API接口验证

最新推荐文章于 2024-06-26 13:57:42 发布
最新推荐文章于 2024-06-26 13:57:42 发布
阅读量556 收藏
点赞数
文章标签: json 测试 移动开发
原文链接:http://www.cnblogs.com/zhangxiaolei521/p/6222790.html
版权

一.前言

  权限验证在开发中是经常遇到的,通常也是封装好的模块,如果我们是使用者,通常指需要一个标记特性或者配置一下就可以完成,但实际里面还是有许多东西值得我们去探究。有时候我们也会用一些开源的权限验证框架,不过能自己实现一遍就更好,自己开发的东西成就感(逼格)会更高一些。进入主题,本篇主要是介绍接口端的权限验证,这个部分每个项目都会用到,所以最好就是也把它插件化,放在Common中,新的项目就可以直接使用了。基于web的验证之前也写过这篇,有兴趣的看一下ASP.NET MVC Form验证

二.简介

  对于我们系统来说,提供给外部访问的方式有多种,例如通过网页访问,通过接口访问等。对于不同的操作,访问的权限也不同,如:

      1. 可直接访问。对于一些获取数据操作不影响系统正常运行的和数据的,多余的验证是没有必要的,这个时候可以直接访问,例如获取当天的天气预报信息,获取网站的统计信息等。

      2. 基于表单的web验证。对于网站来说,有些网页需要我们登录才可以操作,http请求是无状态,用户每次操作都登录一遍也是不可能的,这个时候就需要将用户的登录状态记录在某个地方。基于表单的验证通常是把登录信息记录在Cookie中,Cookie每次会随请求发送到服务端,以此来进行验证。例如博客园,会把登录信息记录在一个名称为.CNBlogsCookie的Cookie中(F12可去掉cookie观察效果),这是一个经过加密的字符串,服务端会进行解密来获取相关信息。当然虽然进行加密了,但请求在网络上传输,依据可能被窃取,应对这一点,通常是使用https,它会对请求进行非对称加密,就算被窃取,也无法直接获得我们的请求信息,大大提高了安全性。可以看到博客园也是基于https的。

  3. 基于签名的api验证。对于接口来说,访问源可能有很多,网站、移动端和桌面程序都有可能,这个时候就不能通过cookie来实现了。基于签名的验证方式理论很简单,它有几个重要的参数:appkey, random,timestamp,secretkey。secretkey不随请求传输,服务端会维护一个 appkey-secretkey 的集合。例如要查询用户余额时,请求会是类似:/api/user/querybalance?userid=1&appkey=a86790776dbe45ca9032fc59bbc351cb&random=191&timestamp=14826791236569260&sign=09d72f207ba8ca9c0fd0e5f8523340f5 

参数解析:

  1.appkey用于给服务端找到对应的secretkey。有时候我们会分配多对appkey-secretkey,例如安卓分一对,ios分一对。

  2.random、timestamp是为了防止重放攻击的(Repaly Attacks),这是为了避免请求被窃取后,攻击者通过分析后破解后,再次发起恶意请求。参数timestamp时间戳是必须的,所谓时间戳是指从1970-1-1至当前的总秒数。我们规定一个时间,例如20分钟,超过20分钟就算过期,如果当前时间与这个时间戳的间隔超过20分钟,就拒绝。random不是必须的,但有了它也可以更好防止重放攻击,理论上来说,timestamp+random应该是唯一的,这个时候我们可以将其作为key缓存在redis,如果通过请求的timestamp+random能在规定时间获取到,就拒绝。这里还有个问题,客户端与服务端时间不同步怎么办?这个可以要求客户端校正时间,或者把过期时间调大,例如30分钟才算过期,再或者可以使用网络时间。防止重放攻击也是很常见的,例如你可以把手机时间调到较早前一个时间,再使用手机银行,这个时候就会收到error了。

     3.sign签名是通过一定规则生成,在这里我用sign=md5(httpmethod+url+timestamp+参数字符串+secretkey)生成。服务端接收到请求后,先通过appkey找到secretkey,进行同样拼接后进行hash,再与请求的sign进行比较,不一致则拒绝。这里需要注意的是,虽然我们做了很多工作,但依然不能阻止请求被窃取;我把timestamp参与到sign的生成,因为timestamp在请求中是可见的,请求被窃取后它完全可以被修改并再次提交,如果我们把它参与到sign的生成,一旦修改,sign也就不一样了,提高了安全性。参数字符串是通过请求参数拼接生成的字符串,目的也是类似的,防止参数被篡改。例如有三个参数a=1,b=3,c=2,那么参数字符串=a1b3c2,也可以通过将参数按值进行排序再拼接生成参数字符串。

