post 防篡改_WebAPI 用户认证防篡改实现HMAC(一)MD5签名获取

最新推荐文章于 2023-05-07 22:44:48 发布
最新推荐文章于 2023-05-07 22:44:48 发布
阅读量249 收藏
点赞数
文章标签: post 防篡改
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35745051/article/details/113019272
版权
本文介绍了WebAPI中防止数据被篡改的HMAC机制,通过结合合作号、合作Key和MD5摘要来确保请求的安全。详细讲解了如何组织字符串进行MD5加密,并提供了C#代码示例,展示了签名生成过程以及如何处理GET和POST请求的签名。
摘要由CSDN通过智能技术生成

原文:http://blog.csdn.net/starfd/article/details/43487587

在开始前先说下HMAC防篡改机制的原理,如果已经接触过支付宝的可以跳过此部分

防篡改,顾名思义就是防止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时作为请求的一部分一起传递(合作Key禁止传递)

下面进行举例:

假定需要进行签名的参数如下(以json格式举例):

{‘partner’: ‘3122131212’,‘orderNo’:‘1234567’}

对数组里的每一个键按默认的字母正向排序,最后加上partner对应的key进行MD5加密,假定对应的key为bbb,则需要进行MD5摘要的字符串如下:

partner=3122131212&orderNo=1234567bbb

最终需要传递的请求数据格式如下(分别列举GET和POST方式,服务实际支持哪种方式以服务声明为准):

GET:partner=3122131212&orderNo=1234567&sign=EBFE84D02E8E40952899EE5CDFE5404C

POST:{‘partner’:‘3122131212’,‘orderNo’:‘1234567’ ,‘sign:‘EBFE84D02E8E40952899EE5CDFE5404C’}

上例中partner为平台提供的合作号,key为合作密码,sign为签名,然后此处例子是将Get和Post区分开来的,实际获取MD5的代码会支持QueryString及Form同时存在的情况,且当两者同时存在时,组织字符串顺序为先QueryString后Form

以下是签名摘要生成代码

using System;

using System.Collections.Generic;

using System.Collections.Specialized;

using System.Security.Cryptography;

using System.Text;

public static class SecuritySignHelper

{

public const string Partner = "partner";

public const string Sign = "sign";

/// 

/// 获取防篡改签名,组织原始字符串的方式为:先get后post,该签名要求partner在加密时为全小写,同时该方法隐含要求parnter和sign必须通过QueryString方式传递

/// 

/// 通过QueryString方式传递的键值集合,如果内部包含parnter或者sign,相关字段在组织原始字符串时将会被移除

/// 合作账号

/// 合作Key

/// 通过Form方式传递的键值集合,如果包含parnter或者sign,此部分不会被做特殊处理

/// 

public static string GetSecuritySign(this NameValueCollection getCollection, string partner, string partnerKey, NameValueCollection postCollection = null)

{

if (string.IsNullOrWhiteSpace(partner) || string.IsNullOrWhiteSpace(partnerKey))

{

throw new ArgumentNullException();

}

var dic = SecuritySignHelper.GetSortedDictionary(getCollection,

(k) =>

{//过滤partner及sign

return string.Equals(k, SecuritySignHelper.Partner, StringComparison.OrdinalIgnoreCase)

|| string.Equals(k, SecuritySignHelper.Sign, StringComparison.OrdinalIgnoreCase);

});

dic.Add(SecuritySignHelper.Partner, partner);

StringBuilder tmp = new StringBuilder();

SecuritySignHelper.FillStringBuilder(tmp, dic);//将QueryString填入StringBuilder

dic = SecuritySignHelper.GetSortedDictionary(postCollection);

SecuritySignHelper.FillStringBuilder(tmp, dic);//将Form填入StringBuilder

tmp.Append(partnerKey);//在尾部添加key

tmp.Remove(0, 1);//移除第一个&

return tmp.ToString().GetMD5_32();//获取32位长度的Md5摘要

}

private static SortedDictionary GetSortedDictionary(NameValueCollection collection, Func filter = null)

{//获取排序的键值对

SortedDictionary dic = new SortedDictionary();

if (collection != null && collection.Count > 0)

{

foreach (var k in collection.AllKeys)

{

if (filter == null || !filter(k))

{//如果没设置过滤条件或者无需过滤

dic.Add(k, collection[k]);

}

}

}

return dic;

}

private static void FillStringBuilder(StringBuilder builder, SortedDictionary dic)

{

foreach (var kv in dic)

{

builder.Append('&');

builder.Append(kv.Key);

builder.Append('=');

builder.Append(kv.Value);

}//按key顺序组织字符串

}

/// 

/// 获取32位长度的Md5摘要

/// 

/// 

/// 

/// 

public static string GetMD5_32(this string inputStr, Encoding encoding = null)

{

RefEncoding(ref encoding);

byte[] data = GetMD5(inputStr, encoding);

