WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute--转

最新推荐文章于 2024-03-04 17:39:23 发布
最新推荐文章于 2024-03-04 17:39:23 发布
阅读量138 收藏
点赞数
文章标签: c# 测试 
 1 public class ActionFilter : ActionFilterAttribute  
 2    {  
 3        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)  
 4        {  
 5            base.OnActionExecuting(actionContext);  
 6            //获取请求消息提数据  
 7            Stream stream = actionContext.Request.Content.ReadAsStreamAsync().Result;  
 8            Encoding encoding = Encoding.UTF8;  
 9            stream.Position = 0;  
10            string responseData = "";  
11            using (StreamReader reader = new StreamReader(stream, encoding))  
12            {  
13                responseData = reader.ReadToEnd().ToString();  
14            }  
15            //反序列化进行处理  
16            var serialize = new JavaScriptSerializer();  
17            var obj = serialize.Deserialize<RequestDTO>(responseData);  
18            //在action执行前终止请求时,应该使用填充方法Response,将不返回action方法体。  
19            if (obj == null)  
20                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  
21   
22            if (string.IsNullOrEmpty(obj.PhoneType) || string.IsNullOrEmpty(obj.PhoneVersion)  
23                || string.IsNullOrEmpty(obj.PhoneID) || obj.StartCity < 1)  
24            {  
25                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  
26            }  
27        }  
28    }  

 

 

 

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute

标签: c#WebAPI
2015-02-05 10:11 4904人阅读 评论(1) 收藏 举报
 分类:
C#(55)   WebAPI(9) 

版权声明:本文为starfd原创文章,未经博主允许不得转载。

WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法

AbsBaseAuthenticationAttribute

    using System;
    using System.Web;
    using System.Collections.Specialized;
    using System.Net;
    using System.Net.Http;
    using System.Text.RegularExpressions;
    using System.Web.Http.Controllers;
    using System.Web.Http.Filters;

    /// <summary>
    /// WebAPI防篡改签名验证抽象基类Attribute
    /// </summary>
    public abstract class AbsBaseAuthenticationAttribute : ActionFilterAttribute
    {
        /// <summary>
        /// Occurs before the action method is invoked.
        /// </summary>
        /// <param name="actionContext">The action context</param>
        public override void OnActionExecuting(HttpActionContext actionContext)
        {
            //获取Asp.Net对应的Request
            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;
            NameValueCollection getCollection = request.QueryString;//此签名要求Partner及Sign均通过QueryString传递
            if (getCollection != null && getCollection.Count > 0)
            {
                string partner = getCollection[SecuritySignHelper.Partner];
                string sign = getCollection[SecuritySignHelper.Sign];
                if (!string.IsNullOrWhiteSpace(partner)//必须包含partner
                   && !string.IsNullOrWhiteSpace(sign)//必须包含sign
                   && Regex.IsMatch(sign, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要
                {
                    //获取partner对应的key
                    //这里暂时只做了合作key校验,不做访问权限校验,如有需要,此处可进行调整,建议RBAC
                    string partnerKey = this.GetPartnerKey(partner);
                    if (!string.IsNullOrWhiteSpace(partnerKey))
                    {
                        NameValueCollection postCollection = null;
                        switch (request.RequestType.ToUpper())
                        {
                            case "GET":
                            case "DELETE": break;//只是为了同时显示restful四种方式才有这部分无意义代码
                            //实际该以哪种方式进行请求应遵循restful标准
                            case "POST":
                            case "PUT":
                                postCollection = request.Form;//post的数据必须通过application/x-www-form-urlencoded方式传递
                                break;
                            default:
                                throw new NotImplementedException();
                        }
                        //根据请求数据获取MD5签名
                        string vSign = getCollection.GetSecuritySign(partner, partnerKey, postCollection);
                        if (string.Equals(sign, vSign, StringComparison.OrdinalIgnoreCase))
                        {//验证通过,执行基类方法
                            base.OnActionExecuting(actionContext);
                            return;
                        }
                    }
                }
            }
            //此处暂时以401返回,可调整为其它返回
            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);
            //actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);
        }

        /// <summary>
        /// 获取合作号对应的合作Key,如果未能获取,则返回空字符串或者null
        /// </summary>
        /// <param name="partner"></param>
        /// <returns></returns>
        protected abstract string GetPartnerKey(string partner);
    }

子类例子

 

    public class AuthenticationAttribute : AbsBaseAuthenticationAttribute
    {
        protected override string GetPartnerKey(string partner)
        {
            //TODO:从缓存中或者其它地方读取数据
            return "bbb";
        }
    }
实际可以在需要身份验证的ApiController上增加[Authentication],也可以写一个基类,然后需要身份验证的ApiController继承自该基类

 

