C# WEBAPI Token+数字签名(上)

最新推荐文章于 2024-09-17 08:04:33 发布
最新推荐文章于 2024-09-17 08:04:33 发布
阅读量4.3k 收藏 18
点赞数 5
分类专栏: MVCAPI 文章标签: c# api mvc 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaochong2006/article/details/108870073
版权

之前写了一个接口程序,只是利用VS自带的登录验证获取Token,然后根据调用接口的时候带入Token即可。这种方式比较简单,对方调用也很简单,但是安全性上是不够的,所以根据网上查找和自己需求就自己写了一份Token+数字签名的WebAPI程序

1、因为要自行验证数字签名,所以我们就必须利用到一个程序筛选类:ActionFilterAttribute
此类在WebMVC和WEBAPI中调用是不一样的,我会后面会写一篇详解,以下都是API下代码


```csharp
using System.Threading;
using System.Threading.Tasks;
using System.Web.Http.Controllers;

namespace System.Web.Http.Filters
{
    //
    // 摘要:
    //     表示所有操作筛选器特性的基类。
    [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method, Inherited = true, AllowMultiple = true)]
    public abstract class ActionFilterAttribute : FilterAttribute, IActionFilter, IFilter
    {
        //
        // 摘要:
        //     初始化 System.Web.Http.Filters.ActionFilterAttribute 类的新实例。
        protected ActionFilterAttribute();

        //
        // 摘要:
        //     在调用操作方法之后发生。
        //
        // 参数:
        //   actionExecutedContext:
        //     操作执行的上下文。
        public virtual void OnActionExecuted(HttpActionExecutedContext actionExecutedContext);
        public virtual Task OnActionExecutedAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken);
        //
        // 摘要:
        //     在调用操作方法之前发生。
        //
        // 参数:
        //   actionContext:
        //     操作上下文。
        public virtual void OnActionExecuting(HttpActionContext actionContext);
        public virtual Task OnActionExecutingAsync(HttpActionContext actionContext, CancellationToken cancellationToken);
    }
}

2、重写此类调用前和调用后方法,可以随时监控所有调用我们程序的请求。创建一个类ApiSecurityFilter继承ActionFilterAttribute重写OnActionExecutingAsyncOnActionExecutedAsync方法

public class ApiSecurityFilter: ActionFilterAttribute
    {
		 /// <summary>
        ///   在调用操作方法之前发生。
        /// </summary>
        /// <param name="actionContext"></param>
        /// <param name="cancellationToken"></param>
        /// <returns></returns>
        public override Task OnActionExecutingAsync(HttpActionContext actionContext, CancellationToken cancellationToken)
        {
            AuthenticationModel<JObject> Auth = new AuthenticationModel<JObject>();
			return base.OnActionExecutingAsync(actionContext, cancellationToken);
		}
		  /// <summary>
        /// 在请求执行完后 记录请求的数据以及返回数据( 在调用操作方法之后发生。)
        /// </summary>
        /// <param name="actionExecutedContext"></param>
        /// <param name="cancellationToken"></param>
        /// <returns></returns>
        public override Task OnActionExecutedAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)
        {
          
            return base.OnActionExecutedAsync(actionExecutedContext, cancellationToken);

        }
	}

3、完成此类编写后,要在我们的启动配置类里进行配置。在App_Start文件下的WebApiConfig.csRegister方法中加入我们刚刚写的过滤器

			//过滤器
            config.Filters.Add(new ApiSecurityFilter());

4、可以随便在外面的一个WEBAPI中进行测试,任何一个接口调用都会触发我们配置的过滤器类,并能获取传入和传出的参数信息,因此过滤器大部分用于日志记录。

5、想好我们需要如何增加我们接口方式的安全性,我当时想了两种

  • A:我们可以利用自行编写Token值获取,然后加上随机数,时间戳,参数然后加密进行数字签名。
  • B:利用服务器公钥,然后配属客户端私钥,然后客户端利用私钥对时间戳,随机数和参数进行加密,后台利用公钥对其进行解密。
    两者模式基本相同,唯一区别就是Token自行获取,时间控制过期,然后利用Token值参入进行加密,Token不泄露就不会出现安全问题。后者是利用公钥私钥加解密,逻辑基本相同,公钥私钥非对称加解密可能稍微安全点,但是原理基本是相同的,所以我们就说第一种吧。

6*、在外面的WEBAPI中创建Get_Token方法,自行编写自由Token值序列,我就直接拿GUID当Token值了。具体实现直接看代码,就是生成一个序列,然后声明一个Token类,设定id,过期时间,Token序列值,然后放入缓存中,很简单。

 		/// <summary>
        /// 获取Token
        /// </summary>
        /// <param name="userId"></param>
        /// <returns></returns>
        [Route("Get_Token"), HttpGet]
        public AuthenticationModel<JObject> Get_Token(string userId)
        {
            AuthenticationModel<JObject> Auth = new AuthenticationModel<JObject>();

            //判断参数是否合法
            if (string.IsNullOrEmpty(userId))
            {
                Auth.Status = 0;
                Auth.Message = "用户ID不正确";
                return Auth;
            } 

            //插入缓存
            Token token = (Token)HttpRuntime.Cache.Get(userId);
            if (HttpRuntime.Cache.Get(userId) == null)
            {
                token = new Token();
