WebAPI 用户认证防篡改实现HMAC(四)ApiController

最新推荐文章于 2022-08-03 11:57:33 发布
最新推荐文章于 2022-08-03 11:57:33 发布
阅读量6.1k 收藏 1
点赞数
分类专栏: WebAPI C# 文章标签: c# WebAPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starfd/article/details/43530055
版权
C# 同时被 2 个专栏收录
108 篇文章 7 订阅
订阅专栏
WebAPI
11 篇文章 1 订阅
订阅专栏

前面写了三篇文章,都是为了这一步做准备,现在就开始进入最后的正题吧

首先对于用户请求中的合作号和签名部分,定义一个专门的类来接收此部分信息(这里要注意的是,在FromUri获取时,方法里面的参数名不能起属性名一样的参数名,否则会导致类实例化,但属性却均为null的问题,这个在做demo时纠结了我1个多小时,汗一个)

    public class PartnerSign
    {
        public string Partner { get; set; }
        public string Sign { get; set; }
    }
然后是Controller例子,既然WebAPI创建时,默认自带的例子是Product,那这里也就用Product做例子 
    public class ProductController : ApiControllerBase
    {
        [HttpGet]
        public IEnumerable<Product> GetAllProducts([FromUri]PartnerSign partnerSign)
        {
            throw new NotImplementedException();
        }
        [HttpGet]
        public Product GetProduct([FromUri]PartnerSign partnerSign, [FromUri]int id)
        {
            throw new NotImplementedException();
        }
        [HttpPost]
        public bool AddProduct([FromUri]PartnerSign partnerSign, [FromBody]Product product)
        {
            throw new NotImplementedException();
        }
        [HttpPut]
        public bool ChangeProduct([FromUri]PartnerSign partnerSign, [FromBody]Product product)
        {
            throw new NotImplementedException();
        }
        [HttpDelete]
        public bool RemoveProuct([FromUri]PartnerSign partnerSign, [FromUri]int id)
        {
            throw new NotImplementedException();
        }
    }
在这里所有的参数我都做了显示声明数据来源,如果不带声明时,对于基础数据,WebAPI默认FromUri,对于实体,WebAPI默认FromBody,另外因为FromUri可以声明多个,所以完全可以将Get请求参数声明为两个,一个为[FromUri]PartnerSign,另一个为其它类,比如[FromUri]OtherClass

再次补充下:对于方法支持的HTTP请求方式(GET,POST,PUT,DELETE),请遵循Restful规范,别搞出新增用PUT、修改用POST、查询用DELETE的事情,虽然这在运行时没有任何错误,但这会导致API实际用意与规范不符

好了,到了这里,简易但完整的WebAPI防篡改就完全实现了,然后……我会在后面再在发一个WebAPI签名测试小工具,方便开发时自测……

忘记补充一个及其重要的事情了:因为签名是通过QueryString方式获取的,所以在API请求时,请求的Url格式必须为?partner=zhangsan&sign=AAFDAFAFA这种格式,即API的Route只能作用到action就结束了,不能Route方法内的参数

