(NetFramework)WebApi Token+ 数字签名认证

最新推荐文章于 2023-05-08 16:07:17 发布
最新推荐文章于 2023-05-08 16:07:17 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: webapi 文章标签: jquery javascript c# asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13204147231/article/details/115563655
版权

首先说一下具体思路和认证的过程:

1.客户端登录成功后生成令牌token,并在服务器保存token,然后返回给客户端。

2.客户端用时间戳+随机数+数据=数字签名,通过加密算法生成数字签名。

3.将token、用户ID、时间戳、随机数、数据、数字签名,保存到http的header中,通过接口提交给服务器。

4.由服务器验证访问的合法性。包括:token的有效性和是否过期、屏蔽爬虫、数字签名的真实性。也可加入系统级判断:是否有权限访问。

一、客户端登录

客户端通过jquery对API接口发出请求:

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <title></title>
    <script src="Scripts/jquery-3.4.1.min.js"></script>
    <script type="text/javascript">

        //早期浏览器版本跨域设置
        jQuery.support.cors = true;
        var token = "";
        function login() {
            $.ajax({
                type: "get",
                url: "http://localhost:44338/api/Login?uid=123&pwd=123&usertype=user",
                success: function (data, status) {
                    token = data.Data;
                    alert(data.Info);
                },
                error: function (e) {
                    console.log(e)
                }
            });
        }
    </script>
</head>

服务器端API接口方法:

public class LoginController : AnonyController
    {
        [HttpGet]
        public IHttpActionResult Login(string uid,string pwd,string usertype)
        {
            ResultMsg result = null;
            if (uid=="123"&&pwd=="123")
            {
                string token = Guid.NewGuid().ToString();
                //token失效时间
                var timeout = DateTime.Now.AddDays(1);
                //添加token
                CacheManager.TokenInsert(token, uid, usertype, timeout);
                result = new ResultMsg { StatusCode = 1, Info = "登录成功",Data=token };
            }
            else
            {
                result = new ResultMsg { StatusCode = 0, Info = "登录失败,账号或密码错误",Data=null };
            }
            return Json<ResultMsg>(result);
        }
}

 

/// <summary>
/// 添加令牌
/// </summary>
/// <param name="token">令牌</param>
/// <param name="uuid">用户ID凭证</param>
/// <param name="userType">用户类别</param>
/// <param name="timeout">过期时间</param>
public static void TokenInsert(string token, object uuid, string userType, DateTime timeout)
{
    CacheInit();
     // token不存在则添加
    if (!TokenIsExist(token))
    {
        DataTable dt = (DataTable)HttpRuntime.Cache["PASSPORT.TOKEN"];
        DataRow dr = dt.NewRow();
        dr["token"] = token;
        dr["uuid"] = uuid;
        dr["userType"] = userType;
        dr["timeout"] = timeout;
        dt.Rows.Add(dr);
        HttpRuntime.Cache["PASSPORT.TOKEN"] = dt;
        //保存进数据库
        //tempCacheService.Add_TempCaches(new List<TempCacheDTO_ADD>()
        //{
        //    new TempCacheDTO_ADD()
        //    {
        //        EndTime = timeout,
        //        UserAccountId = new Guid(uuid.ToString()),
        //        UserToken = new Guid(token),
        //        UserType = (UserType)Enum.Parse(typeof(UserType),userType)
        //    }
        //});
    }
    // token存在则更新过期时间
   else
    {
        TokenTimeUpdate(token, timeout);
        //更新数据库
        //tempCacheService.Update_TempCaches(new Guid(token), timeout);
    }
}

完成了对登录的请求、服务器token的保存、返回给客户端token操作。

 二、客户端生成数字签名

生成数字签名需要:时间戳、随机数、页面提交的数据。时间戳:用于防止爬虫重复提交。页面提交的数据:用于防止爬虫篡改数据,随机数算是一个变量因子。客户端与服务器端生成数字签名的算法要一致。客户端数字签名需要与服务器的数字签名对比来识别提交的数据是否被篡改。

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8" />
    <title></title>
    <script src="jquery-3.4.1.min.js"></script>
    <script src="jquery.md5.js"></script>
    <script type="text/javascript">