                token.userId = userId;
                token.SignToken = Guid.NewGuid().ToString();
                token.ExpireTime = DateTime.Now.AddMinutes(3);
                HttpRuntime.Cache.Insert(token.userId.ToString(), token, null, token.ExpireTime, TimeSpan.Zero);
            }
            //返回token信息
            JObject _paramsObj = JObject.FromObject(token);
            Auth.Status = 1;
            Auth.data = _paramsObj;

            return Auth;
        }

注意一下,就是HttpRuntime.Cache是缓存,重新生成或者其他操作就会丢失。

7*、在我们刚刚写的过滤器中**OnActionExecutingAsync**增加对调用接口的控制了,不能所有的接口调用都让通过吧,这样就失去了监控的意义。

  • A:首先,我们要确定签名是那些字段进行加密,我采用UserId,时间戳,随机数,参数整合成一个字符串,在进行字母升序排序然后MD5加密形成数字签名。
    所以在OnActionExecutingAsync方法中,我们就必须判断,UserId,时间戳,随机数,数字签名是否正常上传,如果没有上传就应该拒绝其进行访问。
    B:但是,我们的Get_Token方法是不会上传这些参数的,所以它要单独拎出来。
		/// <summary>
        ///   在调用操作方法之前发生。
        /// </summary>
        /// <param name="actionContext"></param>
        /// <param name="cancellationToken"></param>
        /// <returns></returns>
        public override Task OnActionExecutingAsync(HttpActionContext actionContext, CancellationToken cancellationToken)
        {
            AuthenticationModel<JObject> Auth = new AuthenticationModel<JObject>();

            var request = actionContext.Request;
            string method = request.Method.Method;//GE,POST,PUT...

            string userid = String.Empty;//userid
            string timestamp = string.Empty;//提交时间
            string nonce = string.Empty;//随机数
            string signature = string.Empty;//签名

            var Parameter = actionContext.ActionArguments;//参数列表

            var controller = actionContext.ControllerContext.Controller;
            if (request.Headers.Contains("userid")) {
                userid = HttpUtility.UrlDecode(request.Headers.GetValues("userid").FirstOrDefault());
            }
            if (request.Headers.Contains("timestamp"))
            {
                timestamp = HttpUtility.UrlDecode(request.Headers.GetValues("timestamp").FirstOrDefault());
            }
            if (request.Headers.Contains("nonce"))
            {
                nonce = HttpUtility.UrlDecode(request.Headers.GetValues("nonce").FirstOrDefault());
            }
            if (request.Headers.Contains("signature"))
            {
                signature = HttpUtility.UrlDecode(request.Headers.GetValues("signature").FirstOrDefault());
            }

            //GetToken方法不需要进行签名验证
            if (actionContext.ActionDescriptor.ActionName == "Get_Token")
            {
                return base.OnActionExecutingAsync(actionContext, cancellationToken);
            }
        }

8*、判断各参数是否存在后,就要判断各参数是否是正常传入不是被别人截取直接传入了。

  • A:判断各参数是否有效
   if (string.IsNullOrEmpty(userid)  || string.IsNullOrEmpty(timestamp) || string.IsNullOrEmpty(nonce) || string.IsNullOrEmpty(signature))
    {
        Auth.Status = 0;
        Auth.Message = "无权访问";

        HttpResponseMessage httpResponseMessage = new HttpResponseMessage { Content = new StringContent(JsonConvert.SerializeObject(Auth), System.Text.Encoding.UTF8, "application/json") };

        actionContext.Response = httpResponseMessage;
        return base.OnActionExecutingAsync(actionContext, cancellationToken);
    }
  • B:判断Token是否有效
  		Token token = (Token)HttpRuntime.Cache.Get(userid);
        string signtoken = string.Empty;
        if (token == null)
        {
            Auth.Status = 3;
            Auth.Message = "Token验证失败";
            HttpResponseMessage httpResponseMessage = new HttpResponseMessage { Content = new StringContent(JsonConvert.SerializeObject(Auth), System.Text.Encoding.UTF8, "application/json") };
            actionContext.Response = httpResponseMessage;
            return base.OnActionExecutingAsync(actionContext, cancellationToken);
        }
        else
        {
            signtoken = token.SignToken.ToString();//Token值
        }
  • C:判断时间戳是否有效
  			double ts1 = 0;
            double ts2 = (DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0)).TotalMilliseconds;//获取当前日期总毫秒数(时间戳)
            bool timespanvalidate = double.TryParse(timestamp, out ts1);
            double ts = ts2 - ts1;
