.Net Core 中间件验签

于 2024-03-13 09:10:19 发布
阅读量761 收藏 9
点赞数 5
分类专栏: C# ASP.NETCore 文章标签: .netcore 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42455262/article/details/136656839
版权

文章目录

为什么是用中间件而不是筛选器?

在这里插入图片描述

为什么要用中间件验签,而不是筛选器去验签?
1、根据上图我们可以看到,中间件在筛选器之前,而筛选往下就是我们写业务逻辑代码的控制器了。这就大大增加了我们被攻击的风险。
2、用筛选器我们需要在每个控制器上都添加相应的标识,如果需要校验的sign的控制器多的话,就增加了很多不必要的工作量,和风险,如果某个控制器一时疏忽忘记加筛选器的话就有可能会被攻击。

筛选器一般都是当数据得到信任的时候做验证,例如用户登录了,做功能的权限判定,中间件判定非信任数据

代码实现

 /// <summary>
 /// 验签中间件
 /// </summary>
 public class SignatureMiddleware
 { /// <summary>
   /// 用户服务
   /// </summary>
     public UserService _userService { get; set; }
     private readonly RequestDelegate _next;
    /// <summary>
    /// 构造函数
    /// </summary>
    /// <param name="next">上下文</param>
    /// <param name="userService">用户服务注入</param>
     public SignatureMiddleware(RequestDelegate next, UserService userService)
     {
         _next = next;
         _userService = userService;
     }
     /// <summary>
     /// 管道委托
     /// </summary>
     /// <param name="context">请求</param>
     /// <returns></returns>
     public async Task Invoke(HttpContext context)
     {
         if (context.Request.Path.Value.StartsWith("/api/Order"))
         {
           
             // 验证签名
             var isValidSignature = await ValidateSignatureAsync(context);

             if (isValidSignature.Item1)
             {
                 
                 await _next(context);
             }
             else
             {
                 context.Response.StatusCode = 403;
                 await context.Response.WriteAsJsonAsync(AlwaysResult.Error(isValidSignature.Item2));
             }
         }
         else
         {
             await _next(context);
         }
     }

     private async Task<(bool, string)> ValidateSignatureAsync(HttpContext context)
     {
         context.Request.EnableBuffering();//倒带
         string Postbody = string.Empty;
         string sign = context.Request.Headers[GlobalContext.SystemConfig.OpenApiSettings.SignName].ParseToString();
         string timestamp = context.Request.Headers[GlobalContext.SystemConfig.OpenApiSettings.Timestamp].ParseToString();
         string appkey = context.Request.Headers[GlobalContext.SystemConfig.OpenApiSettings.Appkey].ParseToString();
         //先根据Appkey查询这个账户的状态:
             UserExtend user = await _userService.GetForm(appkey);
         if (user != null)
         {
             context.Request.Body.Position = 0;
             var readResult = await context.Request.BodyReader.ReadAsync();
             context.Request.BodyReader.AdvanceTo(readResult.Buffer.Start, readResult.Buffer.End);
              Postbody = Encoding.UTF8.GetString(readResult.Buffer.FirstSpan);
             string checksign = DESEncrypt.MD5(appkey + timestamp + Postbody + user.F_Account + appkey).ToLower();
             if (!checksign.Equals(sign))
             {
                 return (false, "验签失败!");
             }
             else
             {
                 context.Request.Body.Position = 0;//指针回拨
                 return (true, "");
                
             }
         }
         else
         {
             return (false, "非法签名!");
         }
     }



 }

技术要点

context.Request.EnableBuffering()

ValidateSignatureAsync 方法为验证签名方法,方法内第一行中的:context.Request.EnableBuffering();的作用是允许http请求中的body重复读取,如果不加这个方法当数据在验签过程中读取出来之后到了控制器时,控制器中获取到的body就会是空值

