『你的API接口安全么』之给NetCore请求参数加解密!

于 2023-11-13 07:42:54 发布
阅读量314 收藏
点赞数
文章标签: 安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654097875&idx=7&sn=25160fd332d000c91b937d64a190a407&chksm=80d87586b7affc9068c6ca460ec2692db37ec94722376d2eeaa80d7bbd8e71c652721ade2a11&scene=126&sessionid=0
版权

332f51dad2799720d7b0df923855b1de.png

(忽如一夜春风来 _ _ _ _ _ _ _)

大家好,天气骤降,你那里下雪了么。

41fe82412295a471e23f3f0dfc9cf963.png

1、故事背景

最近一直在接触安全相关的东西,无论是看书,看新闻,还是写项目——网络安全,接口安全,数据安全,资源安全等等已经被纷纷讨论和津津乐道了,平时在上班的路上经常会思考一些架构设计相关的内容,或者看些书,那正好也考虑了一个接口安全的内容给大家分享一下,一共两篇,这是接口请求篇,另一个是接口返回响应内容篇:

67dd69bcb60b5d294ae2feade01eb223.png

8d16d8f7e275dd01cbe3cb484e99e827.png

2、整体设计思路

首先,我们需要定义一种加密方式,当前需要和前端商量好,肯定是需要前端也能加解密的,其实有很多种,这里用Base64来演示,大家下载BlogCore最新代码就能看到两个中间件,自己根据公司情况进行修改即可。

其次,我们用一个接口做例子:

http://localhost:9291/api/Login/GetJwtTokenSecret?name=blogadmin&pass=blogadmin

这是一个很简单的接口,有两个参数,分别是用户名和密码。

然后模拟登录,请求会返回token:

9ea773a32c921340ff004868e594e8ae.png

这样其实是不安全的,当然你可能会说用https会安全,这也不尽然,毕竟再加密一下肯定会更安全的嘛。前端小伙伴可以对这个参数进行base64加密,比如这样:

3e3827bdc7795fe570a434e904d8a3c7.png

所以最终接口是这样的:

http://localhost:9291/api/Login/GetJwtTokenSecret?param=bmFtZT1ibG9nYWRtaW4mcGFzcz1ibG9nYWRtaW4=

第三,就是我们的重中之重,请求参数解密中间件。

我们需要统一的对接口入参进行解密,然后将解密的参数,再塞到接口中,往下请求,所以聪明的你肯定知道如何处理,而且也要放到中间件管道外层,代码是这样,当然后期会微调,大家还是看BlogCore最新更新就行了。

public async Task InvokeAsync(HttpContext context)
 {
     // 配置开关,过滤接口
     if (AppSettings.app("Middleware", "EncryptionRequest", "Enabled").ObjToBool())
     {
         var isAllApis = AppSettings.app("Middleware", "EncryptionRequest", "AllApis").ObjToBool();
         var needEnApis = AppSettings.app<string>("Middleware", "EncryptionRequest", "LimitApis");
         var path = context.Request.Path.Value.ToLower();
         if (isAllApis || (path.Length > 5 && needEnApis.Any(d => d.ToLower().Contains(path))))
         {
             Console.WriteLine($"{isAllApis} -- {path}");


             if (context.Request.Method.ToLower() == "post")
             {
                 // 读取请求主体
                 using StreamReader reader = new(context.Request.Body, Encoding.UTF8);
                 string requestBody = await reader.ReadToEndAsync();


                 // 检查是否有要解密的数据
                 if (!string.IsNullOrEmpty(requestBody) && context.Request.Headers.ContainsKey("Content-Type") &&
                     context.Request.Headers["Content-Type"].ToString().ToLower().Contains("application/json"))
                 {
                     // 解密数据
                     string decryptedString = DecryptData(requestBody);


                     // 更新请求主体中的数据
                     context.Request.Body = GenerateStreamFromString(decryptedString);
                 }
             }
             else if (context.Request.Method.ToLower() == "get")
             {
                 // 获取url参数
                 string param = context.Request.Query["param"];


                 // 检查是否有要解密的数据
                 if (!string.IsNullOrEmpty(param))
                 {
                     // 解密数据
                     string decryptedString = DecryptData(param);


                     // 更新url参数值
                     context.Request.QueryString = new QueryString($"?{decryptedString}");
                 }
             }


             await _next(context);
         }
         else
         {
             await _next(context);
         }
     }
     else
     {
         await _next(context);
     }
 }