//早期浏览器版本跨域设置
jQuery.support.cors = true;
        var token = "";
        var uid = "123";
        function login() {
            $.ajax({
                type: "get",
                url: "http://localhost:44338/api/Login?uid=" + uid + "&pwd=123&usertype=user",
                success: function (data, status) {
                    token = data.Data;
                    alert(data.Info);
                },
                error: function (e) {
                    console.log(e)
                }
            });
        }

        function Getdata() {

            //数据
            var jsonparam = { name1: "数据1", name2: "数据2", name3: "数据3" };

            var url = "http://localhost:44338/api/send/Getdata";

            GetAPI(jsonparam, url);
        }

        function GetAPI(jsonparam, url) {
            //时间戳
            var timestamp = new Date().getTime().toString();
            //随机数
            var nonce = Math.round(Math.random() * 100000000).toString();
            //拼接参数
            var builder = [];
            var query = [];
            for (var val in jsonparam) {
                builder.push(val);
                builder.push(jsonparam[val]);

                query.push(val + "=");
                query.push(encodeURIComponent(jsonparam[val]) + "&");
            }
            var data = builder.join('');
            var querystring = query.join('');
            querystring = querystring.substring(0, querystring.length - 1);

            //数字签名
            var signatureStr = encodeURIComponent(timestamp + nonce + uid + token + data).toUpperCase();
            var signature = $.md5(signatureStr).toUpperCase();

            $.ajax({
                type: "get",
                url: url + "?" + querystring,
                beforeSend: function (request) {
                    request.setRequestHeader("timestamp", timestamp);
                    request.setRequestHeader("nonce", nonce);
                    request.setRequestHeader("signature", signature);
                    request.setRequestHeader("uid", uid);
                    request.setRequestHeader("token", token);
                },
                success: function (data, status) {
                    alert(data);
                },
                error: function (e) {
                    console.log(e)
                }
            });

        }
    </script>
</head>
<body>
    <input id="Button1" type="button" onclick="login();" value="登录" />
    <input id="Button3" type="button" onclick="Getdata();" value="GET请求数据" />
</body>

</html>

三、服务器端验证合法性

在调用请求的API接口之前,系统首先进入ActionFilterAttribute类进行拦截,所以我们定义一个类继承此类。可以作为接口拦截器来判断http请求的合法性。上服务器代码如下:

/// <summary>
    /// 调用接口过滤器
    /// </summary>
    public class ApiSecurityAttribute : ActionFilterAttribute
    {
        /// <summary>
        /// 判断http请求的合法性
        /// </summary>
        /// <param name="actionContext"></param>
        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            ResultMsg resultMsg = null;
            var request = actionContext.Request;
            string method = request.Method.Method;
            string token = string.Empty,
                uid = String.Empty, 
                timestamp = string.Empty, 
                nonce = string.Empty, 
                signature = string.Empty;
            if (request.Headers.Contains("token"))
            {
                token = HttpUtility.UrlDecode(request.Headers.GetValues("token").FirstOrDefault());
            }
            if (request.Headers.Contains("uid"))
            {
                uid = HttpUtility.UrlDecode(request.Headers.GetValues("uid").FirstOrDefault());
            }
            if (request.Headers.Contains("timestamp"))
            {
                timestamp = HttpUtility.UrlDecode(request.Headers.GetValues("timestamp").FirstOrDefault());
            }
            if (request.Headers.Contains("nonce"))
            {
                nonce = HttpUtility.UrlDecode(request.Headers.GetValues("nonce").FirstOrDefault());
            }
            if (request.Headers.Contains("signature"))
            {
                signature = HttpUtility.UrlDecode(request.Headers.GetValues("signature").FirstOrDefault());
            }


            //判断请求头是否包含以下参数
            if (string.IsNullOrEmpty(token) || 
                string.IsNullOrEmpty(uid) || 
                string.IsNullOrEmpty(timestamp) || 
                string.IsNullOrEmpty(nonce) || 
                string.IsNullOrEmpty(signature))
            {
                resultMsg = new ResultMsg();
                resultMsg.StatusCode = (int)StatusCodeEnum.ParameterError;
                resultMsg.Info = StatusCodeEnum.ParameterError.GetEnumText();
                resultMsg.Data = "";
                actionContext.Response = HttpResponseExtension.ToJson(JsonConvert.SerializeObject(resultMsg));
                base.OnActionExecuting(actionContext);
                return;
            }

