WebAPI 用户认证防篡改实现HMAC(五)测试小工具 SecuritySignTool

最新推荐文章于 2024-05-13 14:39:49 发布
最新推荐文章于 2024-05-13 14:39:49 发布
阅读量5.9k 收藏 4
点赞数
分类专栏: C# WebAPI 文章标签: c# WebAPI
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starfd/article/details/43561989
版权
C# 同时被 2 个专栏收录
108 篇文章 7 订阅
订阅专栏
WebAPI
11 篇文章 1 订阅
订阅专栏

防篡改之后,测试就无法简单的通过浏览器进行测试,所以需要做个小工具方便测试

然后又因为是小工具,所以做的也不会有多完美,吐槽什么的还请轻点

小工具核心就两个,一个是签名部分,这个通过前面的SecuritySignHelper,还有一个就是访问部分,这个通过HttpClient实现

签名部分如何获取可以直接跳过,这里主要讲下HttpClient,这个是微软配套专门用于访问Restful标准url的dll,提供Restful标准下的四种Http请求方式,请求方式均为Async方式,在这个小工具里面这四种用法都有所涉及,想要了解的同学可以参考相关代码,当然具体关于此dll的用法什么的在这里就不写了,相关资料可以百度或者Google

下面是小工具的运行截图


其中Partner以及PartnerKey属于必填项,QueryString对应需要通过Url传递的请求参数,还有个Form传递的请求参数需要仅在Method为POST或者PUT时才显示并且参与签名,访问的Url不能带问号,并且需要包含http请求头,否则会异常,ResponseContentType也请下拉选择,否则同样会产生异常!

