私人工具集7——webapi中的Token时效性验证

已于 2022-02-19 17:40:28 修改
阅读量1.9k 收藏 3
点赞数 1
分类专栏: 小徐的私人工具集 文章标签: http token 服务器 asp.net c#
于 2022-02-19 17:38:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/redRnt/article/details/123020889
版权

子曰:工欲善其事,必先利其器

github:https://github.com/redAntCpp/CSharpTools

紧接上篇,上篇只是实现了token的生成以及解析,顺便提到了验证机制。但是在实际业务中,通常需要对token进行时效性验证。就像去看电影,电影票当天有效,必须在有效期内进行使用,否则就需要重新买票。

token时效验证

总体思路

第一步中,有个代码:

 if (isAPIUser(UserName, PassWord))
                    {
                       //这里应该验证有效期,暂时没写,后续提供思路
                        return true;
                    }

这里应该加上时效验证。那么如何实现token的时效性验证呢,这里提供两个思路:

思路1

  1. 设置一个有效期,让客户端每次调用服务时,带上第一次获取token的时间戳(加密)。
  2. 服务端取到这个时间后,进行解密,然后加上有效期,对比当前服务器的时间,大于则有效,小于则失效,

在IsAuthorized加上这一段即可

string requestTime = httpContext.Request.Headers["rtime"]; //请求时间经过DESC签名,头文件
          if (string.IsNullOrEmpty(requestTime))return false;
            DateTime Requestdt = DateTime.Parse(Decrypt.RSADecrypt(PrivateKey,requestTime)).AddMinutes(int.Parse(TimeStamp));
            DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间
            if (Requestdt < Newdt) //token已过期
            {
                ErrorMessage = "token已过期,请重新获取";
                return false;
           }

思路2

  1. 当客户端获取token时,服务端记录获取token的时间与用户。
  2. 每当客户使用服务进入验证环节时,取出步骤1中的时间与用户id,加上有效期。
  3. 判断加上有效期后的时间与服务器的时间大小。

两个思路的区别在于谁记录token时间,当然安全性肯定是思路2更安全。因为,如果客户不按要求进行传时间,那么服务端是无法验证的。但是思路2也有弊端,每次都记录用户的token,存储空间消耗大,而且查询速度也会影响token验证速度。如果存放在数据库上,连接数据库的网速也是个需要考虑的问题。
两种方法各有利弊。
现在分享一下本人的思路2的一个改进方法,使用sqlite来进行token的存储,关于sqlite参考:私人工具集5——C#数据库操作类(DBHelper)
sqlite可以存储在本地,不用考虑网络问题,且结构简单,体积小,非常适合这种记录日志。

实现
  1. 创建SQLite本地表,T_APIUser,用来记录用户信息,字段参考如下:
    在这里插入图片描述
  2. 创建本地表,T_TokenTrace,用来记录token生成时间以及状态。
    在这里插入图片描述
  3. 在过滤器中,修改判断逻辑,如果用户验证通过,那么就获取最后一次该用户获取token的时间,并加上有效期,与现在时间比较。
                    if (APIUserID != -1)
                    {
                        //验证有效期
                        string TokenCreateTime = getTokenCreateTime(APIUserID);
                        DateTime Requestdt = DateTime.Parse(TokenCreateTime).AddMinutes(int.Parse(TimeStamp));
                        if (Requestdt < DateTime.Now)
                        {
                            ErrorMessage = "token已过期,请重新获取";
                            return false;
                        }
                        else
                        {

                            return true;
                        }
                    }
  1. . 这里补充一下辅助方法:
 //辅助方法
        
