ASP.NET WebApi TOKEN+签名认证

已于 2023-03-30 19:28:53 修改
阅读量3.1k 收藏 10
点赞数
分类专栏: webapi sign签名认证 公钥密钥 文章标签: asp.net
于 2021-04-30 20:47:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46879188/article/details/116297048
版权

一、 在开放的api接口中,我们通过http Post或者Get请求服务器的时候,会面临着许多的安全性问题,例如:

①请求来源(身份)是否合法?
②请求参数被篡改?
③请求的唯一性(不可复制),防止请求被恶意攻击
为了保证数据在通信时的安全性,我们可以采用TOKEN+参数签名的方式来进行相关验证。

二、使用TOKEN+签名认证 保证请求安全性

token+签名认证的主要原理是:

1.AppKey从何而来? 通过账号密码登录或者第三方认证服务器认证获取AppKey.(本文中的代码没有这一步骤.本文中的代码没有这一步骤.本文中的代码没有这一步骤.重要的事情说三遍)
如下图:(博客大佬回复的)(staffid或者appId就是此文中的AppKey)
在这里插入图片描述

2.1.做一个认证服务,提供一个认证的webapi,用户AppKey先访问它获取对应的token,用户Token缓存在服务器(该请求不需要进行签名认证),返回Token给用户,Token可能过期失效需要重新认证。

3.在后面的API接口中用户拿着请求头(①AppKey ②TimeStamp ③ Nonce ④Sign签名验证(AppKey +TimeStamp+Nonce+Token+请求参数名,请求参数值) ,注意:请求头中不携带Token。

4.服务器端每次接收到请求就获取对应用户的请求参数,服务器端计算Sign和客户端Sign做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息

三、 参数说明

AppKey:公钥

TimeStamp:时间戳

Nonce:随机数

Sign:签名值

Token:密钥(禁止传递)

四、 直接上干货

① WebApiConfig 注册过滤器

var webapiAss = Assembly.Load("DAL");
//从webapiAss中拿到所有实现了IAuthorizationFilter接口,或者实现了IActionFilter接口的非抽象过滤器类
var filters = webapiAss.GetTypes().Where(r => !r.IsAbstract && (typeof(IAuthorizationFilter).IsAssignableFrom(r) || typeof(IActionFilter).IsAssignableFrom(r)));
foreach (var item in filters)
{
    //从IOC容器中拿到过滤器类对象(因为过滤器都是实现了IFilter接口的,所有这里以IFilter接口来接收)
    IFilter filter = (IFilter)GlobalConfiguration.Configuration.DependencyResolver.GetService(item);
    config.Filters.Add(filter); //注册过滤器
}

②Global.asax.cs

protected void Application_Start()
{
    AutofacConfig.SetAutofacWebApi();
}

③使用Autofac注入

/// <summary>
/// 使用Autofac注入
/// </summary>
public class AutofacConfig
{
    /// <summary>
    /// 注册接口和实现
    /// </summary>
    public static void SetAutofacWebApi()
    {
        //得到你的HttpConfiguration.
        var configuration = GlobalConfiguration.Configuration;
        var builder = new ContainerBuilder();
        注册控制器
        //builder.RegisterApiControllers(Assembly.GetExecutingAssembly()).PropertiesAutowired();
        var webapiAssembly = Assembly.Load("DAL");
        //注册webapi项目中实现了IAuthorizationFilter接口或者实现了IActionFilter接口的非抽象过滤器类
        builder.RegisterAssemblyTypes(webapiAssembly).Where(r => !r.IsAbstract &&
                                                                 (typeof(IAuthorizationFilter).IsAssignableFrom(r)) || typeof(IActionFilter).IsAssignableFrom(r)).PropertiesAutowired();
        IContainer container = builder.Build();
        //将依赖关系解析器设置为Autofac。
        var resolver = new AutofacWebApiDependencyResolver(container);
        configuration.DependencyResolver = resolver;
    }
}

④服务器token+签名认证 +过滤器

using DAL;
using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Net.Http;
using System.Text;
using System.Threading;
using System.Threading.Tasks;
using System.Web;
using System.Web.Http.Controllers;
using System.Web.Http.Filters;
 
namespace MES_Server
{
    public class MyAuthenticationAttribute : IAuthorizationFilter//也可以直接继承AuthorizationFilterAttribute
    {
        public bool AllowMultiple => true;
        public async Task<HttpResponseMessage> ExecuteAuthorizationFilterAsync(HttpActionContext actionContext, CancellationToken cancellationToken, Func<Task<HttpResponseMessage>> continuation)
        {
            //获得报文头中的AppKey,TimeStamp,Nonce,Sign (我们与客户端约定,在向服务端发起请求的时候,将AppKey,TimeStamp,Nonce,Sign放到请求报文头中)
            IEnumerable<string> appKeys;
            if (!actionContext.Request.Headers.TryGetValues("AppKey", out appKeys)) //从请求报文头中获取AppKey
            {
                return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("报文头中的AppKey为空") };
            }
            IEnumerable<string> timeStamps;
            if (!actionContext.Request.Headers.TryGetValues("TimeStamp", out timeStamps))
            {
                return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("报文头中的TimeStamp为空") };
            }
            IEnumerable<string> nonces;
            if (!actionContext.Request.Headers.TryGetValues("Nonce", out nonces))
            {
                return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("报文头中的Nonce为空") };
            }