核心的地方就是在信息解密那个节点,然后回填。

最后呢,就是运行下项目,就可以看到能正常的请求到接口了,而且参数也没问题:

fa93c201b91ec39d5ec370101b347a82.png

到这里,我们就很简单的,完美的实现了这个需求,而且不用修改之前的任意代码,只需要一个中间件,就能实现,还可以手动进行控制,比如指定某几个接口等,也可以控制get请求和post请求等等。

不知道你是否有更好的建议呢,欢迎评论留言哟。

下篇文章,我们来讨论下,如何实现接口返回的时候,如何对返回内容进行加密。

dotNET跨平台
关注
.net core 翻译来自Java的AES加密算法
网尘的技术专栏
11-18 436
由于某些不可告人的秘密,我发现了某个App的加密算法,其每个api请求参数均带上了加密后的字符串,因此要想模拟其api的发送,比较困难,因此我借助了各类小工具,最终终于拿到了java的源码,终于可以开森的利用.net core编代码了。 1、AES加密算法 AES加密算法是对称加密算法,其不同于MD5等摘要算法,其是可以进行解密,并还原为原始密文的。其经过10-14轮加密混淆步骤,因此如果仅仅从加密后信息来看,是很难被攻击的。 重要的步骤如下: 字节替代 行移位 列移位、列混淆 加轮密钥 这.
探讨.NET Core中实现AES加密和解密以及.NET Core为我们提供了什么方便!
weixin_34194702的博客
04-28 1318
前言 对于数据加密和解密每次我都是从网上拷贝一份,无需有太多了解,由于在.net core中对加密和解密目前全部是统一了接口,只是做具体的实现,由于遇到过问题,所以将打算基本了解下其原理,知其然足矣,知其所以然那就达不到了,利用AES加密更加安全,上一篇园友又提出,所以借着这个机会刚好用到加密和解密,同时我也已将项目中DES加密已替换为AES,在这里介绍一下。 AES加密介绍 高级加密标准(...
国密SM4,layui前端 和.net core后台 加密解密 .net加密解密
03-22
前端JS,后台用到的类
asp.net core 使用中间件拦截请求和返回数据,并对数据进行加密解密。
热门推荐
a123_z的博客
06-28 1万+
GitHub demohttps://github.com/zhanglilong23/Asp.NetCore.Demo 本项目使用中间件拦截请求数据,并对请求数据解密。 访问接口成功后拦截返回数据,然后将返回数据加密后返回。 其中log4net部分不再赘述(demo中有介绍) 将Post方法中Body中的数据进行AES解密 将返回数据进行AES加密 1:自定义中间件,并默认实现Inv...
循序渐进学.Net Core Web Api开发系列【16】:应用安全续-加密与解密
weixin_30808693的博客
07-25 1035
系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一、概述 应用安全除了用户权限认证外,还要考虑到数据安全,传输安全、系统漏洞等方面。本篇文章重点讨论数据存储安全和传输安全,主要技术手段就是加密和解密。 二、基本概念 信息在传输和存储的过程中有...
保护我方Id | ASP.NET Core Web API使用加密Id
主宰
10-09 468
前言 上次,我们介绍了hashids.net,可以将数值型Id加密成无意义的字符串,但是通过这些字符串又可以反向映射出真实的Id以供内部使用。比如B站的播放链接https://www.bilibili.com/video/BV1xK4y1VXXX应该就是这种实现方式。 但是,我们希望在ASP.NET Core Web API实现中使用的还是真实的数值型Id,方便操作;而在对外输入/输出时对Id进行自动加解密转换,保证安全。 类似这样: //请求 http://xxx.com/user/WwYQ
.net core AES加密解密及RSA 签名验签
weixin_30455067的博客
07-25 362
引用 using Org.BouncyCastle.Crypto.Parameters; using Org.BouncyCastle.Security; using System; using System.IO; using System.Security.Cryptography; using System.Text; using System.Xml; using System.Xml....
asp.net Core Post Json方式给控制器Action传参并拦截丢失参数等错误信息
07-08
原生asp.net不支持通过json提交 方式给控制器的Action传参数,本程序通过给自定义输入字符串格式方法。在action的传参上加入FromJsonKey属性即可在传入的json中传入参数,如果传入的json中不存在相应键即报错 ...
netcore6.0 webapi+jwt+vue3授权
最新发布
10-06
Netcore6.0是微软推出的全新版本的开发框架,它提供了强大且灵活的功能,用于构建Web应用程序和API。Web API是Netcore6.0中的一项重要功能,它允许我们构建基于HTTP协议的API,并通过JSON格式进行数据交换。 JWT...
.net core webapi 的 JWT 授权认证
rush_peng的博客
