在URL中实现简易的WebAPI验签

最新推荐文章于 2024-07-29 08:00:00 发布
最新推荐文章于 2024-07-29 08:00:00 发布
阅读量373 收藏 2
点赞数
文章标签: python 中间件 mysql php http
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654093758&idx=3&sn=121f637ffb6e0207c4f1656044e88b91&chksm=80d865ebb7afecfdcd4ab532a3e15ebf56a23514d148a20eef5bc1c6c13751aee76eee0262af&scene=126&&sessionid=0
版权

本文主要介绍一种与微信公众平台对接方式类似的,为 AspNetCore 提供的一种简易的 WebAPI 签名验证中间件。

本文相关源码和案例已开源,地址:https://github.com/sangyuxiaowu/SignAuthorization

原理说明

简易的 API url 签名验证中间件,通过简单的url参数验证请求是否合法。思路是按照微信公众平台的验证消息的确来自微信服务器[1]的方式来实现的。

访问 WebAPI 需要实现的 signature 签名流程也一样:

1.将token、timestamp、nonce三个参数进行字典序排序2.将三个参数字符串拼接成一个字符串进行sha1加密3.开发者获得加密后的字符串可与 signature 对比

安装使用

添加包

使用包管理工具

Install-Package Sang.AspNetCore.SignAuthorization

或者 .NET CLI

dotnet add package Sang.AspNetCore.SignAuthorization

启用和配置

在 app.MapControllers(); 前启用这个中间件,并进行一些必要的配置。

app.UseSignAuthorization(opt => {
    opt.sToken = "you-api-token";
});

使用验证方式

在需要签名的地方添加 SignAuthorizeAttribute

Mini API:

app.MapGet("/weatherforecast", () =>
{
    // your code
}).WithMetadata(new SignAuthorizeAttribute());

或者:

[HttpGet]
[SignAuthorize]
public IEnumerable<WeatherForecast> Get()
{
    // your code
}

配置说明

参数default说明
UnauthorizedBack{"success":false,"status":10000,"msg":"Unauthorized"}验证失败后的 json 返回
sTokenSignAuthorizationMiddlewareAPI签名使用的token
WithPathfalse签名时需要包含请求的路径,以 '/' 开头
Expire5签名过期时间(单位:秒)
nTimeStamptimestamp时间戳的GET参数名
nNoncenonce随机数的GET参数名
nSignsignature签名的GET参数名

对接访问

PHP example

$sToken = "you-api-token";
$sReqTimeStamp = time();
$sReqNonce = getNonce();
$tmpArr = array($sToken, $sReqTimeStamp, $sReqNonce);
sort($tmpArr, SORT_STRING);
$sign = sha1(implode($tmpArr));
$url = "http://localhost:5177/weatherforecast?timestamp=$sReqTimeStamp&nonce=$sReqNonce&signature=$sign";
echo "$url\n";
echo file_get_contents($url);


function getNonce(){
    $str = '1234567890abcdefghijklmnopqrstuvwxyz';
    $t1='';
    for($i=0;$i<30;$i++){
        $j=rand(0,35);
        $t1 .= $str[$j];
    }
    return $t1;
}

.Net example

var unixTimestamp = DateTimeOffset.Now.ToUnixTimeSeconds();
var sNonce = Guid.NewGuid().ToString();


ArrayList AL = new ArrayList();
AL.Add("you-api-token");
AL.Add(unixTimestamp.ToString());
AL.Add(sNonce);
AL.Sort(StringComparer.Ordinal);


var raw = string.Join("", AL.ToArray());
using System.Security.Cryptography.SHA1 sha1 = System.Security.Cryptography.SHA1.Create();
byte[] encry = sha1.ComputeHash(Encoding.UTF8.GetBytes(raw));
string sign = string.Join("", encry.Select(b => string.Format("{0:x2}", b)).ToArray()).ToLower();


var client = new HttpClient();
string jsoninfo = await client.GetStringAsync($"http://localhost:5177/weatherforecast?timestamp={unixTimestamp}&nonce={sNonce}&signature={sign}");