  使用例子,最近刚好在使用友盟的消息推送服务,可以看到它的签名生成规则如下,与我们介绍是类似的。

三.编码实现

   这里还是通过Action Filter来实现的,具体可以看通过源码了解ASP.NET MVC 几种Filter的执行过程介绍。通过上面的简介,这里的代码虽多,但很容易理解了。ApiAuthorizeAttribute 是标记在Action或者Controller上的,定义如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public  class  ApiAuthorizeAttribute : ApiBaseAuthorizeAttribute
{
     private  static  string [] _keys =  new  string [] {  "appkey" "timestamp" "random" "sign"  };
 
     public  override  void  OnAuthorization(AuthorizationContext context)
     {
         //是否允许匿名访问
         if  (context.ActionDescriptor.IsDefined( typeof (AllowAnonymousAttribute),  false ))
         {
             return ;
         }
         HttpRequestBase request = context.HttpContext.Request;
         string  appkey = request[_keys[0]];
         string  timestamp = request[_keys[1]];
         string  random = request[_keys[2]];
         string  sign = request[_keys[3]];
         ApiStanderConfig config = ApiStanderConfigProvider.Config;
         if ( string .IsNullOrEmpty(appkey))
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.MissAppKey);
             return ;
         }
         if  ( string .IsNullOrEmpty(timestamp))
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.MissTimeStamp);
             return ;
         }
         if  ( string .IsNullOrEmpty(random))
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.MissRamdon);
             return ;
         }
         if ( string .IsNullOrEmpty(sign))
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.MissSign);
             return ;
         }
         //验证key
         string  secretKey =  string .Empty;
         if (!SecretKeyContainer.Container.TryGetValue(appkey,  out  secretKey))
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.KeyNotFound);
             return ;
         }
         //验证时间戳(时间戳是指1970-1-1到现在的总秒数)     
         long  lt = 0;
         if  (! long .TryParse(timestamp,  out  lt))
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.TimeStampTypeError);
             return ;
         }
         long  now = DateTime.Now.Subtract( new  DateTime(1970, 1, 1)).Ticks;
         if  (now - lt >  new  TimeSpan(0, config.Minutes, 0).Ticks)
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.PastRequet);
             return ;
         }
         //验证签名
         //httpmethod + url + 参数字符串 + timestamp + secreptkey
         MD5Hasher md5 =  new  MD5Hasher();
         string  parameterStr = GenerateParameterString(request);
         string  url = request.Url.ToString();
         url = url.Substring(0, url.IndexOf( '?' ));
         string  serverSign = md5.Hash(request.HttpMethod + url + parameterStr + timestamp + secretKey);
         if (sign != serverSign)
         {
             SetUnAuthorizedResult(context, ApiUnAuthorizeType.ErrorSign);
             return ;
         }
     }
 
     private  string  GenerateParameterString(HttpRequestBase request)
     {
         string  parameterStr =  string .Empty;
         var  collection = request.HttpMethod ==  "GET"  ? request.QueryString : request.Form;
         foreach ( var  key  in  collection.AllKeys.Except(_keys))
         {
             parameterStr += key + collection[key] ??  string .Empty;
         }
         return  parameterStr;
     }
}

  下面会对这段核心代码进行解析。ApiStanderConfig包装了一些配置信息,例如上面我们说到的过期时间是20分钟,但我们希望可以在模块外部进行自定义。所以通过一个ApiStanderConfig来包装,通过ApiStanderConfigProvider来注册和获取。ApiStanderConfig和ApiStanderConfigProvider的定义如下

1
2
3
4
public  class  ApiStanderConfig
{
     public  int  Minutes {  get set ; }
}  
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
public  class  ApiStanderConfigProvider
{
     public  static  ApiStanderConfig Config {  get private  set ; }
 
     static  ApiStanderConfigProvider()
     {
         Config =  new  ApiStanderConfig()
         {
             Minutes = 20
         };
     }
 
     public  static  void  Register(ApiStanderConfig config)
     {
         Config = config;
     }
}