        //验证账号密码
        private int isAPIUser(string UserNo, string PassWord)
        {
            Log.AddInfo("APIFilter.isAPIUser()", "Begin");
            string sqlstr = "SELECT APIUserID FROM T_APIUser where UserNo = @UserNo and PassWord = @PassWord";
            SQLiteParameter[] par = {
                new SQLiteParameter("@UserNo", UserNo),
                new SQLiteParameter("@PassWord",PassWord)
            };
            DataSet qry = site.SelectData(sqlstr, par);
            if (qry.Tables.Count == 1 && qry.Tables[0].Rows.Count == 0)
            {
                Log.AddError("APIFilter.isAPIUser()", "APIUser账号不存在");
                return -1;
            }
            else
            {
                Log.AddInfo("APIFilter.isAPIUser()", "End");
                return Convert.ToInt32(qry.Tables[0].Rows[0]["APIUserID"].ToString());
            }
        }

        private string getTokenCreateTime(int APIUserID)
        {
            string sqlStr = "SELECT CreateTime FROM T_TokenTrace where APIUserID = @APIUserID ORDER BY TokenTraceID  DESC LIMIT 1";
            SQLiteParameter[] par = {
                new SQLiteParameter("@APIUserID", APIUserID),
            };
            DataSet qry = site.SelectData(sqlStr, par);
            return qry.Tables[0].Rows[0]["CreateTime"].ToString();
        }

这样就可以简单实现token的有效期验证了。

实际演练
  1. 获取token接口
    在这里插入图片描述
  2. 在原来的token控制器中,加上一个测试用的接口,并加上我们的过滤器,程序会按顺序向下执行。
    在这里插入图片描述
  3. 设置有效期为2分钟。我这边读取的是json中的配置:
    在这里插入图片描述
  4. 验证token有效期内,接口是否能正常访问:
    在这里插入图片描述
  5. 2分钟后再次调用此接口:
    在这里插入图片描述

其他拓展

token一般每次都不一样,token的值跟加密的key相关,不同的key会产生不同的token。因此,如果想要每次获取的token都不一样,我们可以在配置key的时候,随机生成一个字符串作为key,用于保证token的随机性。要实现此功能,则不宜在配置文件中写入了,因为配置文件通常不进行修改。
在此就不再深入讨论。