            //GetToken方法不需要进行签名验证
            if (actionContext.ActionDescriptor.ActionName == "GetToken")
            {
                if (string.IsNullOrEmpty(appKeys.First()) || string.IsNullOrEmpty(timeStamps.First()) || string.IsNullOrEmpty(nonces.First()))
                {
                    return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("AppKey/TimeStamp/Nonce任一数值不能为空") };
                }
                else
                {
                    return await continuation();
                }
            }
            //数字签名
            IEnumerable<string> signs;
            if (!actionContext.Request.Headers.TryGetValues("Sign", out signs)) //从请求报文头中获取Sign
            {
                return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("报文头中的Sign为空") };
            }
            //判断timespan是否有效
            double ts1 = 0;
            double ts2 = (DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0)).TotalMilliseconds;
            bool timespanvalidate = double.TryParse(timeStamps.First(), out ts1);
            double ts = ts2 - ts1;
            bool flag = ts > 1000 * 30;
            if (flag || (!timespanvalidate))
            {
                return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("timespan认证失败") };
            }
            //判断AppToken是否有效
            AppToken token = (AppToken)HttpRuntime.Cache.Get(appKeys.First());
            string signtoken = string.Empty;
            if (token == null)
            {
                return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("AppToken认证失败") };
            }
            else
            {
                signtoken = token.SignToken.ToString();
            }
            string requestDataStr = ""; //请求参数字符串
            List<KeyValuePair<string, string>> requestDataList = new List<KeyValuePair<string, string>>();//请求参数键值对
            if (actionContext.Request.Method == HttpMethod.Post) //如果是Post请求
            {
                    Stream stream = HttpContext.Current.Request.InputStream;
                    string responseJson = string.Empty;
                    StreamReader streamReader = new StreamReader(stream);
                    requestDataStr = streamReader.ReadToEnd();
                    stream.Position = 0;
            }
            if (actionContext.Request.Method == HttpMethod.Get) //如果是Get请求
            {
            		//根据请求类型拼接参数
           			NameValueCollection form = HttpContext.Current.Request.QueryString;
                    //第一步:取出所有get参数
                    IDictionary<string, string> parameters = new Dictionary<string, string>();
                    for (int f = 0; f < form.Count; f++)
                    {
                        string key = form.Keys[f];
                        parameters.Add(key, form[key]);
                    }

                    // 第二步:把字典按Key的字母顺序排序
                    IDictionary<string, string> sortedParams = new SortedDictionary<string, string>(parameters);
                    IEnumerator<KeyValuePair<string, string>> dem = sortedParams.GetEnumerator();

                    // 第三步:把所有参数名和参数值串在一起
                    StringBuilder query = new StringBuilder();
                    while (dem.MoveNext())
                    {
                        string key = dem.Current.Key;
                        string value = dem.Current.Value;
                        if (!string.IsNullOrEmpty(key))
                        {
                            query.Append(key).Append(value);
                        }
                    }
                    requestDataStr = query.ToString();
            }
            //计算Sign (即:计算timeStamps+nonces+appKeys+signtoken+requestDataStr的md5值)
            string computedSign = DESEncrypt.DesEncrypt(timeStamps.First() + nonces.First() + appKeys.First() + signtoken + requestDataStr);
            //用户传进来md5值和计算出来的比对一下,就知道数据是否有被篡改过
            if (signs.First().Equals(computedSign, StringComparison.CurrentCultureIgnoreCase))
            {
                return await continuation();
            }
            else
            {
                return new HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized) { Content = new StringContent("sign认证失败") };
            }
        }
    }
}

⑤DES加密解密

using System;
using System.Collections.Generic;
using System.IO;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using System.Threading.Tasks;
 
namespace DAL
{
    /**//// <summary>
    /// DESEncrypt加密解密算法。
    /// </summary>
    public sealed class DESEncrypt
    {
        private DESEncrypt()
        {
            //
            // TODO: 在此处添加构造函数逻辑
            //
        }
 
        private static string key = "Glodonxx";
 
        /**//// <summary>
        /// 对称加密解密的密钥
        /// </summary>
        public static string Key
        {
            get
            {
                return key;
            }
            set
            {
                key = value;
            }
        }
 