  前面介绍到服务端会维护一个appkey-secretkey的集合,这里通过一个SecretKeyContainer实现,它的Container就是一个字典集合,定义如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
public  class  SecretKeyContainer
{
     public  static  Dictionary< string string > Container {  get private  set ; }
 
     static  SecretKeyContainer()
     {
         Container =  new  Dictionary< string string >();
     }
 
     public  static  void  Register( string  appkey,  string  secretKey)
     {
         Container.Add(appkey, secretKey);
     }
 
     public  static  void  Register(Dictionary< string string set )
     {
         foreach ( var  key  in  set )
         {
             Container.Add(key.Key, key.Value);
         }
     }
}

  可以看到,上面有很多的条件判断,并且错误会有不同的描述。所以我定义了一个ApiUnAuthorizeType错误类型枚举和DescriptionAttribute标记,如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
public  enum  ApiUnAuthorizeType
{
     [Description( "时间戳类型错误" )]
     TimeStampTypeError = 1000,
 
     [Description( "appkey缺失" )]
     MissAppKey = 1001,
 
     [Description( "时间戳缺失" )]
     MissTimeStamp = 1002,
 
     [Description( "随机数缺失" )]
     MissRamdon = 1003,
 
     [Description( "签名缺失" )]
     MissSign = 1004,
 
     [Description( "appkey不存在" )]
     KeyNotFound = 1005,
 
     [Description( "过期请求" )]
     PastRequet = 1006,
 
     [Description( "错误的签名" )]
     ErrorSign = 1007
}
1
2
3
4
5
6
7
8
9
public  class  DescriptionAttribute : Attribute
{
     public  string  Description {  get set ; }
 
     public  DescriptionAttribute( string  description)
     {
         Description = description;
     }
}

  当验证不通过时,会调用SetUnAuthorizedResult,并且请求不需再进行下去了。这个方法是在基类中实现的,如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
public  class  ApiBaseAuthorizeAttribute : AuthorizeAttribute
{
     protected  virtual  void  SetUnAuthorizedResult(AuthorizationContext context, ApiUnAuthorizeType type)
     {
         UnAuthorizeHandlerProvider.ApiHandler(context, type);
         HandleUnauthorizedRequest(context);
     }
 
     protected  override  void  HandleUnauthorizedRequest(AuthorizationContext filterContext)
     {
         if  (filterContext.Result !=  null )
         {
             return ;
         }
         base .HandleUnauthorizedRequest(filterContext);
     }
}

  可以看到,它通过一个委托根据错误类型处理结果,UnAuthorizeHandlerProvider定义如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
public  class  UnAuthorizeHandlerProvider
{
     public  static  Action<AuthorizationContext, ApiUnAuthorizeType> ApiHandler {  get private  set ; }
 
     static  UnAuthorizeHandlerProvider()
     {
         ApiHandler = ApiUnAuthorizeHandler.Handler;
     }
 
     public  static  void  Register(Action<AuthorizationContext, ApiUnAuthorizeType> action)
     {
         ApiHandler = action;
     }
}   

  它默认通过ApiUnAuthorizeHandler.Handler来处理结果,但也可以在模块外部进行注册。默认的处理为ApiUnAuthorizeHandler.Handler,如下

1
2
3
4
5
6
7
8
9
10
public  class  ApiUnAuthorizeHandler
{
     public  readonly  static  Action<AuthorizationContext, ApiUnAuthorizeType> Handler = (context, type) =>
     {
         context.Result =  new  StanderJsonResult()
         {
             Result = FastStatnderResult.Fail(type.GetDescription(), ( int )type)
         };
     };
}

  它的操作就是返回一个json结果。type.GetDescription是一个扩展方法,目的就是获取DescriptionAttribute的描述信息,如下

1
2
3
4
5
6
7
8
9
10
11
12
13
public  static  class  EnumExt
{
     public  static  string  GetDescription( this  Enum e)
     {
         Type type = e.GetType();
         var  attributes = type.GetField(e.ToString()).GetCustomAttributes( typeof (DescriptionAttribute),  false as  DescriptionAttribute[];
         if (attributes.IsNullOrEmpty())
         {
             return  null ;
         }
         return  attributes[0].Description;
     }
}

  这里还涉及到几个json相关对象,但它们应该不影响阅读。StanderResult, FastStanderResult, StanderJsonResult,有兴趣也可以看一下,在实际项目中有很多地方都可以用到它们,可以标准和简化许多操作。如下