gzhosp_redAnt
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
面试04——整理
HRX98的博客
03-12 665
1.抽象类怎么模拟接口 2.项目负责 3.线程与进程 4.List list =new Arraylist(Array.aslist(“a”,“b”,“c”,“d”)); ​ for(s:list){ ​ s.equls(“a”){ ​ s.removes() ​ } ​ } 5.io 异常关闭 应该在哪里关闭 6.public class test{ ​ private int value; ​ public void get(int x){ ​ this.value=x } publ
基于OAUTH的电子商务支付集成研究与实现
ebay的专栏
02-05 2843
Author: Xie, James 背景       支付实际上可以分为线上支付和线下支付。线上支付也就是通常所说的网银支付,线下支付通常指的是POS机刷卡支付。       第三方支付公司产生之前,对于线下支付而言,商户,包括酒店,商场,保险公司等,如果想要做银行卡支付业务,那么首先需要到银行开具资产证明等一系列担保措施,充分认定资质以后或许能开立一个POS机刷卡帐户,才能让
私人工具集6——webapiToken功能
redAnt的博客
02-16 2044
c# webapitoken实现类工具
.NET 6.0 Web API项目实现基于Token的身份验证
martian665的专栏
06-25 955
.NET 6.0 Web API项目实现基于Token的身份验证; c#
[JWT]在项目使用JWT,不依赖安全框架
weixin_45254062的博客
03-03 221
什么是JWT? JSON Web Token (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间安全地传输信息作为 JSON 对象。此信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用 RSA或ECDSA 的公钥/私钥对进行签名。 尽管可以对 JWT 进行加密以在各方之间提供保密性,但我们将重点关注已签名...
链下数据认证
这个世界很好很欢乐,只是跟他有些距离。
05-27 4284
前言 由于区块链无法自己获取链下数据,也无法向链下系统传输数据,所以才能在安全和可靠性上做到极致,整个网络只需要使用区块链账本已经存储的数据针对一组简单的true/false问题达成共识即可,比如“公钥持有者是否使用对应的私钥对交易签名?”、“公钥地址是否有足够的交易资金?”,”比如某个智能合约的交易类型是否合法?“。区块链共识覆盖范围非常窄,因此智能合约具有非常高的确定性,可以完全按照合约写入的代码逻辑执行,确定性远高于任何传统网络。 但是,智能合约的大部分应用场景都必须连接链下数据和系统
超详细的用户认证、权限、安全原理详解(认证、权限、JWT、RFC 7235、HTTPS、HSTS、PC端、服务端、移动端、第三方认证等等)
jclee95的个人博客
12-25 4284
用户权限认证原理详解 作者: 李俊才 CSDN 主页:https://blog.csdn.net/qq_28550263?spm=1001.2101.3001.5343 邮箱:291148484@163.com 1. 用户认证与权限 1.1 用户认证 (1) 什么是用户认证? 从过程上看,用户身份认证即用户登陆。从功能上看,用户身份认证的目标是标识和区分不同的用户 (2) 用户认证常见过程 1) 认证前 当用户进行身份认证之前,可能并未到达身份认证处。这时用户可能正在操作一些表单数据或者浏览
Kubernetes、k8s从入门到实战
weixin_42074672的博客
06-24 2387
Kubernetes
[转]信息安全相关理论题(四)
热门推荐
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
第2章 信息技术知识
hongyangcao的博客
07-08 1079
软件需求是针对待解决问题的特性的描述。所定义的需求必须可以被验证。在资源有限时,可以通过优先级对需求进行权衡。通过需求分析,可以检测和解决需求之间的冲突、发现系统的边界、并详细描述出系统需求。
ASP.NET Core Web APIToken验证
06-26
ASP.NET Core Web API采用Token进行身份验证。 主要技术:ASP.NET Core Web API , JWT , Json web token 包括获取TokenToken验证,生成Token等内容 具体可参考个人文章【ASP.NET Core Web APIToken验证
WebApi安全性 使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api  3....
WebApi 使用TOKEN+签名验证
10-17
Web开发API的安全性至关重要,特别是对于公开暴露的WebApi接口,它们通常处理敏感数据和业务逻辑。"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token验证和签名机制,以确保只有授权的...
asp.net webapi2 基于token令牌的身份验证
03-27
ASP.NET WebAPI2 是微软开发的一个用于构建RESTful服务的框架,它允许开发者轻松地创建HTTP服务,可以被各种...开发者需要理解Token的生成、验证过程,以及如何在WebAPI配置和使用这些机制,以实现安全的Web服务。
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
在本案例,WinForm应用是客户端,WebAPI是资源服务器,用户通过授权服务器获取访问令牌(Token),然后客户端(WinForm)使用该令牌来访问受保护的WebAPI资源。 接下来,我们将探讨如何在WinForm应用实现这一...
我去,怎么http全变https了
qq_17105113的博客
07-19 9063
HTTP的。
WHAT - 不同 HTTP Methods 使用场景、使用方法和可能遇到的问题
最新发布
weixin_58540586的博客
07-25 1271
GETPOSTPUTPATCHDELETEHEADCONNECTOPTIONSTRACE<custom>HTTP 方法是用于指示请求的类型的动作的标准化方式。GET: 从服务器检索资源。通常用于获取数据。POST: 向服务器发送数据以创建资源。常用于提交表单或上传文件。PUT: 向服务器发送数据以更新资源。通常用于更新现有资源的全部内容。PATCH: 向服务器发送部分数据以更新资源。通常用于部分更新资源。DELETE: 从服务器删除资源。HEAD。
用代理IP会频繁掉线是什么原因?HTTP和SOCKS5协议优劣势是什么?
Together_GPT的博客
07-23 496
在使用代理IP的过程,频繁掉线是一个常见且令人头痛的问题。要解决这一问题,我们需要先了解其原因,然后比较HTTP和SOCKS5两种代理协议的优劣势,以选择最适合的解决方案。
.net core webapi怎样配置token验证
08-17
在 .NET Core Web API 进行 Token 验证通常涉及以下步骤: 1. 安装 Microsoft.AspNetCore.Authentication.JwtBearer 包。 2. 在 Startup.cs 文件的 ConfigureServices() 方法添加身份验证服务,包括 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值