娃都会打酱油了
关注
专栏目录
AUTOSAR从入门到精通-【概念篇】基于 AUTOSAR 标准架构的智能远程盗系统设计与实现
getusushu的博客
06-28 1920
车头,多对多的使用模式会带来更多安全性问题,包括:非授权驾驶员控制挂车、当前社会对于汽车的需求往往更偏向于功能的提升,因此汽车电子系统日渐复杂,以往,商用车驾驶员自行管理车头及挂车,但物流公司为了提高商用车驾驶员的。运输效率采用了车队管理模式,物流公司拥有数量庞大的挂车,驾驶员自行管理。提出了一个思想“软件定义汽车”,这一思想逐步改变了汽车电子软件的开发模。定义汽车”,我们更需要一种能将硬件和软件分离、功能主导开发的汽车电子软。同时随着科技的发展,人们对于汽车的需求已不仅仅局限于硬件上的升级,
JWT身份认证(附带源码讲解)
m0_37322399的博客
03-31 926
文章目录JWT(Json Web Token)验证(附带源码讲解)1 cookie、session、Token的区别CookieSessionToken2 JWT是个啥?jwt token 的组成部分headerSignature签名的⽬的jwt.io⽹站啥时候使用JWT呢?JWT工作方式是怎样的?3 基于Token的身份认证和基于服务器的身份认证1、给予服务器的身份认证,通常是基于服务器上的session来做用户认证,使用session会有如下几个问题2、基于Token的身份认证证是⽆状态的,服务器或者s
hmac-headers:Scala实用程序,用于签名和验证在HTTP标头中传递的HMAC签名
05-19
介绍 hmac-headers是一个Scala实用程序,用于签名和验证在HTTP请求的标头中传递的HMAC签名。 给定客户端和服务器之间共享的密钥,hmac-header可以执行以下操作: 在客户端,创建两个字符串,这些字符串可以作为请求的一部分放在适当的标头(通常为Date和Authorization标头)中: 日期,格式如下:1994年11月6日,星期日,格林尼治标准时间(参见 ) Base64编码的HMAC,使用URI,日期和机密进行签名 在服务器端,请验证接收的标头是否有效。 给定日期字符串和HMAC哈希,它将检查以下内容: 哈希是使用相同的秘密计算的 该日期在允许的时间范围内(以避免重播攻击) 用法 在您的build.sbt中: libraryDependencies += "com.gu" %% "hmac-headers" % "1.0" 验证请求 import
WebAPI 用户认证篡改实现HMAC(一)MD5签名获取
zhanglong_longlong的专栏
03-16 1161
在开始前先说下HMAC篡改机制的原理,如果已经接触过支付宝的可以跳过此部分 篡改,顾名思义就是止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时作为请求的一部分一起传递(合作Key禁止传递) 下面进行举例: 假定需要进行签名的参数如下
java发送http请求,对获取的json数据进行解析
weixin_43418850的博客
12-10 1810
引入pom文件 <dependency> <groupId>commons-httpclient</groupId> <artifactId>commons-httpclient</artifactId> <version>3.1</version> </dependency> 创建HttpClient对象实例化对象,分别对post和get请求进行处理 .
BaseController——web层通用数据处理
qq_41340263的博客
06-02 3002
BaseController
微服务统一认证方案 Spring Cloud OAuth2 + JWT
小松de博客
01-06 1657
目录1. 微服务架构下统⼀认证介绍2. 微服务架构下统⼀认证思路2.1 基于 session 的认证⽅式2.2 基于 token 的认证⽅式3. OAuth2 开放授权协议 / 标准3.1 OAuth2 相关介绍3.2 OAuth2 协议⻆⾊和流程3.3 什么情况下需要使⽤ OAuth23.4 OAuth2 颁发 Token授权⽅式4. Spring Cloud OAuth2 + JWT 的实现4.1 Spring Cloud OAuth2 介绍4.2 Spring Cloud OAuth2 构建微服
jwt实现单点登录,基础讲解加实战!!!
m0_51167384的博客
03-22 1221
前言 1.了解token模式: token (令牌)是一串字符串,通常因为作为鉴权凭据,最常用的使用场景是 API 鉴权。 token 通过一次登录验证,得到一个鉴权字符串,然后以后带着这个鉴权字符串进行后续操作,这样就可以解决每次请求都要带账号密码的问题,而且也不需要反复使用账号和密码。 一、JWT是什么? 1.概念 JWT 全称 JSON Web Tokens ,是一种规范化的 token 2.组成 一个 JWT token 是一个字符串,它由三部分组成,头部、载荷与签名,中间用 . 分隔 (1)头部
Java知识点概览
qq_48403611的博客
08-03 3296
java后端开发常见面试题总结
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
WebAPI增加Area以支持无限层级同名Controller
sky 胡萝卜星星
12-04 1万+
微软的WebAPI默认实现逻辑 默认实现中不支持同名Controller,否则在访问时会报HttpError,在网上找到了各种路由自实现,如 给ASP.net Web APIController分类 搭建MVC及WebAPI项目框架时碰到的问题集合 在上述地址的帮助下,根据需求,重新编写了AreaHttpControllerSelector,路由原理与上述地址大同小异,均是通过路由匹配拼
WebAPI 用户认证篡改实现HMAC(五)测试小工具 SecuritySignTool
sky 胡萝卜星星
02-06 5957
篡改之后,测试就无法简单的通过浏览器进行测试,所以需要做个小工具方便测试 然后又因为是小工具,所以做的也不会有多完美,吐槽什么的还请轻点 小工具核心就两个,一个是签名部分,这个通过前面的SecuritySignHelper,还有一个就是访问部分,这个通过HttpClient实现 签名部分如何获取可以直接跳过,这里主要讲下HttpClient,这个是微软配套专门用于访问Restful标准ur
POST 数据 Web API controller
weixin_33711647的博客
12-24 409
HTML表单或者使用GET或POST发送数据到服务器。表单method属性给出了HTTP方法定义: <form action="api/values"method="post">默认的方法是GET。如果表单使用GET,表单数据被编码在URI作为查询字符串。如果表单使用POST,表单数据放置在请求主体。1. 复杂类型  通常情况下,如果使用POST发送数据到 ApiControll...
WebApi接口传参不再困惑:传参详解
热门推荐
leeyue_1982的博客
05-03 4万+
一、get请求 对于取数据,我们使用最多的应该就是get请求了吧。下面通过几个示例看看我们的get请求参数传递。 1、基础类型参数 [HttpGet] public string GetAllChargingData(int id, string name) { return "ChargingData" + id; }$.ajax({ type: "get",
微信几个开源项目参考
Jackia的专栏
05-04 9527
1、https://github.com/liyiorg/weixin-popular weixin-popular 微信公众平台Java SDK 介绍 weixin-popular 包括微信公众平台基础API与支付API,提供便捷的API调用接口. API 列表 TokenAPI access_token 获取MediaAPI 多媒体上传下载(临时
ASP.NET MVC ApiController过滤器预处理表单数据
ProgramWorld的专栏
04-13 1300
ASP.NET MVC ApiController拦截过滤 预处理表单数据
APS .Net MVC 之APIControllerController的区别
乌里随记的博客
09-29 1497
APIController Controller 开发模式 WebAPI MVC 命名空间 System.Web.Http System.Web.Mvc 返回方式 json/text或者xml/text html/text action的默认请求方式 post post与get 路由的映射格式 api/{controlName}/ {controlName}/{actionName} APIController...
WebAPI接口安全实践:深度解析HTTPS的实施与优势
- 完整性校验:通过MAC(消息验证码)或HMAC(哈希消息认证码)保证数据的完整性。 对于WebAPI应用而言,支持HTTPS不仅可以提高用户数据的安全性,还能提升应用的信誉度。开发者在实施HTTPS时,需要注意选择合适的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值