的微信应用等，这些数据应该可以由同一个服务提供，这个就是我们所需要构建的WebAPI平台。由于WebAPI层作为一个公共的接口层，我们就很好保证了各个界面应用层的数据一致性。

通过上面的了解，我们可以知道，所有外部的应用，其实都可以基于一个相同的WebAPI核心开展的，如下图所示。

<imgsrc="http://images0.cnblogs.com/blog2015/8867/201507/012319146255372.png"alt=""width="402"height="455">

在当前大平台，大应用的背景下，可以基于一个整体的平台，构建很多应用生态链，这样就可以把WebAPI作为核心层，可以在上面开发我们各种企业业务应用了。

<imgsrc="http://images0.cnblogs.com/blog2015/8867/201507/012337464536202.png"alt=""width="586"height="576">

<h3>2、WebAPI在Winform框架中的整合</h3>

在Winform界面里面，我们除了可以利用直接访问数据库方式，以及采用访问分布式WCF服务的方式接入，还可以使得它能够访问WebAPI的数据服务，从而构建成一个适应性更加广泛、功能更加强大的混合式开发框架模式；对于WebAPI，由于它提供的是一种无状态的接口访问，而且往往WebAPI一般为了多种客户端接入的需要，可能需要发布在公网上进行访问，因此我们需要更加注重WebAPI接口层的安全性。

除了直连数据库访问的传统模式，WCF分布式访问的WCF服务访问模式，还可以接入API分布式访问的WebAPI接口模式，他们的关系构成了一个完整的Winform应用体系，如下图所示。

<imgsrc="http://images0.cnblogs.com/blog2015/8867/201507/012339136878450.png"alt=""width="591"height="444">

混合式框架的实现细节，就是通过一个类似开关模式的配置模块，确定是采用直接访问数据库方式，还是访问WCF服务的方式，它们两者是统一到一个Facade接口门面层上，如果考虑到WebAPI层，基于混合式的架构，也就是在这个Facade接口门面层上增加多一个WebAPI的接口的封装成即可。具体整个框架的架构图如下所示。

<imgsrc="http://images0.cnblogs.com/blog2015/8867/201507/012340271713269.png"alt="">

<h3>3、WebAPI访问的安全性考虑</h3>

由于WebAPI是基于互联网的应用，因此安全性要远比在本地访问数据库的要严格的多，基于通用的做法，一般采用几道门槛来处理这些问题，一个是基于CA证书的HTTPS进行数据传输，防止数据被，具体可以参考《<aid="cb_post_title_url"href="http://www.cnblogs.com/wuhuacong/p/4814708.html">WebAPI应用支持HTTPS的经验总结</a>》；二是采用参数加密签名方式传递，对传递的参数，增加一个加密签名，在服务器端验证签名内容，防止被篡改；三是对一般的接口访问，都需要使用用户身份的token进行校验，只要检查通过才允许访问数据。

WebAPI接口的访问方式，大概可以分为几类：

1）一个是使用用户令牌，通过WebAPI接口进行数据访问。这种方式，可以有效识别用户的身份，为用户接口返回用户相关的数据，如包括用户信息维护、密码修改、或者用户联系人等与用户身份相关的数据。

2）一种是使用安全签名进行数据提交。这种方式提交的数据，URL连接的签名参数是经过安全一定规则的加密的，服务器收到数据后也经过同样规则的安全加密，确认数据没有被中途篡改后，再进行数据修改处理。因此我们可以为不同接入方式，如Web/APP/Winfrom等不同接入方式指定不同的加密秘钥，但是秘钥是双方约定的，并不在网络连接上传输，连接传输的一般是这个接入的AppID，服务器通过这个AppID来进行签名参数的加密对比，这种方式，类似微信后台的回调处理机制，它们就是经过这样的处理。

3）一种方式是提供公开的接口调用，不需要传入用户令牌、或者对参数进行加密签名的，这种接口一般较少，只是提供一些很常规的数据显示而已。

<imgsrc="http://images2015.cnblogs.com/blog/8867/201509/8867-20150925145439069-108490328.png"alt="">