StringBuilder tmp = new StringBuilder();

for (int i = 0; i 

{

tmp.Append(data[i].ToString("x2"));

}

return tmp.ToString();

}

private static byte[] GetMD5(string inputStr, Encoding encoding)

{

using (MD5 md5Hash = MD5.Create())

{

return md5Hash.ComputeHash(encoding.GetBytes(inputStr));

}

}

private static void RefEncoding(ref Encoding encoding)

{

if (encoding == null)

{

encoding = Encoding.Default;

}

}

}

使用例子

string partner = "zhangsan";

string partnerKey = "bbb";

NameValueCollection getCollection = new NameValueCollection();

string md50 = getCollection.GetSecuritySign(partner, partnerKey);//不带任何参数的请求

getCollection.Add("test", "123");

string md51 = getCollection.GetSecuritySign(partner, partnerKey);//带一个参数的请求

NameValueCollection postCollection = new NameValueCollection();

postCollection.Add("Name", "张三");

postCollection.Add("Address", "上海");

string md52 = getCollection.GetSecuritySign(partner, partnerKey, postCollection);//同时存在QueryString及Form的请求

家的要素
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
md5加密及篡改
wadhwaudw的博客
06-19 1336
md5加密 MD5的全称是Message-Digest Algorithm 5(信息-摘要算法),它是一种单向加密算法,可以将输入的信息加密转换为128位固定长度的散列值,用于检验数据传输过程中的完整性。 特点: 1.不可逆运算 2. 具有高度的离散性 3. 对相同的数据加密,得到的结果是一样的(也就是复制)。 4.弱碰撞性 作用: 1.密码的加密存储 2.一致性检验 3.文件上传等等 简单实现方式如下: public static String getMD5String(String str) { try
post 篡改_安全|API接口安全性设计(篡改和重复调用)
weixin_42604188的博客
01-17 871
API接口的安全性主要是为了保证数据不会被篡改和重复调用,实现方案主要围绕Token、时间戳和Sign三个机制展开设计。1. Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(必须要保证唯一,可以结合UUID和本地设备标示),并将Token-UserId以键值对的形式存放在缓存服务器中(我们是使用Redis),并要设置失效时间。服务端接收到请求后进行Token验证,如果T...
WebAPI 用户认证篡改实现HMAC(一)MD5签名获取
zhanglong_longlong的专栏
03-16 1133
在开始前先说下HMAC篡改机制的原理,如果已经接触过支付宝的可以跳过此部分 篡改,顾名思义就是止有人恶意篡改请求数据以达到恶意攻击的目的,那要怎么才能实现这样的目的呢?其实很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时作为请求的一部分一起传递(合作Key禁止传递) 下面进行举例: 假定需要进行签名的参数如下
post 篡改_表单提交数据篡改
weixin_39856589的博客
01-17 870
概述有些情况数据需要更高的安全性,需要避免第三方工具抓包进行对数据修改,因此在表单提交/ajax提交数据时需要数据强一致性。image.png解决逻辑前段页面监听ajax提交,把提交的数据md5哈希,并往http header头写入X-Token$(document).ready(function(){#监听ajax提交,把提交的数据md5哈希,并往http header头写入X-Token$.a...
错误码
fxinn的博客
01-14 161
生动形象 4** 5** :https://www.zhihu.com/question/30692393 100: 101:ip 地址错误,网络设置 301:域名已更换,访问的资源已经被永久转移到其他 URL 302:资源被临时移动了,客户端应该继续使用原有URL 307:临时重定向,请使用GET请求重定向。客户端发送post请求返回307时,浏览器询问用户是否再次post 400:请求语法错误 401:要求用户身份认证 402:需要付费 403:禁止执行访问 4...
c++ hmac_md5加密
04-18
HMACMD5结合使用,即HMAC-MD5,可以提供一种简单但有效的消息认证方法。 HMAC-MD5的工作原理是通过将一个密钥和消息一起输入到哈希函数中,生成一个固定长度的摘要。这个过程会进行两次,一次使用密钥和原始...
hmac.rar_hmac_hmac md5_people
09-23
标题中的"hmac.rar_hmac_hmac_md5_people"暗示了这个压缩包可能包含关于HMAC(Hash-based Message Authentication Code)的资源,特别是与MD5哈希函数相关的应用,且是面向大众的。描述中的"Hmac MD5 for all people...