源码下载

娃都会打酱油了
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
API接口篡改(加签、验签)原理
th1996的博客
05-13 3661
版权声明:本文为转载文章,遵循 CC 4.0 BY-SA 版权协议。 本文链接:https://blog.csdn.net/claram/article/details/98184448
WebAPI 用户认证篡改实现HMAC(四)ApiController
sky 胡萝卜星星
02-05 6122
前面写了三篇文章,都是为了这一步做准备,现在就开始进入最后的正题吧 首先对于用户请求中的合作号和签名部分,定义一个专门的类来接收此部分信息(这里要注意的是,在FromUri获取时,方法里面的参数名不能起属性名一样的参数名,否则会导致类实例化,但属性却均为null的问题,这个在做demo时纠结了我1个多小时,汗一个) public class PartnerSign {
接口安全设计之篡改重放
最新发布
记录,交流,共同进步
05-13 928
之所以想跟大家分享怎么做好基础的接口安全,一方面是工作需要,之前这部分的工作是我在负责,所以正好有这部分的经验;二是我之前也接触过很多做后端的同学,对于这一块大部分涉及不深或不太了解,也不知道怎么样做才算相对安全。所以把我的想法写出来,供大家参考和讨论,共同学习和进步。当然了,我分享的也只是我的个人经验,自然有很多的不足之处,也并不是说我后续阐述的一些观点和实现就一定是安全的,大家要加入自己的判断,并且混入一些定制化的东西。
WebAPI 用户认证篡改实现HMAC(一)MD5签名获取
zhanglong_longlong的专栏
03-16 1119
在开始前先说下HMAC篡改机制的原理,如果已经接触过支付宝的可以跳过此部分 篡改,顾名思义就是止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时作为请求的一部分一起传递(合作Key禁止传递) 下面进行举例: 假定需要进行签名的参数如下
SecuritySignTools
02-13
修正之前的版本,增加访问非签名方式的WebAPI,删除不必要的dll
REST和认证 HMAC
dodomail的专栏
12-09 292
REST和认证 我们在设计REST(Representational State Transfer)风格的Web service API,有一个问题经常要考虑,就是如何设计用户认证的体系(Authentication). 比较传统的做法是首先有一个登陆的API,然后服务器返回一个session ID,后续的操作客户端都必须带上这个session ID,但是这样的,服务就变成了有状态了,不...
单片机与DSP中的HMAC认证协议的单片机实现
12-10
我们通过国有自主知识产权的单片机ZQ032SA,实现了以MD5算法为核心的HMAC协议,并把它调用于IP电话计费认证系统。  关键词:HMAC ZQ032SA(6805) MD5 IP电话 引言 在开放的通信和计算机系统中,建立安全可靠的...
Hmac.WebApi:使用ASP.NET Web Api进行Hmac身份验证
05-06
Hmac.WebApi HMAC身份验证为每个使用者使用一个秘密密钥,使用者和服务器双方都知道该密钥对hmac哈希消息,应该使用HMAC256。 大多数情况下,将用户的哈希密码用作秘密密钥。 该消息通常是根据HTTP请求中的数据甚至...
HMAC认证协议的单片机实现
08-02
在IP电话计费认证系统中,客户和服务端利用预共享的密钥和HMAC协议进行交互,确保只有合法的用户才能进行计费服务,同时也保护了用户的隐私信息不被窃取或篡改。 总的来说,HMAC协议的单片机实现是将安全认证技术与...
larsign:通过Web API服务器进行Laravel签名认证
04-19
Api授权的Laravel 5签名中间件关于larsign软件包授权的签名服务器。特征处理larsign请求安装Laravel需要havenshen/larsign包在你的composer.json和更新您的依赖关系: $ composer require havenshen/larsign 将...
sha256_Hmac加密工具
02-15
sha256_Hmac加密; sha256_Hmac解密;
java8看不到源码-hmac-auth:RESTfulWeb应用程序的HMAC身份验证
06-04
java8 看不到源码hmac-auth RESTful Web 应用程序的 HMAC 身份验证 2.3.6 版 在签名计算之前添加 urldecode 以修复 url 中非 ascii 字符的问题 2.3.5 版 使用显式 utf-8 编码进行签名计算 2.3.4 版 为 Java 11+ 兼容性添加 jaxb 依赖项 2.3.3 版 添加补丁功能 2.3.2 版 向 hmac auth 代理应用程序添加了安全的 HTTPs 目标选项 版本:2.3.1 修复了使用版本 2.3.0 #23 验证 hmac 请求时的错误 DateTimeParseException 如果没有提供 secretKey,则抛出显式异常 #25 2.3.0 版 移除对 joda-time 库的依赖,改用 java.time 包。 使用这个库需要 Java8。 2.2.0 版 添加基于属性的用户存储库 (PropertyUserRepository)。 您可以注入具有以下结构的 json 文件: [ { "user": "user1", "password": "password1", "roles": [ "
API接口如何止参数被篡改和重放攻击?
码猿技术专栏
01-29 2742
点击上方☝码猿技术专栏轻松关注,设为星标!及时获取有趣有料的技术作者:巨人大哥cnblogs.com/jurendage/p/12886352.html说明:目前所有的系统架构都是采用...
浅析基于hmac的访问安全机制
格物致知的专栏 [音视频编解码 网络协议 计算机视觉 计算机图形学 图像理解 语音识别 机器学习 模拟电路 传感器]
09-23 338
通过web提供服务,最忌讳就是访问安全问题,服务被别人非法访问。 sha1或sha256
WebApi 接口恶意请求限制
小半的博客
10-22 1729
为了止爬虫以及恶意请求,我们适当的为API增加一个请求限制 WebApiThrottle限流框架 WebApiThrottle支持自定义配置各种限流策略。可以根据不同场景配置多个不同的限制,比如授权某个IP每秒、每分钟、每小时、每天、每周的最大调用次数。 这些限制策略可以配置在所有请求上,也可以单独给每个API接口去配置。                     ...
post 篡改_WebAPI 用户认证篡改实现HMAC(一)MD5签名获取
weixin_35745051的博客
01-17 243
原文:http://blog.csdn.net/starfd/article/details/43487587在开始前先说下HMAC篡改机制的原理,如果已经接触过支付宝的可以跳过此部分篡改,顾名思义就是止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时...
HMAC的JAVA实现和应用
【欢迎关注公众号:冬瓜白】
09-15 1613
1、简介:   HMACSHA1是从SHA1哈希函数构造的一种键控哈希算法,被用作HMAC(基于哈希的消息验证代码)。此HMAC进程将密钥与消息数据混合,使用哈希函数对混合结果进行哈希计算,将所得哈希值与该密钥混合,然后再次应用哈希函数。输出的哈希值长度为 160 位。 在发送方和接收方共享机密密钥的前提下,HMAC可用于确定通过不安全信道发送的消息是否已被篡改。发送方计算原始数据的哈希值,并将原始数据和哈希值放在一个消息中同时传送。接收方重新计算所接收消息的哈希值,并检查计算...
常用API接口签名验证参考
dotNET跨平台
05-12 1968
项目中常用的API接口签名验证方法: 1. 给app分配对应的key、secret2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下:  a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mr
hmac实现python
06-09
在Python中,可以使用hmac模块来实现HMAC算法。下面是一个使用HMAC算法对消息进行认证的示例代码: ```python import hmac import hashlib message = b'Hello, world!' key = b'secret_key' # 使用SHA-256散列...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值