.Net Core 中间件验签

于 2024-03-13 09:10:19 发布
阅读量848 收藏 9
点赞数 5
分类专栏: C# ASP.NETCore 文章标签: .netcore 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42455262/article/details/136656839
版权
本文探讨了为什么在Web开发中选择使用中间件进行签名验证而非筛选器,强调了中间件在安全性上的优势,并详细解释了`context.Request.EnableBuffering()`的作用以及处理请求体指针的问题。
摘要由CSDN通过智能技术生成

文章目录

为什么是用中间件而不是筛选器?

在这里插入图片描述

为什么要用中间件验签,而不是筛选器去验签?
1、根据上图我们可以看到,中间件在筛选器之前,而筛选往下就是我们写业务逻辑代码的控制器了。这就大大增加了我们被攻击的风险。
2、用筛选器我们需要在每个控制器上都添加相应的标识,如果需要校验的sign的控制器多的话,就增加了很多不必要的工作量,和风险,如果某个控制器一时疏忽忘记加筛选器的话就有可能会被攻击。

筛选器一般都是当数据得到信任的时候做验证,例如用户登录了,做功能的权限判定,中间件判定非信任数据

代码实现

 /// <summary>
 /// 验签中间件
 /// </summary>
 public class SignatureMiddleware
 { /// <summary>
   /// 用户服务
   /// </summary>
     public UserService _userService { get; set; }
     private readonly RequestDelegate _next;
    /// <summary>
    /// 构造函数
    /// </summary>
    /// <param name="next">上下文</param>
    /// <param name="userService">用户服务注入</param>
     public SignatureMiddleware(RequestDelegate next, UserService userService)
     {
         _next = next;
         _userService = userService;
     }
     /// <summary>
     /// 管道委托
     /// </summary>
     /// <param name="context">请求</param>
     /// <returns></returns>
     public async Task Invoke(HttpContext context)
     {
         if (context.Request.Path.Value.StartsWith("/api/Order"))
         {
           
             // 验证签名
             var isValidSignature = await ValidateSignatureAsync(context);

             if (isValidSignature.Item1)
             {
                 
                 await _next(context);
             }
             else
             {
                 context.Response.StatusCode = 403;
                 await context.Response.WriteAsJsonAsync(AlwaysResult.Error(isValidSignature.Item2));
             }
         }
         else
         {
             await _next(context);
         }
     }

     private async Task<(bool, string)> ValidateSignatureAsync(HttpContext context)
     {
         context.Request.EnableBuffering();//倒带
         string Postbody = string.Empty;
         string sign = context.Request.Headers[GlobalContext.SystemConfig.OpenApiSettings.SignName].ParseToString();
         string timestamp = context.Request.Headers[GlobalContext.SystemConfig.OpenApiSettings.Timestamp].ParseToString();
         string appkey = context.Request.Headers[GlobalContext.SystemConfig.OpenApiSettings.Appkey].ParseToString();
         //先根据Appkey查询这个账户的状态:
             UserExtend user = await _userService.GetForm(appkey);
         if (user != null)
         {
             context.Request.Body.Position = 0;
             var readResult = await context.Request.BodyReader.ReadAsync();
             context.Request.BodyReader.AdvanceTo(readResult.Buffer.Start, readResult.Buffer.End);
              Postbody = Encoding.UTF8.GetString(readResult.Buffer.FirstSpan);
             string checksign = DESEncrypt.MD5(appkey + timestamp + Postbody + user.F_Account + appkey).ToLower();
             if (!checksign.Equals(sign))
             {
                 return (false, "验签失败!");
             }
             else
             {
                 context.Request.Body.Position = 0;//指针回拨
                 return (true, "");
                
             }
         }
         else
         {
             return (false, "非法签名!");
         }
     }



 }

技术要点

context.Request.EnableBuffering()

ValidateSignatureAsync 方法为验证签名方法,方法内第一行中的:context.Request.EnableBuffering();的作用是允许http请求中的body重复读取,如果不加这个方法当数据在验签过程中读取出来之后到了控制器时,控制器中获取到的body就会是空值

指针问题

context.Request.Body.Position ;
代码中用到了两次,第一次使用的时候是将指针指向body的第一位。当读取出数据之后,指针会由第一位移动到最后一位,因此我们在读取完验签完成之后需要把指针从最后以为拨回到第一位。如果没有验签通过也就没有那个必要了。