06-12 2276
传统的授权认证: 传统验证基于Cookies和Session;但是由于http是无状态的(第一次和第二次发送的http请求没有任何区别),所以这种模式有很多局限,比如在多服务器集群时就无法使用; 和asp.net相比,core的不同,是在实例化类之前,就先进行身份认证,身份认证完了以后,再完成授权; 基于Token的授权认证 下边是基于token验证的流程图: 授权服务器发送的token由私钥加密; API得到的token,用公钥解密; Token令牌的组成: 最终API如何能确定这个token就是
.NET Core 3.0 一个 jwt 的轻量角色/用户、单个API控制的授权认证库
hailang2ll的专栏
10-27 826
作者:痴者工良(朋友合作原创)来源:https://www.cnblogs.com/whuanle/p/11743406.html目录说明一、定义角色、API、用户二、添...
.NET Core加解密实战系列之——RSA非对称加密算法
dotNET跨平台
06-15 1706
简介加解密现状,编写此项目的背景:需要考虑系统环境兼容性问题(Linux、Windows)语言互通问题(如C#、Java)网上资料版本不一、不全面.NET官方库密码算法提供不全面,很难针...
Net Core 自定义 Middleware 加密解密
diantieshuang8175的博客
09-16 386
前言:第一次写文章,有问题请轻喷 当前使用 Net Core 版本 2.1.3 我们经常在开发中需要把实体的主键 Id 传输到前端,但是在Get的时候又不想让前端能看到明文,我们通常会加密这些数据,所以有了这篇文章来写一些心得。(主要是我在网上找的代码写得太简单了,不符合我的需求) 这里我用的是 Net Core 自带的DataProtector,使用方式自行百度一下 关于中...
.Net Core Base64加密解密
weixin_30690833的博客
04-12 939
一、Base64说明 1..Net Core中的Base64位加密解密和.Net Framework使用方式相同 2.Convert 类中提供了Base64位转码方法 Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,Base64就是一种基于64个可打印字符来表示二进制数据的方法。 例如: URL转码、 网页中Base64的图片..... 二、代码整理 ...
如何在 ASP.Net Core 中实现 数据保护API
一线码农的专栏
02-01 523
在 ASP.Net Core 数据保护栈中提供了一种非常简单的方法来加密API,从而保护数据的安全,通常落地的做法就是 数据加密 和 数据解密,这篇文章我们就来一起看看如何使用 数据保护API。 理解加密和哈希 在安全领域,加密和hash是两个非常重要的概念,常常被开发者混用,其实这是不对的,加密是用一种加密算法将一种数据转换成另外一种数据,同时也要注意,这是一种双向操作,已加密的数据只能通过一个合适的密钥去解密,加过密的数据又称为密文,在如今的系统间通讯,数据加密还是非常简单高效的。 相比之下,hash
C# .NET CORE .NET6 RSA 公钥加密 私钥解密
woaimx_1314的博客
06-09 4296
私钥格式 PKCS1,PKCS8
.Net5 框架搭建(六):使用自定义中间件对数据进行加密解密
shaojiayong的博客
09-16 1556
前言 因为项目需要,要求数据交互不能是明文,所以我们的项目的设计是这样子的,前端加密请求数据=》后端解密请求数据。一开始用着也没啥问题,直到我这边有个接口居然报请求数据太大,我就奇怪,这才多少量,也达不到post请求最大值。直到我发现,原来某个后端同事居然让前端把入参都放在header里面。。。。(别问我为什么入参会放在请求header,有些项目就是这么的匪夷所思!!!!) ...
【Crypto-m】基于go-zero的通信加解密工具包。使用不对称和对称的混合加密策略(hybrid-encryption)
ckw1988的专栏
12-06 903
Crypto-m是一个基于go-zero框架的通信加、解密中间件管理工具,使用不对称加密和对称加密的混合加密策略。本包设计清晰简洁,使用方便,欢迎广大新老同行选用。
.NET Core 常用加密和Hash工具NETCore.Encryp
nobb111的博客
08-25 1242
前言  在日常开发过程中,不可避免的涉及到数据加密解密(Hash)操作,所以就有想法开发通用工具,NETCore.Encrypt就诞生了。目前NETCore.Encrypt只支持.NET Core ,工具包含了AES,RSA加密解密,MD5,SHA*,HMAC*等常用Hash操作。 项目地址 https://github.com/myloveCc/NETCore.Encrypt 通过Nug
apipost请求 参数
07-28
ApiPost中,请求参数可以通过Header参数、Query参数和Body参数进行配置。\[2\]在Header参数中,可以设置或导入Header参数,包括cookie的设置。在Query参数中,可以构造URL参数,同时也支持RESTful的PATH参数。在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值