接口验证与安全

最新推荐文章于 2023-02-01 17:46:49 发布
最新推荐文章于 2023-02-01 17:46:49 发布
阅读量184 收藏
点赞数 1
分类专栏: .net 技术流 c# http协议 文章标签: c# 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangjue18246068217/article/details/107915118
版权
c# 同时被 3 个专栏收录
21 篇文章 1 订阅
订阅专栏
.net 技术流
6 篇文章 1 订阅
订阅专栏
http协议
2 篇文章 0 订阅
订阅专栏

1、token值生成方式一: 由接口提供方提供获取token的接口,调用方只需传输参数相应的参数即可

url:http://******?action=GetToken&appid=***&secret=****

通过appid与secret 值获取服务器提供的token值

public object GetToken(HttpContext context)
    {
        Dictionary<object, object> dic = new Dictionary<object, object>();
        try
        {
            string appid = InputText(context.Request.QueryString["appid"]);
            string secret = InputText(context.Request.QueryString["secret"]);
            if (appid != null && secret != null)
            {
                string token = string.Empty;
                //验证appid 和 secret 是否有效
                if (VerificationAppID(appid, secret))
                {
                    //获取数据库中的token
                    DateTime creationtime = new DateTime();
                    int expires = 7200;
                    //token = XT.Base.EntityBase.GetDB().GetScale(string.Format("select token from ApiTokenConfig where appid='{0}' and appsecret='{1}'", appid, secret)).ToString();
                    DataTable dt = XT.Base.EntityBase.GetDB().GetDS(string.Format("select * from ApiTokenConfig where appid='{0}' and appsecret='{1}'", appid, secret)).Tables[0];
                    if (dt.Rows.Count > 0)
                    {
                        expires = int.Parse(dt.Rows[0]["expires"].ToString());
                        token = dt.Rows[0]["token"].ToString();
                        //判断token是否失效
                        if (VerificationToken(token) && token != "")
                        {
                            dic.Add("code", "0");
                            dic.Add("msg", "操作成功");
                            dic.Add("result", "1");
                            dic.Add("token", dt.Rows[0]["token"].ToString());
                            dic.Add("creationtime", dt.Rows[0]["creationtime"]);
                            dic.Add("expires", dt.Rows[0]["expires"]);
                        }
                        else
                        {
                            string tokenkey = RandomCode.GetRandomCodeByLength(6);
                            //token = XT.Utility.EncryptObject.EncryptString(XT.Utility.EncryptObject.Encrypt(appid + secret, tokenkey));
                            token = XT.Utility.EncryptObject.Encrypt(appid + secret, tokenkey);
                            creationtime = DateTime.Now;
                            StringBuilder sb = new StringBuilder();
                            sb.AppendFormat("update ApiTokenConfig set token='{0}',tokenkey='{1}',creationtime='{2}' where appid='{3}' and appsecret='{4}'", token, tokenkey, creationtime, appid, secret);
                            XT.Base.EntityBase.GetDB().ExcuteSql(sb.ToString());

                            dic.Add("code", "0");
                            dic.Add("msg", "操作成功");
                            dic.Add("result", "1");
                            dic.Add("token", token);
                            dic.Add("creationtime", creationtime);
                            dic.Add("expires", expires);
                        }
                    }
                    else
                    {
                        dic.Add("code", "10001");
                        dic.Add("msg", "appid与appsecret不匹配!");
                        dic.Add("result", "0");
                    }
                }
                else
                {
                    dic.Add("code", "10001");
                    dic.Add("msg", "appid与appsecret不匹配!");
                    dic.Add("result", "0");
                }
            }
            else
            {
                //Rlt = AjaxResult.Error("请检查appid或appsecret是否有效!");
                dic.Add("code", "10000");
                dic.Add("msg", "不合法的appid或appsecret");
                dic.Add("result", "0");
            }
        }
        catch (Exception ex)
        {
            //Rlt = AjaxResult.Error("异常错误:" + ex.Message);
            dic.Add("code", "11111");
            dic.Add("msg", "异常错误:" + ex.Message);
            dic.Add("result", "0");
        }
        return dic;
    }

注:时效性:int expires = 7200; 7200s=2小时 如上图代码 若时间超过两小时则重新生成token,下面为生成token代码:

