api接口签名认证的一种方式

最新推荐文章于 2024-02-25 11:30:00 发布
最新推荐文章于 2024-02-25 11:30:00 发布
阅读量462 收藏 1
点赞数
文章标签: json
原文链接:http://www.cnblogs.com/ericli-ericli/p/8193106.html
版权

请求方

try
            {
                using (var client = new HttpClient())
                {
                    StringContent content = new StringContent(strParam);//参数序列化后,放入StringContent
                    content.Headers.ContentType = new MediaTypeHeaderValue("application/json");//设置type
            //放入head的名字可以随意设置(和接收方一直就可以),值需要单独生成,最主要就是auth_param
                    client.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("auth名称", auth_param);
                    var response = client.PostAsync(FlightQueryUrl, content).Result;
                    if (response.IsSuccessStatusCode)
                    {
                        string responseText = response.Content.ReadAsStringAsync().Result;
                        if (string.IsNullOrEmpty(responseText))
                        {
                            return null;
                        }
                        return responseText ;
                    }
                    return null;
                }
            }
            catch (Exception ex)
            {
                return null;
            }
auth_param的计算方式,需要和接收方的一致:
//认证key
        private const string key = "认证key****#####$$$$$$@@@!!!!";

        //认证秘钥
        private const string secrect = "认证秘钥****#####$$$$$$@@@!!!!";

        /// <summary>
        /// 获取接口签名
        /// </summary>
        /// <param name="param">原始的请求参数</param>
        /// <param name="url">请求地址</param>
        /// <param name="requestId">请求Id,接入方自定义,最好用来区分每个请求</param>
        /// <returns></returns>
        public static string GetFlightSign(string param,string url,string requestId)
        {   
            string timeStamp = GetTimeStamp();//获取时间戳
            url = System.Web.HttpUtility.UrlEncode(url.ToLower());

            /*
             * {认证key}{原始请求参数}{调用方自定义requestId}{时间戳}{原始URL}{认证秘钥}(被调用方也是如此)
             * 替换掉字符串中的换行与空格(被调用方也是如此)
             */
            string source = $"{key}{param}{requestId}{timeStamp}{url}{secrect}".Replace(Environment.NewLine, string.Empty).Replace("\n", "").Replace(" ", "");
            string hmac = GetMd5(source);

            //auth_param 身份验证参数字符串
            //{认证key}{}{调用方自定义requestId}{时间戳}  顺序需要更具被调用方设置
            return $"{key}:{hmac}:{requestId}:{timeStamp}";
        }

        /// <summary>
        /// 字符串编码
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        private static string GetMd5(string str)
        {
            if (string.IsNullOrEmpty(str))
                return str;
            var sb = new StringBuilder(32);
            var md5 = MD5.Create();
            var output = md5.ComputeHash(Encoding.UTF8.GetBytes(str));
            for (int i = 0; i < output.Length; i++)
                sb.Append(output[i].ToString("X").PadLeft(2, '0'));
            return sb.ToString();
        }
        /// <summary>  
        /// 获取时间戳  
        /// </summary>  
        /// <returns></returns>  
        private static string GetTimeStamp()
        {
            var initTime = new DateTime(1970, 1, 1, 0, 0, 0, 0);
            TimeSpan ts = DateTime.UtcNow - initTime;
            return Convert.ToInt64(ts.TotalSeconds).ToString();
        }

 接收方

public class ReqAuthorizeAttribute:System.Web.Http.AuthorizeAttribute
{
        /// <summary>
        /// 进行验证
        /// </summary>
        /// <param name="actionContext"></param>
        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            if (actionContext.Request.Headers.Authorization != null)
            {
                //获取请求的 认证信息
                string info = (actionContext.Request.Headers.Authorization.Parameter).Decrypt();
          //todo:采用上面的方式,再次进行获取,然后比较
                //也可以再次做调用次数统计等