            bool falg = ts > int.Parse("3000") * 1000;
            if (falg || (!timespanvalidate))
            {
                Auth.Status = 2;
                Auth.Message = "接口访问已过期";

                HttpResponseMessage httpResponseMessage = new HttpResponseMessage { Content = new StringContent(JsonConvert.SerializeObject(Auth), System.Text.Encoding.UTF8, "application/json") };
                actionContext.Response = httpResponseMessage;
                return base.OnActionExecutingAsync(actionContext, cancellationToken);
            }

9*、当所有参数判断完毕后,就必须要判断签名是否有效了,GET和POST有区别,Get参数是通过URL后缀传输,所以可以将参数进行签名。POST由于API关系参数要么是一个参数,要么就是一个实体对象参数,所以如果要加密就必须将客户端传入的参数进行JSON字符序列化。当然也可以不加密参数,GET请求可以多参数也可以实体对象参数,同样的理解即可,根据需求走。
由于我们采取参数按照ascii升序进行排序,单一参数不需要排序,我们只讲GET多参数请求方法。
下面就是对参数进行序列化排序方法。

		//第一步:取出所有get参数
        IDictionary<string, string> parameters = new Dictionary<string, string>();
        for (int f = 0; f < form.Count; f++)
        {
             string key = form.Keys[f];
             parameters.Add(key, form[key]);
        }

        // 第二步:把字典按Key的字母顺序排序
        IDictionary<string, string> sortedParams = new SortedDictionary<string, string>(parameters);
        IEnumerator<KeyValuePair<string, string>> dem = sortedParams.GetEnumerator();

        // 第三步:把所有参数名和参数值串在一起
        StringBuilder query = new StringBuilder();
        while (dem.MoveNext())
        {
             string key = dem.Current.Key;
             string value = dem.Current.Value;
             if (!string.IsNullOrEmpty(key))
             {
                 query.Append(key).Append(value);
             }
        }
        data = query.ToString();

10*、然后就需要做一个数字签名判断方法了

		/// <summary>
        /// 签名方法
        /// </summary>
        /// <param name="timeStamp">时间戳</param>
        /// <param name="nonce">随机数</param>
        /// <param name="userId">用户ID</param>
        /// <param name="jsonData">参数Json</param>
        /// <param name="signature">传入的签名</param>
        /// <returns></returns>
        private static bool GetSignature(string timeStamp, string nonce, string userId, string signtoken, string jsonData,string signature)
        {
            var md5 = System.Security.Cryptography.MD5.Create();
            //拼接签名数据
            var signStr = timeStamp + nonce + userId + signtoken + jsonData;
            //将字符串中字符按升序排序
            var sortStr = string.Concat(signStr.OrderBy(c => c));
            //需要将字符串转成字节数组
            byte[] buffer = Encoding.Default.GetBytes(sortStr);
            //使用MD5加密
            var md5Val = md5.ComputeHash(buffer);
            //把二进制转化为小写的32进制
            StringBuilder result = new StringBuilder();
            foreach (var c in md5Val)
            {
                result.Append(c.ToString("X2"));
            }
           string strSignature= result.ToString().ToLower();
            if (strSignature == signature) {
                return true;
            }
            else {
                return false;
            }
           
        }

11*、调用此参数判断是否签名有效即可。

	bool result = GetSignature(timestamp, nonce, userid, signtoken, data, signature);
     if (!result)
     {
         Auth.Status = 4;
         Auth.Message = "接口签名验证失败";
         HttpResponseMessage httpResponseMessage = new HttpResponseMessage { Content = new 		StringContent(JsonConvert.SerializeObject(Auth), System.Text.Encoding.UTF8, "application/json") 						};
         actionContext.Response = httpResponseMessage;
    }
    return base.OnActionExecutingAsync(actionContext, cancellationToken);

12*、客户端完成调用即可(JS里进行调用,是无法确保Token不被盗取的,不管你如何加密都不行,除非你自己制作混乱代码和防止别人对你的JS进行获取)。

下一章我会写出客户端调用方法(JS)

瓢虫2006
关注
专栏目录
Webapi添加token认证功能
kejin_F的博客
05-07 3635
1.创建控制台应用程序 在 “文件” 菜单上,选择"项目"。 从安装的 “视觉C#对象” 下,选择 " Windows 桌面",然后选择 "控制台应用(.net Framework) "。 将项目命名为 “OwinSelfhostSample”,然后选择 “确定”。 2.添加 Web API 和 OWIN 包 从 “工具” 菜单中,选择 " NuGet 包管理器",然后选择 “程序包管理器控制台”。 在“Package Manager Console”窗口中,输入以下命令: Install-Package
WebApi安全性 使用TOKEN+签名验证
xiaosachuchen的专栏
06-18 750
首先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制),防止请求被恶意攻击 为了保证数据在通信时的安全性,我们可以采用TOKEN+参数签名的方式来进行相关验证。 比如说我们客户端需要查询产品信息这个操作来进行分析,客户端点击查询按钮==》调用服务器端api进行查询==..