基于上面的考虑，我们一般需要设计WebAPI对象的接口的时候，需要考虑安全性的原因，也就是需要增加更多的一些字段信息了。

如可以在增删改这些接口，除了传入token信息外（标识具体用户），也还是需要传入签名信息，如下接口所示。

<divclass="cnblogs_code">

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

<spanstyle="color:#808080;">///<spanstyle="color:#008000;">插入指定对象到数据库中

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"></summary>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="info"><spanstyle="color:#008000;">指定的对象<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><returns><spanstyle="color:#008000;">执行操作是否成功。<spanstyle="color:#808080;"></returns>

<spanstyle="color:#0000ff;">public<spanstyle="color:#0000ff;">virtualCommonResultInsert(Tinfo,<spanstyle="color:#0000ff;">stringtoken,<spanstyle="color:#0000ff;">stringsignature,<spanstyle="color:#0000ff;">stringtimestamp,<spanstyle="color:#0000ff;">stringnonce,<spanstyle="color:#0000ff;">stringappid)</pre>

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

</div>

上面接口，除了info对象为对象创建的参数外，其他几个参数，都是为了安全性的考虑而加入的。

在接口里面，我们就需要对用户的权限和签名信息进行校验，然后在进行下一步的数据处理，如果校验权限和参数完整性不通过，则会被拦截，不执行数据库的处理了。

<divclass="cnblogs_code">

<pre><spanstyle="color:#008000;">//<spanstyle="color:#008000;">如果用户token检查不通过，则抛出MyApiException异常。

<spanstyle="color:#008000;">//<spanstyle="color:#008000;">检查用户是否有权限，否则抛出MyDenyAccessException异常

<spanstyle="color:#0000ff;">base.CheckAuthorized(AuthorizeKey.InsertKey,token,signature,timestamp,nonce,appid);</pre>

</div>

<spanstyle="line-height:1.5;">除了这些对数据修改的特殊性接口，有时候我们还需要查找等类似的，不对数据产生变化的接口，只需要传入令牌即可，如下接口所示。

<divclass="cnblogs_code">

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

<spanstyle="color:#808080;">///<spanstyle="color:#008000;">查询数据库,检查是否存在指定ID的对象

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"></summary>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="id"><spanstyle="color:#008000;">对象的ID值<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><returns><spanstyle="color:#008000;">存在则返回指定的对象,否则返回Null<spanstyle="color:#808080;"></returns>

<spanstyle="color:#000000;">[HttpGet]

<spanstyle="color:#0000ff;">public<spanstyle="color:#0000ff;">virtualTFindByID(<spanstyle="color:#0000ff;">stringid,<spanstyle="color:#0000ff;">string<spanstyle="color:#000000;">token)

{

<spanstyle="color:#008000;">//<spanstyle="color:#008000;">如果用户token检查不通过，则抛出MyApiException异常。

<spanstyle="color:#008000;">//<spanstyle="color:#008000;">检查用户是否有权限，否则抛出MyDenyAccessException异常

<spanstyle="color:#0000ff;">base<spanstyle="color:#000000;">.CheckAuthorized(AuthorizeKey.ViewKey,token);

Tinfo=<spanstyle="color:#000000;">baseBLL.FindByID(id);

<spanstyle="color:#0000ff;">return<spanstyle="color:#000000;">info;

}</pre>

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

</div>

我们可以看到，上面还是会对token进行校验，不过少了很多签名所需的日期标识、随机数，完整性校验签名，应用ID等参数。

我们会根据用户的token进行解析，如果是正常的token并可以通过解析，那么获取对应用户的权限，判断是否可以进行下一步处理即可。

如果顺利通过，那么访问数据库，把所需的数据返回给调用者即可。

上面提到了用户令牌，用户令牌是一个类似实际生活的通行证，是通过用户名、密码等信息获取到的一个安全令牌，可以在多个接口进行传递的字符串，较少密码参数的传输，提高安全性。