            //判断timespan是否有效
            double ts1 = 0;
            double ts2 = (DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0)).TotalMilliseconds;
            bool timespanvalidate = double.TryParse(timestamp, out ts1);
            double ts = ts2 - ts1;
            //超过两分钟重复提交无效
            bool falg = ts > int.Parse(WebSettingsConfig.UrlExpireTime) * 1000;//时间间隔2分钟
            if (falg || (!timespanvalidate))
            {
                resultMsg = new ResultMsg();
                resultMsg.StatusCode = (int)StatusCodeEnum.URLExpireError;
                resultMsg.Info = StatusCodeEnum.URLExpireError.GetEnumText();
                resultMsg.Data = "";
                actionContext.Response = HttpResponseExtension.ToJson(JsonConvert.SerializeObject(resultMsg));
                base.OnActionExecuting(actionContext);
                return;
            }


            //判断token是否有效
            Token mytoken = (Token)HttpRuntime.Cache.Get(token);
            string signtoken = string.Empty;
            if (!CacheManager.TokenIsExist(token))
            {
                resultMsg = new ResultMsg();
                resultMsg.StatusCode = (int)StatusCodeEnum.TokenInvalid;
                resultMsg.Info = StatusCodeEnum.TokenInvalid.GetEnumText();
                resultMsg.Data = "";
                actionContext.Response = HttpResponseExtension.ToJson(JsonConvert.SerializeObject(resultMsg));
                base.OnActionExecuting(actionContext);
                return;
            }

            bool result = false;
            switch (method)
            {
                case "POST":
                    Stream stream = HttpContext.Current.Request.InputStream;
                    string responseJson = string.Empty;
                    StreamReader streamReader = new StreamReader(stream);
                    result = SignExtension.ValidatePost(timestamp, nonce, uid, token, signature);
                    break;
                case "GET":
                    result = SignExtension.ValidateGet(timestamp,nonce,uid,token,signature);
                    break;
                default:
                    resultMsg = new ResultMsg();
                    resultMsg.StatusCode = 1;
                    resultMsg.Info ="";
                    resultMsg.Data =null;
                    actionContext.Response = HttpResponseExtension.ToJson(JsonConvert.SerializeObject(resultMsg));
                    base.OnActionExecuting(actionContext);
                    return;
            }

            if (!result)
            {
                resultMsg = new ResultMsg();
                resultMsg.StatusCode = (int)StatusCodeEnum.HttpRequestError;
                resultMsg.Info = StatusCodeEnum.HttpRequestError.GetEnumText();
                resultMsg.Data = "";
                actionContext.Response = HttpResponseExtension.ToJson(JsonConvert.SerializeObject(resultMsg));
                base.OnActionExecuting(actionContext);
                return;
            }
            else
            {
                base.OnActionExecuting(actionContext);
            }
        }
        /// <summary>
        /// 
        /// </summary>
        /// <param name="actionExecutedContext"></param>
        public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)
        {
            base.OnActionExecuted(actionExecutedContext);
        }
    }

文章相关源码下载地址:源码下载,希望对大家有帮助,谢谢。欢迎留言指正!!!

 

 

 

 

 

 