指针问题

context.Request.Body.Position ;
代码中用到了两次,第一次使用的时候是将指针指向body的第一位。当读取出数据之后,指针会由第一位移动到最后一位,因此我们在读取完验签完成之后需要把指针从最后以为拨回到第一位。如果没有验签通过也就没有那个必要了。

小结

在学习过程中我们不仅要知其然还要知其所以然。
中间件:用于过滤非信任数据
过滤器:用于判定受信任的安全的数据

或与且与或非
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ASP.NET Core中间件设置教程(7)
10-19
主要为大家详细介绍了ASP.NET Core中间件的设置教程,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
ASP.NET Core中间件计算Http请求时间示例详解
01-01
ASP.NET Core通过RequestDelegate这个委托类型来定义中间件 public delegate Task RequestDelegate(HttpContext context); 可将一个单独的请求委托并行指定为匿名方法(称为并行中间件),或在类中对其进行定义。可通过Use,或在Middleware类中配置要传递给委托执行的方法(参数类型HttpContext,返回值类型Task)。 public static IApplicationBuilder Use(this IApplicationBuilder app, Func<HttpContext, Func<Ta
Asp.Net Core中间件编写Demo
11-05
关于.Net Core中间件编写,做了一个简单的Demo,了解中间件封装使用的过程
中间件静态文件服务器,ASP .Net Core 中间件的使用(一):搭建静态文件服务器/访问指定文件...
weixin_30909873的博客
08-10 573
前言随着Asp .Net Core的升级迭代,很多开发者都逐渐倾向于.net core开发。.net core是一个跨平台的应用程序,可以在windows、Linux、macOS系统上进行开发和部署,是一个体系结构更精简模块化框架。生成WebUi和WebApi的统一使用场景;集成新的客户端框架和开发工作流;前后端分离为两个dll(view.dll,web.dll),更容易迭代,可以使用应用版本控制...
ASP.NET Core 入门教程 9、ASP.NET Core 中间件(Middleware)入门
weixin_30471065的博客
03-29 286
ASP.NET Core 入门教程 9、ASP.NET Core 中间件(Middleware)入门 原文:ASP.NET Core 入门教程 9、ASP.NET Core 中间件(Middleware)入门一、前言 1、本教程主要内容 ASP.NET Core 中间件介绍 通过自定义 ASP.NET Core 中间件实现请求验签 ...
如何给asp.net core写个中间件记录接口耗时
01-21
asp.net core 的运行是一个又一个的中间件来完成的,因此我们只需要定义自己的中间件,记录请求开始处理前的时间和处理结束后的时间,这里的中间件把请求的耗时输出到日志里了,你也可以根据需要输出到响应头或其他...
【ASP.NET编程知识】ASP.NET Core中间件计算Http请求时间示例详解.docx
05-15
【ASP.NET编程知识】ASP.NET Core中间件计算Http请求时间示例详解.docx
ASP.NET Core Web API之Token验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 5346
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
websocket发布后连不上服务器
技术分享博客
04-25 5506
websocket发布后连不上服务器 1、检查IIS是否支持WebSocket 像 IIS7就不支持webSocket ,如果支持也要检查WebSocket服务是否安装具体安装教程如下 方法一: 通过“管理”菜单或“服务器管理器”中的链接使用“添加角色和功能”向导。 选择“基于角色或基于功能的安装”。 选择“下一步” 。 选择适当的服务器(默认情况下选择本地服务器)。 选择“下一步” 。 在“角色”树中展开“Web 服务器 (IIS)”、然后依次展开“Web 服务器”和“应用程序开发” 。 选择“WebS
C# Newtonsoft.Json 高级用法
技术分享博客
07-22 5042