这个用户令牌，一般由单独的接口产生，我们一般放到AuthController里面，这个控制器负责用户令牌相关的处理调用。

<divclass="cnblogs_code">

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

<spanstyle="color:#808080;">///<spanstyle="color:#008000;">注册用户获取访问令牌接口

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"></summary>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="username"><spanstyle="color:#008000;">用户登录名称<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="password"><spanstyle="color:#008000;">用户密码<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="signature"><spanstyle="color:#008000;">加密签名字符串<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="timestamp"><spanstyle="color:#008000;">时间戳<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="nonce"><spanstyle="color:#008000;">随机数<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><paramname="appid"><spanstyle="color:#008000;">应用接入ID<spanstyle="color:#808080;"></param>

<spanstyle="color:#808080;">///<spanstyle="color:#808080;"><returns></returns>

TokenResultGetAccessToken(<spanstyle="color:#0000ff;">stringusername,<spanstyle="color:#0000ff;">string<spanstyle="color:#000000;">password,

<spanstyle="color:#0000ff;">stringsignature,<spanstyle="color:#0000ff;">stringtimestamp,<spanstyle="color:#0000ff;">stringnonce,<spanstyle="color:#0000ff;">stringappid);</pre>

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

</div>

如下代码是具体业务模块里面，说明如何获取用于操作各种接口的token令牌的，当然，实际环境下，一般都会使用HTTPS协议获取数据了，演示代码如下所示。

<divclass="cnblogs_code">

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

<pre><spanstyle="color:#0000ff;">stringappid=<spanstyle="color:#800000;">"<spanstyle="color:#800000;">myapi_123456<spanstyle="color:#800000;">"<spanstyle="color:#000000;">;

<spanstyle="color:#0000ff;">stringappsecret=<spanstyle="color:#800000;">"<spanstyle="color:#800000;">mySecret_2856FB9DBE31<spanstyle="color:#800000;">"<spanstyle="color:#000000;">;

<spanstyle="color:#008000;">//<spanstyle="color:#008000;">使用API方式，需要在缓存里面设置特殊的信息

<spanstyle="color:#0000ff;">varurl=<spanstyle="color:#800000;">"<spanstyle="color:#800000;">http://localhost:9001/api/Auth/GetAccessToken<spanstyle="color:#800000;">"+GetSignatureUrl(appid,appsecret)+<spanstyle="color:#800000;">"<spanstyle="color:#800000;">&username=admin&password=<spanstyle="color:#800000;">"<spanstyle="color:#000000;">;

TokenResultresult=JsonHelper<TokenResult><spanstyle="color:#000000;">.ConvertJson(url);

<spanstyle="color:#0000ff;">if(result==<spanstyle="color:#0000ff;">null<spanstyle="color:#000000;">)

{

MessageDxUtil.ShowError(<spanstyle="color:#800000;">"<spanstyle="color:#800000;">获取授权信息出错，请检查地址是否正确！<spanstyle="color:#800000;">"<spanstyle="color:#000000;">);

}</pre>

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

</div>

由于WebAPI的调用，都是一种无状态方式的调用方式，我们通过token来传递我们的用户信息，这样我们只需要验证Token就可以了。JWT的令牌生成逻辑如下所示

<imgsrc="http://images0.cnblogs.com/blog2015/8867/201507/041143099993045.png"alt="">

令牌生成后，我们需要在WebAPI调用处理前，对令牌进行校验，确保令牌是正确有效的。

除了令牌的规则，还有一个是加密签名的处理，加密签名需要客户端和服务器端约定相同的秘钥，一般由WebAPI统一分配，然后传输的时候，客户端使用应用ID即可。

加密签名在服务端（WebAPI端）的验证流程参考微信的接口的处理方式，处理逻辑如下所示。

1）检查timestamp与系统时间是否相差在合理时间内，如10分钟。 2）将appSecret、timestamp、nonce三个参数进行字典序排序 3）将三个参数字符串拼接成一个字符串进行SHA1加密 4）加密后的字符串可与signature对比，若匹配则标识该次请求来源于某应用端，请求是合法的。

<h3>4、WebAPI基类设计分析</h3>

上面介绍了一些WebAPI控制器的职能，一般情况下，我们设计一个架构，还需要考虑到基类对象之间的重用关系，尽可能把接口抽象到基类层面上去，减少子类的开发代码量，降低维护成本。