旭日升的博客园
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
.NET Framework 4.7.2 Web API基础框架搭建指南
m0_52522230的博客
05-16 1202
本项目集成了以下关键技术,以提升Web API的可用性、安全性和维护性:利用Swagger工具自动生成和维护API文档,为开发者提供清晰的接口定义和测试环境。:通过集成Log4Net日志框架,实现对系统运行时错误的记录与统计,便于问题的快速定位和解决。:采用Token-based身份验证机制,确保API调用的安全性和用户操作的合法性。:部署接口防刷策略,保护API免受恶意攻击和滥用,维护服务的稳定性。
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
.net core API 项目token验证(JWT方法)
gengjia_的博客
12-02 5255
API token验证笔记
WebApi+Token+数字签名.zip
09-30
C# webapi编写Token+数字签名前后台代码。主要用于自我学习记录。所以根据网上查找和自己需求就自己写了一份Token+数字签名WebAPI程序
WebApi 使用TOKEN+签名验证
whu_xxie的专栏
04-19 909
1.基于Token令牌 + 签名的验证思路梳理 客户端首先向服务端请求Token令牌,客户获取Token后计算对应的签名签名由时间戳、随机数、Token令牌、参数拼接字符串四部分组成,客户端发送请求的时候需要带上对应的身份ID、时间戳、随机数和计算出的签名。 服务端过滤器拦截请求,验证请求参数的合法性、是否过期,Token令牌是否合法、是否过期,全部通过后重新计算签名,与传递...
WebApi安全性 使用TOKEN+签名验证
xv7777666的博客
05-08 1926
(4) webapi接收到相应的请求,取出请求头中的timespan,nonc,staffid,signature 数据,根据timespan判断此次请求是否失效,根据staffid取出相应token判断token是否失效,根据请求类型取出对应的请求参数,然后服务器端按照同样的规则重新计算请求签名,判断和请求头中的signature数据是否相同,如果相同的话则是合法请求,正常返回数据,如果不相同的话,该请求可能被恶意篡改,禁止访问相应的数据,返回相应的错误信息。合法的请求则会返回对应的商品信息。
WebApiDemo(net6+swagger+jwt)
最新发布
05-31
WebApiDemo是一个基于.NET 6框架的Web API项目,它集成了Swagger用于接口文档的展示与测试,同时引入了JWT(JSON Web Token)进行身份验证和授权管理。这个项目是用Visual Studio 2022开发环境构建的,旨在提供一个...
webapi基于Owin中间件的oauth2.0身份认证
10-07
**基于Owin的WebAPI身份认证** 1. **安装Owin中间件**:在ASP.NET Web API项目中,首先需要通过NuGet包管理器安装`Microsoft.Owin.Security.OAuth`和`Microsoft.Owin.Security.Cookies`,这两个包分别用于OAuth2.0...
金蝶wise14.3 webAPI IIS配置说明.docx
03-28
"金蝶wise14.3 WebAPI IIS配置说明" Wise 产品的 IIS 配置说明是指在 Windows 服务器上安装和配置 IIS,以便顺利地运行 Wise 产品的 WebAPI。以下是 Wise 产品的 IIS 配置说明: 一、IIS 配置问题的判断 在 IIS7...
Lotty_Mngt_Api:NET核心的彩票管理
03-20
1. **jwt-token**:JSON Web Token (JWT) 是一种轻量级的身份验证机制,用于在分布式系统中安全地传输信息。在这个彩票管理API中,JWT可能被用来验证用户身份,确保只有授权的用户可以访问特定的彩票管理操作。 2. ...
C#数字签名
12-20
C#数字签名 控制台程序 采用两种方法……
WebApi Token+ 数字签名认证源码
04-10
代码包括客户端和服务器,前端jquery,后端C#代码。绕过验证与拦截器验证token数字证书
rest-framework生成token
08-03
使用rest-framework在django中创建和认证token,用于在移动端来认证和用户,本文通过自己编写模型来实现根据用户来生成token,在请求头中添加Authentication来进行认证,保持登录状态。可以直接使用,编写过程可以查看本人博客https://blog.csdn.net/lwuis_/article/details/107771954。
NET调用API源码
09-10
此外,对于使用OAuth2或JWT等授权机制的API,还需要处理认证过程,通常涉及到获取access_token并将其添加到请求头中。 除了HttpClient,对于SOAP Web服务,可以使用WCF客户端。首先需要生成服务代理类,这可以通过...
详解 WebAPI 签名机制
weixin_34177064的博客
12-01 299
首先,写这篇文章的原因是因为最近某一个项目中的接口被人为调用了,导致了数据库数据被串改。虽然是内部人无意点的,但还是引起了我的担忧,所有整理了下关于WebAPI的相关签名机制。   一、我们在开发接口时,有时候嫌麻烦就懒进行相关的验证或只进行一些简单的验证,这样客户端就可以直接调用:如   调用WebAPI接口:http://XXX.XXX.XX.XXX:8123/Token/GetTest?ID...
开放API接口签名验证,让你的接口从此不再裸奔
代码技巧
09-03 904
作者:Joker_Codingblog.csdn.net/qq_18495465/article/details/79248608接口安全问题请求身份是否合法?请求参数是否被篡改?请求是...
基于.Net Framework 4.0 Web API开发(4):ASP.NET Web APIs 基于令牌TOKEN验证的实现
ddufftimz66781829的博客
07-04 165
概述:   ASP.NET Web API 的好用使用过的都知道,没有复杂的配置文件,一个简单的ApiController加上需要的Action就能工作。但是在使用API的时候总会遇到跨域请求的问题, 特别各种APP万花齐放的今天,对API使用者身份角色验证是不能避免的(完全开发的API不需要对使用者身份角色进行管控,可以绕过),这篇文章就来谈谈基于令牌TOKEN身份验证的实现。 ...