                //判断认证信息是否正确
                if (string.Equals(info, secret))
                {
                    IsAuthorized(actionContext);
                }
                else
                {
                    HandleUnauthorizedRequest(actionContext);
                }
            }
            else
            {
                HandleUnauthorizedRequest(actionContext);
            }
        }

        /// <summary>
        /// 验证不通过 返回401
        /// </summary>
        /// <param name="actionContext"></param>
        protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            var challengeMsg = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
            challengeMsg.Headers.Add("WWW-Authenticate", "Basic");
            throw new System.Web.Http.HttpResponseException(challengeMsg);
        }

}

 

转载于:https://www.cnblogs.com/ericli-ericli/p/8193106.html

anghuob40177
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API接口对接生成签名与验证签名
11-01
API接口生成签名与验证签名思路,本文只提供生成签名的思路和验证签名的思路,不喜勿碰
API签名验证
08-01
API接口签名验证是一种重要的安全措施,它主要用于保护HTTP RESTful API接口不被未经授权的第三方滥用。在公网环境中,API接口如果不进行适当的保护,可能会遭受各种恶意攻击,如数据篡改、中间人攻击等。签名验证...
API 接口签名
qq_43649799的博客
03-22 2458
API 接口签名
App开放接口api安全性—Token签名sign的设计与实现
weixin_30364325的博客
07-10 229
前言 在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些 接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目 中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后...
API签名方式
leekyyy18的博客
02-24 1529
前言 现在越来越多的公司以 API 的形式对外提供服务,这些 API 接口大多暴露在公网上,所以安全性就变的很重要了。最直接的风险如下: 非法使用 API 服务。(收费接口非法调用) 恶意攻击和破坏。(数据篡改、DOS) 因此需要设计一些接口安全保护的方式来增强接口安全,在运输层可添加 SSL 证书,上 HTTPS,在应用层主要是通过一些加密逻辑来实现。目前主流的两种是在 HTTP Header 里加认证信息和 API 签名。 HTTP 简单身份认证 在 HTTP 请求的 Header 中添加认证
简单的接口签名认证
Fiang-As-Dre的博客
11-12 665
public void addInterceptors(InterceptorRegistry registry) { //接口签名认证拦截器,该签名认证比较简单,实际项目中可以使用Json Web Token或其他更好的方式替代。 if (!"dev".equals(env)) { //开发环境忽略签名认证 registry.addInterceptor(new Ha...
Api接口TOKEN+签名安全.zip
11-26
"Api接口TOKEN+签名安全.zip"这个压缩包文件很显然是为了探讨如何在Web API中实现安全的鉴权和验证机制。在这个场景下,`TOKEN`和`签名`是两个关键概念,它们在保护API免受未授权访问、防止数据篡改等方面起着重要...
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
API接口安全策略文档
06-29
API接口应只接受经过认证的应用程序的请求,这通常涉及到分配唯一的APP ID和Secret,使得服务端可以通过APP ID查找出对应的Secret,以此验证请求来源的合法性。 其次,为了防止篡改攻击,即请求在传输过程中被修改...