基于上面的目的，参考了我的Web开发框架对于MVC控制器的设计思路

<imgstyle="width:867px;"src="http://images.cnitblog.com/blog/8867/201308/27120607-6ad84bc6809c4e0fa5d46150569ce385.png"alt="">

重新整理了WebAPI的控制器设计对象继承关系，如下所示：

<imgstyle="width:867px;"src="http://images2015.cnblogs.com/blog/8867/201509/8867-20150925152731178-729280110.png"alt="">

我们关键的核心就是设计好<spanstyle="color:#ff0000;">BusinessController<B,T>这个基类，里面设计了大量的通用接口，包括常规的增删改查、分页等处理接口，那么子类继承过来就可以直接拥有这些接口了，多方便啊。

<imgsrc="http://images2015.cnblogs.com/blog/8867/201509/8867-20150925155916662-113368530.png"alt="">

<imgstyle="width:867px;"src="http://images2015.cnblogs.com/blog/8867/201509/8867-20150925160136569-599589316.png"alt="">

<h3>5）WebAPI客户端（混合式Winform框架模块）的调用</h3>

上面介绍了WebAPI服务端平台的架构设计思路，通过上面的整合，我们减轻了开发重复功能的增删改查等基础功能的控制器代码，把这些接口抽象到接口里面即可实现。

但是我们具体应该如何遵循统一接口层Facade层的约定，然后统一调用WebAPI层的接口，做到悄无声息的从不同的数据源里面获取数据，展示在客户端里面呢。

上面我们分析到，整个混合式Winform框架模块里面，设计方面考虑了数据的获取方面：包含了直接从数据库获取，从WCF服务获取，以及WebAPI层的数据获取三部分内容，当然还可以有更多的数据接入模式（如WebService等），设计效果如下所示。

<imgsrc="http://images2015.cnblogs.com/blog/8867/201509/8867-20150925160534975-451803597.png"alt="">

所有的数据接入，我们在Facade层都统一到接口里面，客户端的调用也统一到了CallerFactory<T>这个泛型工厂里面，我们根据配置的不同，从不同的模块里面加载，从而实现不同数据源的动态获取了。

如下逻辑就是CallerFactory<T>泛型工厂类的加载逻辑，如下所示：

<imgsrc="http://images2015.cnblogs.com/blog/8867/201509/8867-20150925161033428-1524737338.png"alt="">

为了实现简化客户端调用的封装，我们一般也把常规的通用操作封装一下，如下是我原先混合框架里面的设计思路，里面的封装都是通过***Caller的类来进行数据的访问的，这些类统一实现一定关系的集成封装。

<imgsrc="http://images.cnitblog.com/blog/8867/201304/11201859-da8bc43ac3a940fab9e3f984543fe11d.png"alt="">

为了简化说明调用接口的处理，这里把上面的关系进行了简化，并加入了WebAPI的调用封装类的处理，几种访问模式下的调用端封装继承关系，如下设计图所示。

<imgsrc="http://images2015.cnblogs.com/blog/8867/201509/8867-20150925162813725-1174476473.png"alt="">

最底层的几个DictDataCaller分别是不同访问方式下的接口调用封装类，对于WebAPI来说，它的访问代码就是如下所示。

<divclass="cnblogs_code">

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

<pre><spanstyle="color:#0000ff;">public<spanstyle="color:#0000ff;">override<spanstyle="color:#0000ff;">boolDelete(<spanstyle="color:#0000ff;">string<spanstyle="color:#000000;">key)

{

<spanstyle="color:#0000ff;">varaction=<spanstyle="color:#800000;">"<spanstyle="color:#800000;">Delete<spanstyle="color:#800000;">"<spanstyle="color:#000000;">;

<spanstyle="color:#0000ff;">stringurl=GetPostUrlWithToken(action)+<spanstyle="color:#0000ff;">string.Format(<spanstyle="color:#800000;">"<spanstyle="color:#800000;">&id={0}<spanstyle="color:#800000;">"<spanstyle="color:#000000;">,key);

CommonResultresult=JsonHelper<CommonResult><spanstyle="color:#000000;">.ConvertJson(url);