四.例子

  我们在程序初始化时注册appkey-secretkey,如

1
2
3
//注册appkey-secretkey
string [] appkey1 = ConfigurationReader.GetStringValue( "appkey1" ).Split( ',' );
SecretKeyContainer.Container.Add(appkey1[0], appkey1[1]);

  下面的使用就很简单了,标记需要验证的接口。如

1
2
3
4
5
[ApiAuthorize]
public  ActionResult QueryBalance( int  userId)
{
     return  Json( "查询成功" );
}

  我们在网页输入链接测试:如

      1.输入过期时间会提示{"IsSuccess":false,"Data":null,"Description":"过期请求","Code":1006}

      2.输入错误签名会提示{"IsSuccess":false,"Data":null,"Description":"错误的签名","Code":1007}

  只有所有验证都成功时才可以访问。

  当然实际项目的验证可能会更复杂一些,条件也会更多一些,不过都可以在此基础上进行扩展。如上面所说,这种算法可以保证请求是合法的,而且参数不被篡改,但还是无法保证请求不被窃取,要实现更高的安全性还是需要使用https。

转载于:https://www.cnblogs.com/zhangxiaolei521/p/6222790.html

baipai8449
关注
Spring MVC Interceptor 拦截器 api接口 简单token验证
edward9145的专栏
01-23 1万+
用Spring MVC做api接口,在请求中加入token做简单的验证 服务器: 拼接token之外所有参数,最后拼接token_key,做MD5,与token参数比对 public class APIInterceptor extends HandlerInterceptorAdapter { @Override public boolean preHandle(Ht
APP接口验证
01-30
支持接口的GET/POST验证,按规范填写自己的接口地址及相关参数即可获取接口返回内容。另外接口请求内容,有需要也可以拿过去用。
分享api接口验证模块
weixin_30721899的博客
12-26 223
一.前言   权限验证在开发中是经常遇到的,通常也是封装好的模块,如果我们是使用者,通常指需要一个标记特性或者配置一下就可以完成,但实际里面还是有许多东西值得我们去探究。有时候我们也会用一些开源的权限验证框架,不过能自己实现一遍就更好,自己开发的东西成就感(逼格)会更高一些。进入主题,本篇主要是介绍接口端的权限验证,这个部分每个项目都会用到,所以最好就是也把它插件化,放在Common中,新的项目...
API接口的安全设计验证:ticket,签名,时间戳,2024年最新已拿offer
2401_83974199的博客
04-13 389
1.用户成功登陆站点后,服务器会返回一个token,用户的任何操作都必须带了这个参数,可以将这个参数直接放到header里。2.客户端用需要发送的参数和token生成一个签名sign,作为参数一起发送给服务端,服务端在用同样的方法生成sign进行检查是否被篡改。3.但这依然存在问题,可能会被进行恶意无限制访问,这时我们需要引入一个时间戳参数,如果超时即是无效的。4.服务端需要对token,签名,时间戳进行验证,只有token有效,时间戳未超时,签名有效才能被放行。
API接口的安全验证
hello PHP的博客
06-25 435
http://blog.csdn.net/li741350149/article/details/62887524
API接口參數校驗
劉季知的博客
03-25 140
Controller層代碼 @PostMapping(value = "/message") // http://localhost/message ResponseEntity<String> post(@RequestBody ApiRequ apiRequ) { ValidationResult result = ValidationUtils.validateEntity(apiRequ); boolean isError = result.isHasErrors
ASP.NET MVC API 接口验证的示例代码
10-19
ASP.NET MVC API 接口验证是确保只有经过授权的客户端能够访问特定的API资源的关键步骤。在本文中,我们将深入探讨如何在ASP.NET MVC框架下实现API接口验证,通过示例代码来帮助理解这一过程。 首先,让我们了解...
API接口验证基类(thinkphp)
05-27
本篇将详细讲解基于ThinkPHP的API接口验证基类及其应用。 一、API接口验证的重要性 API接口验证是确保数据安全和系统稳定的关键步骤。它防止未经授权的访问,保护用户隐私,防止恶意攻击,如DDoS攻击或数据篡改。...
PHP开发API接口签名生成及验证操作示例
01-21