WebApi 使用TOKEN+签名验证
10-17
在Web开发中,API的安全性至关重要,特别是对于公开暴露的WebApi接口,它们通常处理敏感数据和业务逻辑。"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token)验证和签名机制,以确保只有授权的...
API接口签名验证
weixin_30872337的博客
08-23 809
系统从外部获取数据时,通常采用API接口调用的方式来实现。请求方和接口提供方之间的通信过程,有这几个问题需要考虑: 请求参数是否被篡改; 请求来源是否合法; 请求是否具有唯一性; 今天跟大家探讨一下主流的通信安全解决方案。 参数签名方式 这种方式是主流。它要求调用方按照约定好的算法生成签名字符串,作为请求的一部分,接口提供方验算签名即可知是否合法。步骤通...
Java API接口签名认证
wFitting的博客
11-13 4996
Java API接口签名认证 我们在进行程序开发的时候,一定会开发一些API接口,供他人访问。当然这些接口中有可能是开放的,也有可能是需要登录才能访问的,也就是需要Token鉴权成功后才可以访问的。那么问题来了,我们这些开放的接口,难道不是一直暴露在外吗?该如何来保证这些接口的安全性呢? 本编文章,将通过API接口签名认证方式来解决以上问题。 什么是接口签名认证 这个可以看成,比如,我申请了微信公众号或者小程序,公众号的基本信息中就会包含AppId和AppSecret两个数据。这两个数据需要我们用户进行保
简记接口签名认证
z_junyu的博客
12-26 354
简记接口签名认证案例说明不做签名存在的问题简单签名解决问题存在问题改进签名解决问题存在问题 案例说明 客户端:client 后台接口api client通过调用api获取用户信息 不做签名 api-url: http://localhost:8080/user?arg1=value1&amp;amp;arg2=value2 存在的问题 请求参数被篡改,会有问题 只要截获api-url,就可以不停的通...
开放平台设计之接口签名认证
ybb_ymm的专栏
03-28 1715
当前时代,数据是王道!当我们自己的平台有了足够大的数据量,就有可能诞生一个开放平台宫第三方分析、使用。那么我们怎么去实现对外部调用接口的控制与鉴权呢?这是我们今天的重点——接口签名认证!!!
API接口或H5接口签名认证
有何不可的博客
07-05 1280
Android对API接口或H5接口进行签名认证,有效防范接口攻击、数据泄露等安全问题。
WEB API 接口签名sign验证入门与实战
最新发布
wangluoanquan111的博客
02-25 1441
加密:在网络上传输的原始数据(明文)经过加密算法加密后形成(密文)传输,防止被窃取解密:将密文还原成原始数据接口签名:使用用户名,密码,时间戳和所有的排过序之后的参数组合起来,再加密得到的字符串,字符串是唯一的有权访问接口的鉴权码用户名:appKey密码:appSecret。
api接口不再裸奔——签名认证
漫漫长途,终有回转;余味苦涩,终有回甘
02-17 1642
在第三方调用api接口的时候,可能会存在以下几个问题 请求身份是否合法? 请求参数是否被篡改? 请求是否唯一? 解决上述三个问题分为如下流程 1、合法性,通过请求许可来进行判断 为开发者分配AccessKey(开发者标识,确保唯一)和SecretKey(用于接口加密,确保不易被穷举,生成算法不易被猜测) 目前广泛使用token和AccessKey作用一样,都是第三方合法性的认证标示 ...
API 接口签名验签
热门推荐
javaTalk
06-23 1万+
目录 一、为什么需要 API 接口签名 二、API 接口签名验签实现机制 一、为什么需要 API 接口签名 对外开放的 API 接口都会面临一些安全问题,例如伪装攻击、篡改攻击、重放攻击以及数据信息泄漏的风险。利用 API 接口签名能方便的防范这些安全问题和风险。在设计 API 接口签名时主要考虑以下几点: 保证请求数据正确 当请求中的某一个字段的值变化时,原...
API签名接口设计
A169388842的博客
06-22 829
说明:在实际的业务中,难免会跟第三方系统进行数据的交互与传递,那么如何保证数据在传输过程中的安全呢(防窃取)?除了https的协议之外,能不能加上通用的一套算法以及规范来保证传输的安全性呢? 下面我们就来讨论下常用的一些API设计的安全方法,可能不一定是最好的,有更牛逼的实现方式,但是这篇是我自己的经验分享. 本章目录: token简介 timestamp 简介 sign 简介 防止重复提交 使用流程 代码分享 一:token 简介 Token:访问令牌access token, 用于接口中, 用于标识
一码统管公共平台API接口详解
- 二维码:一种可以存储和传递信息的二维条形码。 - 鉴权认证:验证调用API的用户或应用程序的身份和权限的过程。 二、接口规范说明 2.1 接口承载协议 平台支持HTTP和HTTPS两种协议,后者用于保证数据传输的安全性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值