使用案例

在开源仓库中,提供了两个 weatherforecast 的接入验证样例 TestWebMiniAPI 和 TestWebAPI,引入 nuget 包 Sang.AspNetCore.SignAuthorization 后,仅需要修改很少的部分就可以实现 API 访问的 URL 验签。

487dfb39880abb2ae3827dbfcc626ee1.png
案例

References

[1] 验证消息的确来自微信服务器: https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Access_Overview.html#%E7%AC%AC%E4%BA%8C%E6%AD%A5%EF%BC%9A%E9%AA%8C%E8%AF%81%E6%B6%88%E6%81%AF%E7%9A%84%E7%A1%AE%E6%9D%A5%E8%87%AA%E5%BE%AE%E4%BF%A1%E6%9C%8D%E5%8A%A1%E5%99%A8

dotNET跨平台
关注
Django实现API配合JWT进行用户验证的方法
Mr数据杨
01-19 3万+
本教程详细介绍了如何在 Django 项目通过 JWT 实现 API 认证控制。从 Session 与 JWT 的区别,到具体的配置和代码实现,结合前端的实际使用场景,完整展示了 JWT 的应用流程。这种认证机制不仅减轻了服务器的负担,还增强了分布式系统的扩展性。通过这一流程,开发者能够更好地控制 API 的访问权限,并提高应用的安全性。
【愚公系列】2024年01月 WPF+上位机+工业互联 096-WebApi(minimalApi、AOP、鉴权)
热门推荐
时光隧道
09-10 2万+
Web API是一种使用HTTP协议,向外部客户端(如浏览器、移动应用、桌面应用等)提供服务的技术,是一种RESTful(Representational State Transfer)架构的Web服务。Web API使用基于标准HTTP的协议,如HTTP请求、HTTP响应、HTTP状态代码、HTTP头和HTTP方法等,来处理请求和返回响应数据。Web API通常用于构建具有动态内容的Web应用程序或Web服务,例如基于客户端-服务器架构的移动应用程序、Web端的单页应用程序和其他类型的Web服务等。
C#WebAPI获取腾讯云签名及临时签名.rar
04-01
解决WebAPI腾讯云临时签名获取不到的问题GetFederationTokenResponse resp = client.GetFederationToken(req). ConfigureAwait(false).GetAwaiter().GetResult();
WebApi安全性 使用TOKEN+签名验证
weixin_30471065的博客
10-18 2439
首先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如: 请求来源(身份)是否合法? 请求参数被篡改? 请求的唯一性(不可复制),防止请求被恶意攻击 为了保证数据在通信时的安全性,我们可以采用TOKEN+参数签名的方式来进行相关验证。...
C#实现Web API的签名验证
最新发布
学习和分享
07-29 667
在C#实现Web API的签名验证通常涉及到处理HTTP请求和响应,以及使用加密算法来生成和验证签名。
通过URL实现简易WebAPI验签
桑榆肖物
09-27 212
本文主要介绍一种与微信公众平台对接方式类似的,为 AspNetCore 提供的一种简易WebAPI 签名验证中间件
WebAPI签名
爱是永恒2020的博客
08-20 503
/// <summary> /// API签名验证方法 /// </summary> /// <param name="keys">参数集合,不包含appId,sign参数</param> /// <param name="secret">密钥</param> /// <returns></returns> publi
ASP.NET Core Web API 最小化项目
weixin_34221036的博客
07-05 162
ASP.NET Core默认的ASP.NET Core 模板Web API 模板可以创建Web API项目。 有时,只需要创建一个API,不需要关心Razor,本地化或XML序列化。通过删除无用的NuGet软件包和代码,可以提高 API 的加载时间并减少部署包大小。   新建项目 打开VS2017 新建一个ASP.NET Core 应用程序 (.NET Core)项目,命名为miniweba...
ASP.NET WEBAPI实现微信接入验证
shyleoking的专栏
03-18 1万+