    [Authentication]
    public class ApiControllerBase : ApiController
    {
    }

当然如果项目中所有的api都需要进行签名访问,那么直接可以进行注册,就不需要上面的ApiControllerBase了

    config.Filters.Add(new AuthenticationAttribute());
weixin_34409357
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
WebAPI 用户认证篡改实现HMAC签名验证 AbsBaseAuthenticationAttribute
热门推荐
sky 胡萝卜星星
02-05 1万+
WebAPI用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法 AbsBaseAuthenticationAttribute using System; using System.Web; using System.Collections.Specialized; using
WebAPI 用户认证篡改实现HMAC(一)MD5签名获取
zhanglong_longlong的专栏
03-16 1138
在开始前先说下HMAC篡改机制的原理,如果已经接触过支付宝的可以跳过此部分 篡改,顾名思义就是止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时作为请求的一部分一起传递(合作Key禁止传递) 下面进行举例: 假定需要进行签名的参数如下
ASP.NET MVC使用AuthenticationAttribute验证登录
08-02 253
首先,添加一个类AuthenticationAttribute,该类继承AuthorizeAttribute,如下: using System.Web; using System.Web.Mvc; namespace Zhong.Web { public class AuthenticationAttribute : AuthorizeAttribute ...
WebAPI 安全性 使用TOKEN+签名验证(下)
10-22 79
//根据请求类型拼接参数 NameValueCollection form = HttpContext.Current.Request.QueryString; string data = string.Empty; switch (method) { ...
hmac_sha.rar_hmac_hmac sha1_hmac-sha_hmac-sha-1_签名算法
07-15
HMAC-SHA1是一种安全的哈希消息认证码(Hash-based Message Authentication Code)算法,它结合了密钥和数据一起进行哈希运算,用于验证数据的完整性和来源的可靠性。在给定的“hmac_sha.rar”压缩包中,包含了两个...
hmac.rar_HMAC-MD5_hmac_hmac-sha1
09-20
标题中的"hmac.rar_HMAC-MD5_hmac_hmac-sha1"暗示了这个压缩包包含与HMAC(Hash-based Message Authentication Code)相关的代码或资料,特别是关于HMAC-MD5和HMAC-SHA1这两种特定的哈希消息认证码算法。HMAC是一种...
腾讯云·短信·TC3-HMAC-SHA256API3.0签名V3算法带发送例子
12-30
本示例涉及的是`TC3-HMAC-SHA256`签名算法在API 3.0版本中的应用,该算法是一种安全的哈希消息认证码(HMAC)方法,用于确保数据在传输过程中的完整性和真实性。 `TC3-HMAC-SHA256`签名算法的核心在于使用密钥和SHA...
C/C++实现HMAC-SHA1和base64编码
12-16
C语言版的实现HMAC-SHA1和base64编码,已经对C++做了兼容处理,在VS下运行main.c代码,可以得到经过HMAC-SHA1处理后的结果,并且可以运行里面的base64编码函数得到想要的结果,可以用于连接阿里云MQTT
使用HMAC-SHA1签名方法详解
10-27
HMAC-SHA1是一种结合使用哈希函数和共享密钥来创建消息认证码的机制,用于验证数据的完整性和消息的认证。在信息安全领域,它被广泛应用于确保数据传输的安全性。HMAC(Hash-based Message Authentication Code)是...
WebApi安全性 使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1.做一个认证服务,提供一个认证webapi用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api                3.服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api验证失败则返回具体的失败信息
webapi接口请求数据篡改
08-17
自己简单实现的一个webapi接口请求时验证客户端传送数据止被篡改的组件,需要客户端配合签名,不懂的想想支付宝的支付接口签名,业务逻辑一样。
WebApi安全性 使用TOKEN+签名验证
sky198989的博客
04-20 220
载:https://www.cnblogs.com/MR-YY/p/5972380.html
kong笔记——使用hmac auth
罗伯特是疯子丶
02-25 2145
hmac简述 hmac是Hashing for Message Authentication的简写,可以用来保证数据的完整,客户端把内容通过散列/哈希算法算出一个摘要,并把算法和内容以及摘要传送给服务端,服务端按照这个算法也算一遍,和摘要比一下如果一样就认为内容是完整的,如果不一样就认为内容被篡改了。 关于Kong的hmac说几点 Clock Skew 使用Kong的hmac后,请求必须带有Date和x-date请求头,这个是止重放攻击(Replay Attacks),默认的情况下,客户端传过来的时间和
kong Hmac auth 认证
最新发布
别忘了微笑
03-04 178
【代码】kong Hmac auth 认证
【kong系列八】之HMAC认证hmac-auth插件
|] 大世界,小人物
08-18 6216
hmac 插件 构造签名header Authorization: hmac username="userhmac", algorithm="hmac-sha1", headers="X-Date Content-md5", signature="LqkezHTAuk/Sk3RTbguHHYZGt/8=" X-Date: Mon, 31 Jul 2017 07:23:02 GMT Content-md5: IgWlVHazOsGgHGVlcKvQDA==
HTTP API 认证技术详解(四):HMAC Authentication
路多辛的所思所想
01-17 1262
HMAC(Hash-based Message Authentication Code)认证是一种被广泛使用的技术,用于验证消息的完整性和真实性。HMAC 结合了哈希函数和加密密钥,比单纯的哈希更安全。在网络通信和数据存储中,HMAC 可以确保传输的数据未被篡改,并验证消息发送者的身份。
kong api网关hmac-auth认证插件的使用
qq_39170899的博客
08-05 2130
1、安装hamc-auth插件 我这里使用的kong管理界面为konga,在插件中选择hmac-auth插件 接下来我们对hmac-auth插件进行配置 下一步就是如何请求使用hmac-auth插件的网关了,我这里语言使用的是java,加密算法使用的是hmac-sha256,不多说,直接上代码 package com.kong.demo.test; import org.apache.http.HttpResponse; import org.apache.http.client.met
WebApi 身份认证解决方案:Basic基础认证
sinolover的专栏
11-20 740
参考路径:https://www.cnblogs.com/landeanfen/p/5287064.html 前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题。也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想想都恐怖。经过一番折腾,总算是加上了接口的身份认证,在此记录下,也给需要做身份认证的园友们提供参考。 一、为什么需要身份认证 在前言里面,我们说了,如果没有启用身份认证,那么任何匿名用户只要.
构建Web安全:步骤7 - iGuard篡改模块部署与配置
iGuard是一个专门设计用于Web应用安全的产品,它采用HMAC-MD5和THSM等加密技术,确保数据的完整性和真实性。 iGuard的核心内嵌技术基于硬件平台,支持多种架构如X86、sparc、Itanium II、PowerPC等,并兼容多种操作...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值