参数Text : key和secret字符串  参数skey:六位随机字母或者数字

public static string Encrypt(string Text, string sKey)
        {
            DESCryptoServiceProvider des = new DESCryptoServiceProvider();
            byte[] inputByteArray;
            inputByteArray = Encoding.Default.GetBytes(Text);
            des.Key = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
            des.IV = ASCIIEncoding.ASCII.GetBytes(System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(sKey, "md5").Substring(0, 8));
            System.IO.MemoryStream ms = new System.IO.MemoryStream();
            CryptoStream cs = new CryptoStream(ms, des.CreateEncryptor(), CryptoStreamMode.Write);
            cs.Write(inputByteArray, 0, inputByteArray.Length);
            cs.FlushFinalBlock();
            StringBuilder ret = new StringBuilder();
            foreach (byte b in ms.ToArray())
            {
                ret.AppendFormat("{0:X2}", b);
            }
            return ret.ToString();
        }

skey 生成方式:

public class RandomCode
{
	public RandomCode()
	{
		//
		// TODO: 在此处添加构造函数逻辑
		//
	}

    private static char[] constant = { '0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f', 'g', 'h', 'i', 'j', 'k', 'l', 'm', 'n', 'o', 'p', 'q', 'r', 's', 't', 'u', 'v', 'w', 'x', 'y', 'z', 'A', 'B', 'C', 'D', 'E', 'F', 'G', 'H', 'I', 'J', 'K', 'L', 'M', 'N', 'O', 'P', 'Q', 'R', 'S', 'T', 'U', 'V', 'W', 'X', 'Y', 'Z' };

    public static string GetRandomCodeByLength(int strLength)
    {
        System.Text.StringBuilder newRandom = new System.Text.StringBuilder(62);
        Random rd = new Random();
        for (int i = 0; i < strLength; i++)
        {
            newRandom.Append(constant[rd.Next(62)]);
        }
        return newRandom.ToString();
    } 
}

注:由于时效性和skey的随机性这样就保证了数据传输的安全性。

2、token生成方式二: 将需要传输的数据字符串和接口提供方提供的key字符串 然后MD5加密 生成token

调接口:

/// <summary>
    /// 接收勘察结果
    /// </summary>
    /// <param name="postData"></param>
    /// <returns></returns>
    public static string installedNotice(Dictionary<string ,object> dicpostData)
    {
        string jsontoken = XT.Utility.EncryptObject.UnicodeToGB(JSONHelper.ToJson(dicpostData));
        string md5token = XT.Utility.EncryptObject.GetMD5(token + jsontoken);
        string postData = "&token=" + md5token + "&postData=" + jsontoken;
        string strUrl = "installedNotice.pub";
        string htmlUrl = string.Format("{0}{1}",url,strUrl);
        return Web_Request.POST_WebRequestHTML(encodingName, htmlUrl, postData);
    }

上面代码中的变量token是一个固定值(提供接口方给的), 参数dicpostData为传输的json字符串。

token生成:

public static string GetMD5(string myString)
        {
            string _str1 = System.Web.Security.FormsAuthentication.HashPasswordForStoringInConfigFile(myString, "MD5");
            return _str1;
        }

如此便生成了我们调用接口的凭证token,这种方式生成的token也绝对是安全的,对方验证token的方式也是拿到数据之后MD5验证我这边传输过去的token值和他那边生成的token值是否一致,从而确定有效性。
注:最近作者面试遇到有面试官质疑MD5不能反编译,拿不到传输json数据,我当时也是脑抽了,没有解释json数据是作为另一个参数传递的。故而。。。。。(不多聊)

3、token生成方式三:直接上代码【跟第二种区别不是很大】

public static string PushStore(string storecode, string storename, string parentstorecode, string parentstorename, string address)
    {
        try
        {
            IDictionary<string, string> dic = new Dictionary<string, string>();
            dic.Add("app_key", app_key);
            dic.Add("timestamp", DateTime.Now.ToString("yyyy-MM-dd HH:mm:ss"));
            dic.Add("store_name", storename);
            dic.Add("address", address);
            dic.Add("store_id", storecode);
            dic.Add("org_code", parentstorecode);
            dic.Add("org_name", parentstorename);
            dic.Add("status", "0");

            string sign = GetSignString(dic, appsecreate);
            dic.Add("sign", sign);
            string postData = XT.Utility.EncryptObject.UnicodeToGB(JSONHelper.ToJson(dic));
            string htmlUrl = string.Format("{0}{1}", url, "AddStore");
            string str = Web_Request.POST_WebRequestHTML("utf-8", htmlUrl, postData, "");
            string strnew = str.Substring(18, str.Length - 19);
            error_response jo = JsonMapper.ToObject<error_response>(strnew);
            return jo.sub_msg;
        }
        catch (Exception ex)
        {
            return ex.ToString();
        }
public static string GetSignString(IDictionary<string, string> sortedParams, string appSecret)
    {
        IEnumerator<KeyValuePair<string, string>> dem = sortedParams.GetEnumerator();