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 4137
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
.NET Web API 校验 Token 和参数的几种方式
最新发布
dotNET跨平台
09-17 97
在现代Web开发中,安全性和数据完整性是至关重要的。对于使用.NET Web API的开发者来说,校验Token(如JWT)和请求参数是保障API安全和正确性的重要手段。本文将介绍几种在.NET Web API中进行Token和参数校验的方式,并提供相应的示例代码。1. 使用中间件校验Token 中间件是一种能够在请求处理管道中拦截和处理HTTP请求和响应的组件。通过创建一个自定义中间件,我们可以...
WebApi_Token
08-06
WEBAPI+TOKEN验证 token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api 3.服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息
WebApi+Token+数字签名.zip
09-30
C# webapi编写Token+数字签名前后台代码。主要用于自我学习记录。所以根据网上查找和自己需求就自己写了一份Token+数字签名WebAPI程序
WebApi Token+ 数字签名认证源码
04-10
在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token数字签名认证的关键概念和实现步骤。 首先,让我们理解什么是Token。在Web开发中,Token通常指的是JSON Web Tokens (JWT) 或者Access Tokens。...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
本技术介绍将深入探讨如何使用C#实现令牌验证机制,并结合Nginx集群与SSL证书来增强WebAPI的安全性。 首先,让我们理解什么是令牌验证。令牌验证是一种身份验证方法,它通过在客户端和服务器之间交换一个唯一的、不...
WebApi 后台获取token
weixin_34273481的博客
11-11 2845
前台传递一个token,后台不知道怎么获取那么不是很悲剧吗。 $(function () { $.ajax({ url: "/api/TokensTest/FirstCode", data: {}, type: "Get", dataType: "json", ...
WebAPI-getauthtoken:使用 C#web api 服务获取登录令牌的简单示例
06-02
WebAPI-getauthtoken 使用 C#web api 服务获取登录令牌的简单示例 我四处寻找这个简单的示例,说明如何通过使用 Angular JS 的相同方法获取访问令牌,但找不到一个,所以我把这个放在一起。
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
WebApi 使用TOKEN+签名验证
whu_xxie的专栏
04-19 1035
1.基于Token令牌 + 签名的验证思路梳理 客户端首先向服务端请求Token令牌,客户获取Token后计算对应的签名。签名由时间戳、随机数、Token令牌、参数拼接字符串四部分组成,客户端发送请求的时候需要带上对应的身份ID、时间戳、随机数和计算出的签名。 服务端过滤器拦截请求,验证请求参数的合法性、是否过期,Token令牌是否合法、是否过期,全部通过后重新计算签名,与传递...
MVC WebApi 实现Token验证
piaochong2006的博客
09-17 2041
本来想自己写一个 C# mvc WebApi 实现Token验证,然后发现我的语言组织能力和代码理解能力不如帖子上很多大神,所以,就借鉴下,自己增加自己的解读 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等。 1:安装所需的NuG
(NetFramework)WebApi Token+ 数字签名认证
a13204147231的专栏
04-10 1682
首先说一下具体思路和认证的过程: 1.客户端登录成功后生成令牌token,并在服务器保存token,然后返回给客户端。 2.客户端用时间戳+随机数+数据=数字签名,通过加密算法生成数字签名。 3.将token、用户ID、时间戳、随机数、数据、数字签名,保存到http的header中,通过接口提交给服务器。 4.由服务器验证访问的合法性。包括:token的有效性和是否过期、屏蔽爬虫、数字签名的真实性。也可加入系统级判断:是否有权限访问。 一、客户端登录 服务器端API接口方法: public
*** Core Web API中实现Token验证的全方位指南
这些信息可以被验证和信任,因为它们是数字签名的。JWT可以使用HMAC算法或者是RSA的公钥/私钥对进行签名。使用JWT进行Token验证,通常包括以下几个步骤: 1. 用户登录:用户在客户端提交用户名和密码到服务器进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值