WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute

最新推荐文章于 2024-01-17 21:38:45 发布
最新推荐文章于 2024-01-17 21:38:45 发布
阅读量1w 收藏 6
点赞数 1
分类专栏: C# WebAPI 文章标签: c# WebAPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starfd/article/details/43524175
版权
C# 同时被 2 个专栏收录
108 篇文章 7 订阅
订阅专栏
WebAPI
11 篇文章 1 订阅
订阅专栏

WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法

AbsBaseAuthenticationAttribute

    using System;
    using System.Web;
    using System.Collections.Specialized;
    using System.Net;
    using System.Net.Http;
    using System.Text.RegularExpressions;
    using System.Web.Http.Controllers;
    using System.Web.Http.Filters;

    /// <summary>
    /// WebAPI防篡改签名验证抽象基类Attribute
    /// </summary>
    public abstract class AbsBaseAuthenticationAttribute : ActionFilterAttribute
    {
        /// <summary>
        /// Occurs before the action method is invoked.
        /// </summary>
        /// <param name="actionContext">The action context</param>
        public override void OnActionExecuting(HttpActionContext actionContext)
        {
            //获取Asp.Net对应的Request
            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;
            NameValueCollection getCollection = request.QueryString;//此签名要求Partner及Sign均通过QueryString传递
            if (getCollection != null && getCollection.Count > 0)
            {
                string partner = getCollection[SecuritySignHelper.Partner];
                string sign = getCollection[SecuritySignHelper.Sign];
                if (!string.IsNullOrWhiteSpace(partner)//必须包含partner
                   && !string.IsNullOrWhiteSpace(sign)//必须包含sign
                   && Regex.IsMatch(sign, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要
                {
                    //获取partner对应的key
                    //这里暂时只做了合作key校验,不做访问权限校验,如有需要,此处可进行调整,建议RBAC
                    string partnerKey = this.GetPartnerKey(partner);
                    if (!string.IsNullOrWhiteSpace(partnerKey))
                    {
                        NameValueCollection postCollection = null;
                        switch (request.RequestType.ToUpper())
                        {
                            case "GET":
                            case "DELETE": break;//只是为了同时显示restful四种方式才有这部分无意义代码
                            //实际该以哪种方式进行请求应遵循restful标准
                            case "POST":
                            case "PUT":
                                postCollection = request.Form;//post的数据必须通过application/x-www-form-urlencoded方式传递
                                break;
                            default:
                                throw new NotImplementedException();
                        }
                        //根据请求数据获取MD5签名
                        string vSign = getCollection.GetSecuritySign(partner, partnerKey, postCollection);
                        if (string.Equals(sign, vSign, StringComparison.OrdinalIgnoreCase))
                        {//验证通过,执行基类方法
                            base.OnActionExecuting(actionContext);
                            return;
                        }
                    }
                }
            }
            //此处暂时以401返回,可调整为其它返回
            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);
            //actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
        }

        /// <summary>
        /// 获取合作号对应的合作Key,如果未能获取,则返回空字符串或者null
        /// </summary>
        /// <param name="partner"></param>
        /// <returns></returns>
        protected abstract string GetPartnerKey(string partner);
    }

子类例子 

    public class AuthenticationAttribute : AbsBaseAuthenticationAttribute
    {
        protected override string GetPartnerKey(string partner)
        {
            //TODO:从缓存中或者其它地方读取数据
            return "bbb";
        }
    }
实际可以在需要身份验证的ApiController上增加[Authentication],也可以写一个基类,然后需要身份验证的ApiController继承自该基类 

    [Authentication]
    public class ApiControllerBase : ApiController
    {
    }

当然如果项目中所有的api都需要进行签名访问,那么直接可以进行注册,就不需要上面的ApiControllerBase了

    config.Filters.Add(new AuthenticationAttribute());