        //把所有参数名和参数值串在一起
        StringBuilder query = new StringBuilder();
        while (dem.MoveNext())
        {
            string key = dem.Current.Key;
            string value = dem.Current.Value;
            if (!string.IsNullOrEmpty(key) && !string.IsNullOrEmpty(value))
            {
                query.Append(key).Append(value);
            }
        }
        query.Append(appSecret);
        //修改部分
        query.ToString();
        //第三步:使用MD5加密
        byte[] bytes;
        MD5 md5 = MD5.Create();
        bytes = md5.ComputeHash(Encoding.UTF8.GetBytes(query.ToString()));
        // 第四步:把二进制转化为大写的十六进制
        StringBuilder result = new StringBuilder();
        for (int i = 0; i < bytes.Length; i++)
        {
            result.Append(bytes[i].ToString("X2"));
        }
        return result.ToString();
    }

也是数据把传输数据封装之后MD5,仅有的区别是:这里把给的固定值secret直接放到了json字符串内。实质上第二种第三种是一种验证方式。

Angry菜鸟慢慢飞
关注
专栏目录
APP接口安全设计
10-23
使用非对性算法和对称性算法实现了接口数据的传输安全
App接口如何保证安全
weixin_30872157的博客
06-02 377
微信开发或者高德地图,百度地图什么的api要使用,使用之前都需要注册一个账号,然后系统会给你一个key,然后调用api的时候把key传给服务器。 平常公司内部开发项目时,直接用mvc为app客户端提供接口,没有做过验证。 本次为了安全,所以需要考虑解决下安全问题。咨询了同学,有人提出,自己定义一个加密字符串+实时的一个时间戳,对称加密。app每次请求接口,把加密字符串传过来,服务器端解密对比下...
【学习日记】接口安全
云吞煲仔牛腩河的博客
07-15 167
刚刚了解这个接口安全,内容未必正确,大神请指点,萌新别全信 以下内容纯属虚构,如有模仿,后果自负 假设这是一个简陋的转账接口 这是一个简陋的登录 小明想转账给小红,于是他登录之后点击页面上的转账按钮触发了 http://localhost.com/ajaxclass/test_csfr_php.php?money=10&who=小红 这样一个链接。 小奸发现了这个链接于是他就在浏览器上直接...
java接口安全_java 如何保证接口安全
weixin_30449853的博客
02-12 543
在开发过程中,肯定会有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢?1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head中的token,校验是否合法(和数据库或者Redis中记录的是否一致,在登录或者初始化的时候,存入数据库/redis)在使用Base64方式的编码后,Token字符串还是有20多位,...
APP接口安全设计
OrangeHeng的博客
07-05 735
在app开放接口api的设计中,避免不了的就是安全性问题,因为大多数接口涉及到用户的个人信息以及一些敏感的数据,所以对这些接口需要进行身份的认证,那么这就需要用户提供一些信息,比如用户名密码等,但是为了安全起见让用户暴露的明文密码次数越少越好,我们一般在web项目中,大多数采用保存的session中,然后在存一份到cookie中,来保持用户的回话有效性。但是在app提供的开放接口中,后端服务器在用
PHP开发api接口安全验证操作实例详解
10-15
API接口安全验证的基本思路是:客户端(通常是前端应用)在请求API时,需要携带一些特定的验证信息,这些信息经过一定的算法处理后形成签名,服务器端收到请求后,使用相同的算法和信息重新计算签名,若计算结果与...
居民身份证验证安全控制模块接口技术规范
11-15
《居民身份证验证安全控制模块接口技术规范》是GA-T 467-2019这一国家标准的重要组成部分,主要涉及身份证识别与验证系统的安全性及控制模块的接口设计。该规范旨在确保身份证信息的安全读取、验证和管理,防止非法...
sdtapi.dll居民身份证验证安全控制模块接口 API 使用手册.pdf
09-14
这份《sdtapi.dll居民身份证验证安全控制模块接口API使用手册》详细介绍了如何使用广东东信智能科技有限公司提供的居民身份证验证安全控制模块接口API,版本号为*.*.*.*。以下是从手册内容中提炼出的IT知识点。 ###...
PHP开发api接口安全验证的实例讲解
10-18
在当今移动互联网快速发展的背景下,API接口作为数据交换的重要通道,其安全性能直接影响到应用...同时,通过这种安全验证的实践,开发者可以更好地理解在现实世界中如何有效地防止API接口被滥用,提高应用的安全等级。