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件中配置 Web API 路由: ```csharp public static void Register(HttpConfiguration config) { // 配置路由 config.MapHttpAttributeRoutes(); config.Routes.MapHttpRoute( name: "DefaultApi", routeTemplate: "api/{controller}/{id}", defaults: new { id = RouteParameter.Optional } ); // 配置 JWT 认证 ConfigureJwtAuth(config); } ``` 然后,我们需要在 `Web.config` 文件中配置 JWT 令牌的密钥和有效期: ```xml <appSettings> <add key="jwtSecret" value="my_secret_key" /> <add key="jwtExpireDays" value="7" /> </appSettings> ``` 接下来,我们需要创建一个 `JwtAuthManager` 类来管理 JWT 认证: ```csharp using System; using System.Collections.Generic; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Security.Claims; using System.Text; using Microsoft.IdentityModel.Tokens; public class JwtAuthManager : IJwtAuthManager { private readonly string _jwtSecret; private readonly double _jwtExpireDays; public JwtAuthManager(string jwtSecret, double jwtExpireDays) { _jwtSecret = jwtSecret; _jwtExpireDays = jwtExpireDays; } public string GenerateToken(IEnumerable<Claim> claims) { var key = Encoding.ASCII.GetBytes(_jwtSecret); var jwtToken = new JwtSecurityToken( claims: claims, expires: DateTime.Now.AddDays(_jwtExpireDays), signingCredentials: new SigningCredentials( new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature) ); var token = new JwtSecurityTokenHandler().WriteToken(jwtToken); return token; } } ``` 然后,我们需要创建一个 `JwtAuthAttribute` 特性,用于在控制器或操作方法上应用 JWT 认证: ```csharp [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)] public class JwtAuthAttribute : AuthorizeAttribute { public override void OnAuthorization(HttpActionContext actionContext) { try { var token = actionContext.Request.Headers.Authorization.Parameter; var jwtAuthManager = actionContext.ControllerContext.Configuration .DependencyResolver.GetService(typeof(IJwtAuthManager)) as IJwtAuthManager; var principal = jwtAuthManager.ValidateToken(token); Thread.CurrentPrincipal = principal; HttpContext.Current.User = principal; } catch (Exception) { actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized); return; } base.OnAuthorization(actionContext); } } ``` 最后,我们需要在 `ConfigureJwtAuth` 方法中注册依赖项并配置 JWT 认证: ```csharp private static void ConfigureJwtAuth(HttpConfiguration config) { var jwtSecret = ConfigurationManager.AppSettings["jwtSecret"]; var jwtExpireDays = double.Parse(ConfigurationManager.AppSettings["jwtExpireDays"]); var container = new UnityContainer(); container.RegisterType<IJwtAuthManager, JwtAuthManager>( new InjectionConstructor(jwtSecret, jwtExpireDays)); config.DependencyResolver = new UnityResolver(container); config.Filters.Add(new JwtAuthAttribute()); } ``` 现在,我们可以在控制器或操作方法上应用 `JwtAuth` 特性来启用 JWT 认证: ```csharp [RoutePrefix("api/products")] public class ProductsController : ApiController { [HttpGet] [Route("")] [JwtAuth] public IHttpActionResult Get() { // ... } [HttpGet] [Route("{id}")] [JwtAuth] public IHttpActionResult Get(int id) { // ... } [HttpPost] [Route("")] [JwtAuth] public IHttpActionResult Post([FromBody] Product product) { // ... } // ... } ``` 这样,我们就成功地基于 JWT 实现了 Token 签名认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旭日升的博客园

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值