ASP.NET WEBAPI实现微信接入验证首先你需要一个微信公众号,很重要的是你需要完成认证,这点非常重要,如果不认证优先功能无法实现。 当你完成公众号的基本设定后,我们需要为开发做第一件事情:基本配置。下面我摘抄了微信开发文档关于接入指南的部分图文 登录微信公众平台官网后,在公众平台后台管理页面 - 开发者心页,点击“修改配置”按钮,填写服务器地址(URL)、Token和Encodin
asp.net mvc 实现网络传输的签名验证
02-28
总之,ASP.NET MVC的网络传输签名验证是一种强大的安全机制,通过确保请求的完整性和来源可靠性,为WebAPI提供了一道防线。开发者需要理解其工作原理,并正确地在客户端和服务器端实现和应用签名验证。
Spring Boot(八十一):Sa-Token快速实现API接口签名安全校验
u013938578的博客
07-18 2941
不限制请求的参数数量,方便组织业务需求代码。自动补全 nonce、timestamp 参数,省时省力。自动构建签名,并序列化参数为字符串。一句代码完成 nonce、timestamp、sign 的校验,防伪造请求调用、防参数篡改、防重放攻击。
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
WebAPI公开接口请求签名验证
woaimx_1314的博客
07-03 1002
现在的系统后端开发的时候,会公开很多API接口对于要登录认证后才能访问的接口,这样的请求验证就由身份认证模块完成但是也有些接口是对外公开的,没有身份认证的接口我们怎么保证接口的请求是合法的,有效的.这样我们一般就是对请求的合法性做签名验证.
详解 WebAPI 签名机制
weixin_34177064的博客
12-01 315
首先,写这篇文章的原因是因为最近某一个项目的接口被人为调用了,导致了数据库数据被串改。虽然是内部人无意点的,但还是引起了我的担忧,所有整理了下关于WebAPI的相关签名机制。   一、我们在开发接口时,有时候嫌麻烦就懒进行相关的验证或只进行一些简单的验证,这样客户端就可以直接调用:如   调用WebAPI接口:http://XXX.XXX.XX.XXX:8123/Token/GetTest?ID...
开放接口API安全性之签名验证【url签名算法】
weixiaohuai的博客
05-29 5939
一、简介 首先谈谈什么是接口安全问题?接口安全,其实就是保证自己应用程序对外暴露接口的安全,即我这个接口只能某些第三方应用进行访问,不应该被别人随意访问。 服务端对外开放API接口,必须关注接口安全性的问题,要确保第三方应用程序与API接口之间的安全通信,防止数据被恶意篡改、伪造参数等攻击。 常见保证接口安全的方式有下面几种方式: 【a】签名验证方式( 本篇文章以本方式为例 ):服务端从某种层面来说需要验证接受到数据是否和客户端发来的数据是否一致,要验证数据在传输过程有没有被注入攻击。这时候客户端
WEBAPI MINI 后端(微信小程序无师自通二)
刘欣的CSDN博客
04-03 733
打开方式: 手机设置—> 关于手机—->版本信息—-> 版本号 —> 一阵猛点击(这里是我自己的OPPO手机的发开方法,大家各自按照自己的手机去打开)打开后重新打开小程序预览就可以正常的获取到数据了。这样我们就已经把SQLite数据发布出来了,可以用浏览器试试看是否可以正常访问。webapi程序启动后,作为一个应用程序运行,它工作在http 8090端口。
WebApi安全性 使用TOKEN+签名验证
Curtain的博客
08-16 1733
原文地址:WebApi 使用TOKEN+签名验证 一、不进行验证的方式 api查询接口: 客户端调用:http://api.XXX.com/getproduct?id=value1 如上,这种方式简单粗暴,在浏览器直接输入"http://api.XXX.com/getproduct?id=value1",即可获取产品列表信息了,但是这样的方式会存在很严重的安全性问题,没有进行任何的验证
.net7.0 mini webapi 配置跨域
霍城延的随笔
07-21 408
.net7.0 mini webapi 配置跨域
JavaScript——WebAPI
m0_60867520的博客
11-04 430
详细介绍js如何新增html的元素,获得修改元素的属性,样式,及删除元素的方法,附带案例
ASP.NET MVC4调用WebAPI实战教程
在ASP.NET MVC4,调用WEBAPI实现客户端与服务器之间数据交互的重要手段,特别适合于构建RESTful服务。本文将详细介绍四种调用ASP.NET WebAPI的方法,并以实际示例展示其过程。首先,我们需要了解ASP.NET WebAPI...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值