小结

在学习过程中我们不仅要知其然还要知其所以然。
中间件:用于过滤非信任数据
过滤器:用于判定受信任的安全的数据

或与且与或非
关注
  • 5
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
.net core AES加密解密及RSA 签名验签
weixin_30455067的博客
07-25 356
引用 using Org.BouncyCastle.Crypto.Parameters; using Org.BouncyCastle.Security; using System; using System.IO; using System.Security.Cryptography; using System.Text; using System.Xml; using System.Xml....
如何使用.Net Core创建和验证数字签名
最新发布
寒冰屋的专栏
12-20 270
数字签名是一种用于验证数字文档的技术,它可以确保文档的完整性和来源。本文将介绍数字签名的概念和原理,以及如何使用.Net Core创建和验证数字签名。
ASP.NET Core Web API之Token验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6377
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
ASP.NET Core 使用Enablebuffering多次读取body
wgq2020的博客
10-24 228
在 ASP.NET Core 中,可以通过使用 EnableBuffering 中间件来启用请求体缓冲。这个中间件将允许您多次读取 HTTP 请求体。这在某些情况下非常有用,例如处理一些需要对请求体进行多次操作的 API。读取请求体,并在其中做一些操作。然后将请求体的位置设置为 0,以便我们可以再次读取它。这是因为我们需要多次读取请求体,而每次读取都会导致流指针位置的变化。在处理完请求体后,我们可以返回任何类型的。读取请求体,并在其中做一些其他操作。在上面的示例中,我们返回了。结果,表示成功处理请求。
ASP.NET Core中间件计算Http请求时间示例详解
01-01
ASP.NET Core通过RequestDelegate这个委托类型来定义中间件 public delegate Task RequestDelegate(HttpContext context); 可将一个单独的请求委托并行指定为匿名方法(称为并行中间件),或在类中对其进行定义。可...
详解ASP.NET Core 中间件之压缩、缓存
10-20
ASP.NET Core 中间件是构建高效、可扩展的 Web 应用程序的关键组件。本文将深入探讨两个重要的中间件:`Microsoft.AspNetCore.ResponseCompression` 和 `Microsoft.AspNetCore.ResponseCaching`,它们分别用于响应...
Asp.Net Core中间件编写Demo
11-05
Asp.Net Core中间件是构建高效、可扩展的Web应用程序的关键组件。中间件在请求处理管道中扮演着重要角色,允许开发者自定义HTTP请求和响应的处理流程。在这个"StarNetCoreStudy"压缩包文件中,很可能是包含了演示...
ASP.NET Core中间件设置教程(7)
10-19
首先,中间件在ASP.NET Core中扮演着管道的角色,它们按照特定顺序串联起来,每个组件都有机会处理请求并决定是否将请求传递给下一个组件。这使得开发者能够自定义应用程序的响应流程,例如添加日志记录、身份验证、...
.net core中间件(附详细注释)
04-13
.NET Core中间件是构建高效、可移植和模块化的Web应用程序的关键组件。它是.NET Core框架下的一种请求处理管道机制,允许开发者定义和串联一系列处理请求和响应的组件。在这个详细的教程中,我们将深入理解.NET Core...
ASP.NET Core 各版本 中间件或过滤器中获取Post参数方法
最数据的专栏
09-09 4544
2、当在动作过滤器(ActionFilter)或者需要多次读取 request.body 的时候,.net core 可以通过调用request.EnableRewind()实现,可以重置读取位置 ,但是在过滤器中使用此方法时出现异常,request.body的长度总是为0,说明在请求到达过滤器时Steam已经被读取了。1、权限(AuthorizationFilters)验证器中读取并只读取有一次请求串的方法。项目中,框架为.NET5,启动倒带方式,为。3、在任意想要读取的位置重复读取。
.Net Core 3.x 中读取Request.Body
laosunlaiye的博客
07-13 1419
.Net Core 对于body多次读取,.net core2.0使用EnableRewind(),.net core 3.0使用EnableBuffering(),该参数在第一次读取body之前开启,之后body信息可以多次读取。因此我们在获取信息的时候,需要设置Request.EnableBuffering()。为了方便,我们直接把这段代码提取出来,放置在StartUp.cs 文件中。如下图所示 1.说明,不添加以下代码的话,就需要在步骤2中添加该代码2 2. 需要采用异步的方式才可以获取 ...
.net core 多次读取request.body的方法
zhangwenjie1105的专栏
08-10 4564
1. 安装包 Microsoft.AspNetCore.Http 2. public override void OnActionExecuting(ActionExecutingContext filterContext) { // 使request.body可以读取多次 filterContext.HttpContext.Re...
深入探究ASP.NET Core读取Request.Body的正确方式
dotNET跨平台
05-07 4461
前言相信大家在使用ASP.NET Core进行开发的时候,肯定会涉及到读取Request.Body的场景,毕竟我们大部分的POST请求都是将数据存放到Http的Body当中。因为笔...
如何在ASP.NET Core自定义中间件中读取Request.Body和Response.Body的内容?
Lamond Lu的博客
05-31 3031
文章名称: 如何在ASP.NET Core自定义中间件读取Request.Body和Response.Body的内容? 作者: Lamond Lu 地址: https://www.cnblogs.com/lwqlun/p/10954936.html 源代码: https://github.com/lamondlu/webapi-logger 背景 最近在徒手造轮子,编写一个ASP.NET C...
ASP.NET Core 如何记录每次请求的Request信息
热门推荐
sky 胡萝卜星星
09-17 1万+
在NFX中,我们可以很简单的通过DelegatingHandler来记录每次请求的Request和Response部分信息,但在ASP.NET Core中却行不通了,因为在Core中,我们无法使用Handler,只能通过Middleware中间件来捕获请求。 本篇内容基于ASP.NET Core 2.1版本。 在ASP.NET Core中,一般我们都会在Startup的Configure方法中...
每日踩坑 2018-09-29 .Net Core 控制器中读取 Request.Body
weixin_34392435的博客
11-05 544
测试代码: 结果: PostMan: 代码: 1 private string GetRequestBodyUTF8String() 2 { 3 this.Request.EnableBuffering(); 4 this.Request.Body....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

或与且与或非

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值