md5_hmac.rar_C# MD5_HMAC-MD5_c# 加密_hmac
09-23
在压缩包中的文件“www.pudn.com.txt”可能是介绍这些概念或包含示例代码的文档,而“md5_hmac”可能是一个实际的C#项目或源代码文件,提供了更详细的实现或测试用例。 总结起来,C#中MD5哈希用于生成数据的不可逆...
hmac.rar_HMAC-MD5_hmac_hmac-sha1
09-20
标题中的"hmac.rar_HMAC-MD5_hmac_hmac-sha1"暗示了这个压缩包包含与HMAC(Hash-based Message Authentication Code)相关的代码或资料,特别是关于HMAC-MD5HMAC-SHA1这两种特定的哈希消息认证码算法。HMAC是一种...
hmac-md5.rar_HMAC-MD5 ASP_asp md5_hmac asp_md5_md5 asp
09-23
标题中的"hmac-md5.rar_HMAC-MD5 ASP_asp md5_hmac asp_md5_md5 asp"提到了几个关键概念:HMAC-MD5、ASP以及MD5。这些是信息安全和Web开发领域的重要知识点。 **HMAC-MD5(Hash-based Message Authentication Code ...
WebAPI 用户认证篡改实现HMAC(五)测试小工具 SecuritySignTool
sky 胡萝卜星星
02-06 5946
篡改之后,测试就无法简单的通过浏览器进行测试,所以需要做个小工具方便测试 然后又因为是小工具,所以做的也不会有多完美,吐槽什么的还请轻点 小工具核心就两个,一个是签名部分,这个通过前面的SecuritySignHelper,还有一个就是访问部分,这个通过HttpClient实现 签名部分如何获取可以直接跳过,这里主要讲下HttpClient,这个是微软配套专门用于访问Restful标准ur
网络安全中御黑客抓包篡改数据核心:md5单向加密实现原理分析
最新发布
zyxpython的博客
05-07 349
客户端真实发送请求为:后面有签名,相当于加一个参数,相当于我们的客户端发送请求的时候带的签名,相当于对我们整个参数做一个md5值得出一个签名。使用md5单向加密的原因就是因为md5属于单向加密,所以不能进行解密,只可以进行暴力破解。哪怕抓包数据被篡改,但是通过md5签名去做验证的时候发现值发生了变化,说明出现了问题。因为通过验证签名,比对参数后,可以发现参数是否发生变化来判断数据是否被篡改。例如:https://www.cmd5.com/所以,一般密码都会选择md5加密。
关于JavaWeb的笔试面试题(二)
weixin_41768263的博客
05-19 299
1.什么是Servlet?(有的会问到)Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,用Java编写的服务器端程序,主要功能在于交互式地浏览和修改数据,生成动态Web内容。狭义的Servlet是指Java语言实现的一个接口,广义的Servlet是指任何实现了这个Servlet接口的类,一般情况下,人们将Servlet理解为后者。Servl...
01WebApi篡改机制---HMAC机制
weixin_30886233的博客
01-27 110
篡改,顾名思义就是止有人恶意篡改请求数据URL以达到恶意攻击的目的,那要怎么才能实现这样的目的呢? 很简单,将要请求的数据加上合作号、合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及合作号同时作为请求的一部分一起传递(合作Key禁止传递) 举个简单的例子: 加入我们需要进行签名的Json参数如下: {"user_name":"admin","pwd":"123"}...
HMAC的JAVA实现和应用
【欢迎关注公众号:冬瓜白】
09-15 1630
1、简介:   HMACSHA1是从SHA1哈希函数构造的一种键控哈希算法,被用作HMAC(基于哈希的消息验证代码)。此HMAC进程将密钥与消息数据混合,使用哈希函数对混合结果进行哈希计算,将所得哈希值与该密钥混合,然后再次应用哈希函数。输出的哈希值长度为 160 位。 在发送方和接收方共享机密密钥的前提下,HMAC可用于确定通过不安全信道发送的消息是否已被篡改。发送方计算原始数据的哈希值,并将原始数据和哈希值放在一个消息中同时传送。接收方重新计算所接收消息的哈希值,并检查计算...
md5加密代码_接口测试参数实现MD5加密签名规则
weixin_39533896的博客
12-04 471
最近有个测试接口需求,接口有签名检查,签名规范为将所有请求参数按照key字典排序并连接起来进行md5加密,格式是:md5(bar=2&baz=3&foo=1),得到签名,将签名追加到参数末尾。由于需要对参数进行动态加密并且做压力测试,所以选择了使用jmeter, 利用BeanShell PreProcessor处理参数加密问题。(postman也可实现md5加密签名规则。...
Java实现接口篡改
javaeEEse的博客
05-06 3960
文章目录一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
前端面试常见问题之HTTP状态码
Mrxcguo的博客
10-07 2748
一、基本概念 HTTP 状态码是客户端向服务端发起请求后,服务端返回的状态码及状态信息,状态码一般由三位数字组成,状态码的首字母一共有5种,分别是1-5,代表着5种不同的类型信息。以下是类型信息与具体的状态码信息。 二、状态码类别 1xx:通知信息,http服务器接收到请求,等待客户端的进一步消息发送。 100(“Continue”):继续发送请求(服务端已经接收到一部分,继续发送剩下的请求)。 101(“Switching Protocols”):切换不同的协议,可切换到高版本的协议或者其他协议。在使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值