本文实例讲述了PHP开发API接口签名生成及验证操作。分享给大家供大家参考,具体如下: 开发过程中,我们经常会与接口打交道,有的时候是调取别人网站的接口,有的时候是为他人提供自己网站的接口,但是在这调取的...
PHP开发api接口安全验证操作实例详解
10-15
首先,API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算...
java api接口签名验证失败_简单API接口签名验证
weixin_42371226的博客
02-23 4350
前言后端在写对外的API接口时,一般会对参数进行签名来保证接口的安全性,在设计签名算法的时候,主要考虑的是这几个问题:1. 请求的来源是否合法2. 请求参数是否被篡改3. 请求的唯一性我们的签名加密也是主要针对这几个问题来实现设计基于上述的几个问题,我们来通过已下步骤来实现签名加密:1. 通过分配给APP对应的app_key和app_secret来验证身份2. 通过将请求的所有参数按照字母先后顺序...
api接口数据-验证-整理
qq_34886696的博客
04-07 565
在Thinkphp官网发布 发布日期: 2019/10/18 但是不知道为什么,有时候,我好不容易写了一篇文章要发布,发送成功了, 但是在文章中心就是看不到,所以决定将部分文章转移至csdn 主要是为了方便自己查看 整理一下,前端向接口请求数据时的验证:比如我写了一个文章列表数据接口,那么我需要验证哪些规则,由此,我想了一下,除开签名验证,大概就只有ssl协议,白名单[ip,域名,url],黑名单...
API接口签名验证
qq_25046827的博客
03-01 4805
但是这样的验证方式存在有一定的问题,如果token被泄露被他人获取,那么就会有非法请求的风险。只需要服务端与客户端约定一套密钥,客户端在发送请求时拼接上私钥后使用单向加密算法进行加密,服务端收到后使用相同的私钥和加密算法进行加密后验证是否与前端客户端传递的值相同。以上方式虽然解决了非法用户请求和请求参数被篡改的问题,但是还存在着重复使用请求参数伪造二次请求的隐患。为了防止这种情况的发生,我们验证接收到的数据与客户端发送的数据一致,且让接口只能被客户端请求。
API接口签名校验
weixin_30511107的博客
11-06 132
在开发app中,我们经常要为app提供接口。但是为了保证数据的安全,我们通常会对接口的参数进行加密。 1.不验证接口api api接口请求,"http://www.xx.com/getUser/?a=1&b=2" 这样的接口中非常粗暴。恶意者可以通过修改参数去拉取数据。对数据不安全。增加api接口额外的调用。 2.带签名的接口调用 给参数的appid和appserc...
API接口文档及验证详细教程
m0_61377301的博客
09-07 529
• Flask是一款流行的Python实现的Web开发微框架; • Swagger是一款Restful接口的文档在线自动生成+功能测试功能软件; • 通过swagger能够清晰、便捷地调试符合Restful规范的API; • 在flask框架中使用的swagger即为flasgger,flasgger是flask支持的swagger UI,便于调试使用flask框架搭建的web api接口; --安装 • pip install -U setuptools • pip ...
API接口测试规范总结
最新发布
人生不怕起点低,就怕没追求
06-26 598
一、参数校验 数据类型校验: 确保传入参数的数据类型与接口文档中定义的类型一致。 校验参数类型,如字符串、整数、浮点数等,是否满足要求。 数据长度校验:
api接口验证种类
hugejihu9的专栏
10-11 3604
1、接口验证种类及外部访问方式种类:      (1)可直接访问类型:对于一些获取数据操作不影响系统正常运行的和数据的,多余的验证是没有必要的,这个时候可以直接访问,例如获取当天的天气预报信息,获取网站的统计信息等。    (2)给予表单的web验证:对于网站来说,有些网页需要我们登录才可以操作,http请求是无状态,用户每次操作都登录一遍也是不可能的,这个时候通常就需要将用户的登录状态记录...
接口校验
mengml_smile的博客
05-18 702
接口校验 参考 参考链接 参考链接-自定义校验 优势 省去大量的校验代码 技术选型 jakarta.validation-api @Validated(spring-context包的)和@Valid结合使用 @Validated和@Valid区别 Spring Validation验证框架对参数的验证机制提供了@Validated(Spring’s JSR-303规范,是标准JSR-303的一个变种),javax提供了@Valid(标准JSR-303规范),配合BindingResult(方法参数写上自动
API 授权与验证
D0126_的博客
10-14 749
API
ASP.NET MVC API接口验证详解及示例
本文档详细介绍了如何在ASP.NET MVC中实现API接口验证,特别关注于Web API的配置和安全性。首先,作者提到项目中的一个留言消息接口,该接口需要确保只有授权系统允许的请求才能访问,以保护数据的完整性和隐私。 1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值