APP接口验证
01-30
在IT行业中,APP接口验证是开发过程中的一个重要环节,它确保了应用程序(APP)与服务器之间的通信顺畅且安全。本文将深入探讨接口验证的概念、重要性以及如何进行GET和POST请求的验证,同时还会提及一些实际操作的...
php app接口安全,app接口设计之安全
weixin_36389335的博客
03-11 269
1. 什么是接口接口简单来说就是服务器端用来返回给其他程序或者客户端数据的桥梁2. 接口的作用根据固定参数返回固定数据3. API接口保障安全性原则1.有调用者身份2.请求的唯一性3.请求的参数不能被篡改4.请求的有效时间4. 接口安全需求1.最好必须启用HTTPS2.signature签名3.token登陆的唯一票据4.验证时间戳5.对要求安全性高的接口数据进行加密传输(aes+rsa)5. s...
APP接口安全设计要点
qq_39581763的博客
04-24 312
请求合法性校验: 请求合法性校验主要就是指如何避免API被非法的调用,比如系统里面有一个短信接口,就要考虑如何避免这个短信接口不被短信轰炸机滥用,可以采用的方式有以下几种: 1. 验证码,验证码主要用于防范恶意注册、恶意破解密码、恶意灌水等非法操作,验证码可以使用Google的CAPTCHA解决方案。 2. Token令牌,Token主要用于自动登录,也就是在不需要用户频繁登录的情况下保证访...
App端安全性加密策略
最新发布
wybaby168的博客
02-01 1945
一种签名+验签的设计方案,供大家参考
APP接口开发token安全之请求校验规则
weixin_33858485的博客
03-30 1144
移动应用开发过程中请求服务端采用token(在计算机身份认证中是令牌(临时))方式请求方式进行,get请求方式下token直接暴露在请求路径很容易被别人利用进行篡改进行重复提交等,怎样保证移动端安全成为后台开发者所面临的问题,,因为涉及敏感行业数据APP接口开发过程中安全性成为要求,在网上看了很多资料最后选择采用token+time+no...
api对外开放安全验证token,签名,时间戳
qq_37342720的博客
02-19 1957
近日,对调用第三方接口安全性调用进行了调整,于是对自己调用接口也进行了验证,看到公众号 程序员闪充包的文章,于是自己测试了一下。 流程说一下: 1.首先第一次登陆,服务器会返回token,服务器端对token进行验证; 2.将调用接口的参数及token生成一个签名sign,作为请求头发给服务器,服务器端用同样方法生成sign对传送过来的sign进行验证; 3.但这样会出现被无限制访问,于是再加一个时间戳的校验,sign是参数、token及时间戳生成sign,进行验证; 4.服务端需要对toke.
APP接口设计安全问题-app接口鉴权
奔跑的小车车博客专栏
12-10 9355
我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了 系统无用户登录 新手问题(从来没做过服务端开发),如果可以,给几个主流方法的链接,多谢 直观总结方法二: 1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。 有点:防止了服务器端api被随意
解决多线程dic.Add报错数组越界问题
a1234012340a的博客
10-26 1406
报错内容: Unhandled Exception: System.IndexOutOfRangeException: Index was outside the bounds of the array. at System.Collections.Generic.Dictionary`2.TryInsert(TKey key, TValue value, InsertionBehavior behavior) at System.Collections.Generic.Dict...
PHP做APP接口时,如何保证接口安全
热门推荐
lhbeggar的专栏
06-05 1万+
PHP做APP接口时,如何保证接口安全性? 1、当用户登录APP时,使用https协议调用后台相关接口,服务器端根据用户名和密码时生成一个access_key,并将access_key保存在session中,将生成的access_key和session_id返回给APP端。 2、APP端将接收到的access_key和session_id保存起来 3、当APP端调用接口传输数据时,将所传数
软件测试之接口自动化测试(六):数据验证专项1
测试小小小的博客
07-18 947
一、进入主题 接口自动化测试的难点就在结果验证上面,接口请求后返回的响应结果各式各样,常见的有text、JSON、XML、binary、自定义格式等,对于这些格式,我们只需关注text、JSON和XML,text比较简单,XML可以有办法转成JSON,自定义格式要具体问题具体分析,binary的通常情况没法搞,比如文件、图片。所以我们最终掌握验证JSON就可以满足90%以上的需求了。 二、思路分析 我们还是拿上一节的那个汇率的接口例子来做演示(上次有童鞋建议,所以尽量都用公开的大家都可以用的接口例子)
HTTP接口文档:短信服务与安全验证
提供了查询剩余短信条数、已发送总条数、发送记录、修改密码、添加短信模板、查看模板审核状态、获取模板记录以及接口安全绑定IP等操作。 这份文档为开发者提供了全面的指导,从接口的基础配置到高级功能的使用,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值