<spanstyle="color:#0000ff;">return<spanstyle="color:#000000;">result.Success;

}

<spanstyle="color:#0000ff;">publicList<DictDataInfo>FindByTypeID(<spanstyle="color:#0000ff;">string<spanstyle="color:#000000;">dictTypeId)

{

<spanstyle="color:#0000ff;">varaction=<spanstyle="color:#800000;">"<spanstyle="color:#800000;">FindByTypeID<spanstyle="color:#800000;">"<spanstyle="color:#000000;">;

<spanstyle="color:#0000ff;">stringurl=GetTokenUrl(action)+<spanstyle="color:#0000ff;">string.Format(<spanstyle="color:#800000;">"<spanstyle="color:#800000;">&dictTypeId={0}<spanstyle="color:#800000;">"<spanstyle="color:#000000;">,dictTypeId);

List<DictDataInfo>result=JsonHelper<List<DictDataInfo>><spanstyle="color:#000000;">.ConvertJson(url);

<spanstyle="color:#0000ff;">return<spanstyle="color:#000000;">result;

}</pre>

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

</div>

第一个Delete函数是基类提供的，这里进行了重写，一般情况下，不需要处理就具备增删改分页等基础接口的调用封装了。

由于所有的实现类都实现继承了统一的Facade层的接口，那么统一调用也就是自然而然的事情了。所以在Winform界面里面，所有的调用都是使用CallerFactory<T>进行了统一的处理，数据访问的不同不影响接口的处理，三种方式的数据调用，统一都是下面的代码进行处理。

<divclass="cnblogs_code">

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

<pre><spanstyle="color:#ff0000;">DictDataInfoinfo=CallerFactory<IDictDataService>.Instance.FindByID(ID);

<spanstyle="color:#0000ff;">if(info!=<spanstyle="color:#0000ff;">null<spanstyle="color:#000000;">)

{

SetInfo(info);

<spanstyle="color:#0000ff;">try<spanstyle="color:#000000;">

{

<spanstyle="color:#ff0000;">boolsucceed=CallerFactory<IDictDataService>.Instance.Update(info,info.ID.ToString());

<spanstyle="color:#0000ff;">return<spanstyle="color:#000000;">succeed;

}

<spanstyle="color:#0000ff;">catch<spanstyle="color:#000000;">(Exceptionex)

{

LogTextHelper.Error(ex);

MessageDxUtil.ShowError(ex.Message);

}

}</pre>

<divclass="cnblogs_code_toolbar"><spanclass="cnblogs_code_copy"><atitle="复制代码"><imgsrc="http://common.cnblogs.com/images/copycode.gif"alt="复制代码"></a></div>

</div>

http://www.cnblogs.com/wuhuacong/p/4838220.html

</div></div>

winform webapi 应用架构架构框架 api接口 web应用框架

安科网

Web API应用架构在Winform混合框架中的应用（1）

lijinjinxuzhou

lijinjinxuzhou

相关推荐

DevExpress Winform开发：解决旧UI要求的新方法

C# winform 界面美化技巧（扁平化设计）（转）

在Winform开发框架中，利用DevExpress控件实现数据的快速录入和选择

C# Winform 运行异常 CefSharp.core.dll 找不到指定的模块

Winform业务层如何调用UI层的代码

【WinForm】杂记（2）：C#操作SQLite数据库（总结）

【WinForm】杂记（1）：C#读取DB文件

C# Winform更换Webbrowse为WebKit

《Dotnet9》系列-开源C# Winform控件库强力推荐

winform操作windows系统计算器

关于c#winform用sharpGL(OpenGL)绘制不出图形，绘制窗口是个黑框的坑

RDIFramework.NET敏捷开发框架WinForm新增通用附件管理控件

Web API应用架构在Winform混合框架中的应用（1）

WinForm下正则表达式的应用

C＃WinForm App自动更新(Live Update)架构

C＃WinForm App自动更新(Live Update)架构

[转]WinCE中C#WinForm利用Web Service查询数据库

Winform开发框架之通用附件管理模块

Winform开发框架演化历史

C# WinForm控件开发的调试设计时行为

lijinjinxuzhou