实体中定义的属性名可能不是自己想要的名称,但是又不能更改实体定义,这个时候可以自定义序列化字段名称。get;set;}(get;set;}=get;set;}"CName")get;set;}默认情况下对于实体里面的枚举类型系统是格式化成改枚举对应的整型数值,那如果需要格式化成枚举对应的字符怎么处理呢?Newtonsoft.Json也帮我们想到了这点,下面看实例现在改造一下,输出"Type"“Mail”get;set;arrBString="是,否".Split(',')...
两个List集合做数据对比
技术分享博客
03-21 4526
随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。比如集合A和集合B,A和B的差集就是A集合中有的而B集合没有的,也就是灰色的部分。集合A和B共有的数据,也就是图中灰色部分A和B的数据合并在一起的值,也就是灰色范围的值。
C#获取时间戳与转换
技术分享博客
02-02 4507
C#获取时间戳获取时间戳(秒)获取时间戳(毫秒) 获取时间戳(秒) (DateTime.Now.ToUniversalTime().Ticks - 621355968000000000) / 10000000 获取时间戳(毫秒) (DateTime.Now.ToUniversalTime().Ticks - 621355968000000000) / 10000 转载自此博客 ...
Sqlsugar帮助类
技术分享博客
06-09 4178
C# sqlsugar帮助类
C#下载网页图片
技术分享博客
04-27 4024
下载方法 public static void downloadImage(string Imgurl, Dictionary<string, string> keyValues) { foreach (var item in keyValues) { try { Thread.Sleep(2);
【C#优雅的合并两个DataTable】
技术分享博客
04-03 3926
这里我们只利用.Net 的LINQ语句进行的Join查询,当数据量过大是会明显的比用for循环拼接快得多。
C# List对象数组合并
技术分享博客
05-18 3184
C# List对象数组合并(实现合并发货) 这里是测试用的model。 public class TestModel: TestModel2 { public string UserName { get; set; } public string Address1 { get; set; } public string Address2 { get; set; } public string Address3 { get; set;
vs2022使用单元测试
技术分享博客
12-30 3142
点击上方工具栏的扩展选择管理扩展选择联机 搜索mstest点击MSTest v2 Template注意安装的时候需要关闭 vs。
C#代码生成器
技术分享博客
08-28 3044
鲁迅说过:成熟的平台就要学会自己写代码孩子你还在每天写着重复的代码吗?还在做着重复的增删改查吗?out啦,今天不要998!不要888!免费白嫖带回家。友情提示:以下是本篇文章正文内容,下面案例可供参考这里只是展示了基本的用法,运营场景很多。需要只要合理的运用就能给你带来极大的收获。让你拥有更多的摸鱼时间。...
.net core 中间件读取请求参数不对
最新发布
01-10
.NET Core中,中间件负责处理HTTP请求和响应。中间件可以在请求到达控制器之前对请求进行操作,或在响应离开控制器之前对响应进行操作。 如果中间件无法正确读取请求参数,可能有几个原因导致这种情况。以下是一些可能的原因和解决方法: 1. 请求参数绑定问题:中间件可能无法正确绑定请求参数到控制器的操作方法参数上。可以检查控制器的操作方法参数的类型和名称是否与请求参数匹配,以确保正确绑定。 2. 请求体读取问题:如果请求中包含了请求体,中间件需要正确读取请求体才能获取请求参数。可以使用`Request.Body`对象来读取请求体,并使用适当的方法(如`StreamReader`)将其转换为字符串或JSON对象。 3. 请求头问题:某些请求参数可能包含在请求头中而不是请求体中。可以通过`Request.Headers`对象来读取请求头,并使用适当的方法(如`Get(key)`)获取特定请求头的值。 4. 中间件顺序问题:如果在中间件管道中使用了多个中间件,确保它们的顺序正确。有时,其他中间件可能已经处理了请求参数,导致当前中间件无法正确读取参数。可以尝试调整中间件的顺序,确保它在其他可能影响请求参数的中间件之前执行。 5. 异常处理问题:如果中间件在读取请求参数时发生异常,可能会阻止其他中间件正确处理请求参数。可以通过在中间件代码中添加适当的错误处理逻辑来捕获并处理异常,以确保请求参数可以正确读取。 请根据具体情况检查以上可能的原因,并相应地调整中间件代码,以确保能正确读取请求参数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

或与且与或非

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值