娃都会打酱油了
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Hmac.WebApi:使用ASP.NET Web Api进行Hmac身份验证
05-06
Hmac.WebApi HMAC身份验证为每个使用者使用一个秘密密钥,使用者和服务器双方都知道该密钥对hmac哈希消息,应该使用HMAC256。 大多数情况下,将用户的哈希密码用作秘密密钥。 该消息通常是根据HTTP请求中的数据甚至是添加到HTTP标头中的自定义数据构建的,该消息可能包括: 时间戳:请求发送的时间(UTC或GMT时间) HTTP动词:GET,POST,PUT,DELETE。 发布数据和查询字符串, 网址 在幕后,HMAC身份验证将是: 消费者在构建签名hmac哈希的输出)后,将HTTP请求发送到Web服务器,该请求是HTTP请求的模板: User-Agent: {agent} Host: {host} Timestamp: {timestamp} Authentication: {username}:{signature} GET请求的示例:
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
WebAPI 用户认证篡改实现HMAC(一)MD5签名获取
zhanglong_longlong的专栏
03-16 1122
在开始前先说下HMAC篡改机制的原理,如果已经接触过支付宝的可以跳过此部分 篡改,顾名思义就是止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时作为请求的一部分一起传递(合作Key禁止传递) 下面进行举例: 假定需要进行签名的参数如下
ASP.NET MVC使用AuthenticationAttribute验证登录
08-02 247
首先,添加一个类AuthenticationAttribute,该类继承AuthorizeAttribute,如下: using System.Web; using System.Web.Mvc; namespace Zhong.Web { public class AuthenticationAttribute : AuthorizeAttribute ...
WebAPI 安全性 使用TOKEN+签名验证(下)
10-22 74
//根据请求类型拼接参数 NameValueCollection form = HttpContext.Current.Request.QueryString; string data = string.Empty; switch (method) { ...
WebApi安全性 使用TOKEN+签名验证
sky198989的博客
04-20 213
转载:https://www.cnblogs.com/MR-YY/p/5972380.html
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
单片机与DSP中的HMAC认证协议的单片机实现
12-10
我们通过国有自主知识产权的单片机ZQ032SA,实现了以MD5算法为核心的HMAC协议,并把它调用于IP电话计费认证系统。  关键词:HMAC ZQ032SA(6805) MD5 IP电话 引言 在开放的通信和计算机系统中,建立安全可靠的...
仿淘宝签名认证 HMAC加密
04-11
"仿淘宝签名认证 HMAC加密" 是一种常见的安全措施,用于确保数据在传输过程中的完整性,止恶意篡改。本教程将深入讲解这种签名认证机制,以及如何在Java环境中实现HMAC(Hash-based Message Authentication ...
HMAC认证协议的单片机实现
08-02
在IP电话计费认证系统中,客户和服务端利用预共享的密钥和HMAC协议进行交互,确保只有合法的用户才能进行计费服务,同时也保护了用户的隐私信息不被窃取或篡改。 总的来说,HMAC协议的单片机实现是将安全认证技术与...
WebApi安全性 使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1.做一个认证服务,提供一个认证webapi用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api                3.服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
kong笔记——使用hmac auth
罗伯特是疯子丶
02-25 2067
hmac简述 hmac是Hashing for Message Authentication的简写,可以用来保证数据的完整,客户端把内容通过散列/哈希算法算出一个摘要,并把算法和内容以及摘要传送给服务端,服务端按照这个算法也算一遍,和摘要比一下如果一样就认为内容是完整的,如果不一样就认为内容被篡改了。 关于Kong的hmac说几点 Clock Skew 使用Kong的hmac后,请求必须带有Date和x-date请求头,这个是止重放攻击(Replay Attacks),默认的情况下,客户端传过来的时间和
【kong系列八】之HMAC认证hmac-auth插件
|] 大世界,小人物
08-18 6167
hmac 插件 构造签名header Authorization: hmac username="userhmac", algorithm="hmac-sha1", headers="X-Date Content-md5", signature="LqkezHTAuk/Sk3RTbguHHYZGt/8=" X-Date: Mon, 31 Jul 2017 07:23:02 GMT Content-md5: IgWlVHazOsGgHGVlcKvQDA==
HTTP API 认证技术详解(四):HMAC Authentication
最新发布
路多辛的所思所想
01-17 1214
HMAC(Hash-based Message Authentication Code)认证是一种被广泛使用的技术,用于验证消息的完整性和真实性。HMAC 结合了哈希函数和加密密钥,比单纯的哈希更安全。在网络通信和数据存储中,HMAC 可以确保传输的数据未被篡改,并验证消息发送者的身份。
kong api网关hmac-auth认证插件的使用
qq_39170899的博客
08-05 2087
1、安装hamc-auth插件 我这里使用的kong管理界面为konga,在插件中选择hmac-auth插件 接下来我们对hmac-auth插件进行配置 下一步就是如何请求使用hmac-auth插件的网关了,我这里语言使用的是java,加密算法使用的是hmac-sha256,不多说,直接上代码 package com.kong.demo.test; import org.apache.http.HttpResponse; import org.apache.http.client.met
Web用户的身份验证WebApi权限验证流程的设计和实现
上步七星
01-18 5万+
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证
【转】WebApi 身份认证解决方案:Basic基础认证
sinolover的专栏
11-20 730
参考路径:https://www.cnblogs.com/landeanfen/p/5287064.html 前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要.
WebAPI通过multipart/form-data方式同时上传文件以及数据(含HttpClient上传Demo)
热门推荐
sky 胡萝卜星星
04-30 9万+
简单的Demo,用于了解WebAPI如何同时接收文件及数据,同时提供HttpClient模拟如何同时上传文件和数据的Demo,下面是HttpClient上传的Demo界面1、HttpClient部分:HttpClient通过PostAsync提交数据时,第二个请求参数为抽象类HttpContent,当前我们需要通过multipart/form-data的方式模拟请求,multipart对应的请求H...
API 接口认证技术中 AK/SK 认证签名逻辑
05-20
AK/SK(AccessKey/SecretKey)认证是一种常见的 API 接口认证方式,常用于云计算、大数据、人工智能等领域的 API 接口。 AK/SK 认证的基本原理是客户端使用 AK 和 SK 进行身份验证,服务器端根据 AK 和 SK 验证...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值