        /**//// <summary>
        /// DES加密
        /// </summary>
        /// <param name="encryptString"></param>
        /// <returns></returns>
        public static string DesEncrypt(string encryptString)
        {
            byte[] keyBytes = Encoding.UTF8.GetBytes(key.Substring(0, 8));
            byte[] keyIV = keyBytes;
            byte[] inputByteArray = Encoding.UTF8.GetBytes(encryptString);
            DESCryptoServiceProvider provider = new DESCryptoServiceProvider();
            MemoryStream mStream = new MemoryStream();
            CryptoStream cStream = new CryptoStream(mStream, provider.CreateEncryptor(keyBytes, keyIV), CryptoStreamMode.Write);
            cStream.Write(inputByteArray, 0, inputByteArray.Length);
            cStream.FlushFinalBlock();
            return Convert.ToBase64String(mStream.ToArray());
        }
 
        /**//// <summary>
        /// DES解密
        /// </summary>
        /// <param name="decryptString"></param>
        /// <returns></returns>
        public static string DesDecrypt(string decryptString)
        {
            byte[] keyBytes = Encoding.UTF8.GetBytes(key.Substring(0, 8));
            byte[] keyIV = keyBytes;
            byte[] inputByteArray = Convert.FromBase64String(decryptString);
            DESCryptoServiceProvider provider = new DESCryptoServiceProvider();
            MemoryStream mStream = new MemoryStream();
            CryptoStream cStream = new CryptoStream(mStream, provider.CreateDecryptor(keyBytes, keyIV), CryptoStreamMode.Write);
            cStream.Write(inputByteArray, 0, inputByteArray.Length);
            cStream.FlushFinalBlock();
            return Encoding.UTF8.GetString(mStream.ToArray());
        }
    }
}

⑥获取Token,插入缓存

[HttpGet]
/// <summary>
/// 获取Token密钥
/// </summary>
/// <param name="UserDto"></param>
/// <returns></returns>
public async Task<string> GetToken([FromBody]UserDto userDto)
{
     //插入缓存
        AppToken token = (AppToken)HttpRuntime.Cache.Get(userDto.AppKey);
            if (token == null)
        {
            token = new AppToken();
            token.appKey = userDto.AppKey;
            token.SignToken = Guid.NewGuid();
            token.ExpireTime = DateTime.Now.AddMinutes(60);
            HttpRuntime.Cache.Insert(appToken.appKey, token, null, token.ExpireTime, TimeSpan.Zero);
        }
     return Common.Content(Status.Code.Success,"获取密钥成功",token.ToJson());
}
八哥~
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【笔记】ASP.NET Core Web API之Token验证
夜飞鼠的专栏
04-16 632
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。SON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。主要用于认证和保护API之间信息交换。JWT通常由三部分组成: 头信息(header), 消息体(payload)和
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
Asp.Net WebApi Token验证 权限验证
qq_37935177的博客
07-03 2884
原文地址 https://www.cnblogs.com/w5942066/p/12055542.html 作者 魏杨杨 1、前言 WebAPI主要开放数据给手机APP,Pad,其他需要得知数据的系统,或者软件应用。Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能。我上次写的《Asp.Net MVC WebAPI的创建与前台Jquery ajax后台HttpClient调用详解》这种跟明显安全性不是那么好,于是乎这个就来了 ,用户需要访问的API都必须带有票据过来,说白了就是登陆之后含有用户
ASP.NET WebApi 实现Token验证
cxu123321的博客
05-29 1999
ASP.NET WebApi 实现Token验证 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等,别人都用上了,你还有理由不用吗? 下面我们花个20分钟的时间来实现一个简单的WEB API token认...
ASP.NET Core Web API之Token验证
最新发布
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6131
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 3899
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
WebApi实现Token验证
Sqsdhc的博客
12-02 2708
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
C# 简单使用 MD5 加密
webwx的专栏
04-02 649
    ///     /// MD5 加密    ///     public static class MD5Class    {        ///         /// MD5 32位加密        ///         ///         ///         public static string UserMd5_32(string str)        {    
WebApi安全性 使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1.做一个认证服务,提供一个认证webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api  3....
ASP.NET webapi方式客户端提交签名数据到服务端返回JSON数据交互示例源码
06-22
WebAPI:client客户端post提交签名数据/apiServer服务端返回json数据交互 客户端: Web/ApiClient/queryToken.aspx API服务端:Web/Api/ApiServe/queryToken.aspx 客户端(Web/ApiClient/queryToken.aspx )以post方式...
ASP.NET WEB API2+Owin+AngularJS实现Token验证
03-03
基于ASP.NET WEB API2,Owin和ASP.NET Identity的Token令牌验证,允许刷新令牌Refresh Token,并且实现认证服务和资源服务分离
webapi token验证例子
06-05
webapi token验证例子
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
ASP.NET MVC API 接口验证的示例代码
10-19
ASP.NET MVC API 接口验证是确保只有经过授权的客户端能够访问特定的API资源的关键步骤。在本文中,我们将深入探讨如何在ASP.NET MVC框架下实现API接口的验证,通过示例代码来帮助理解这一过程。 首先,让我们了解...
ASP.NET Core中实现一个Token base的身份认证实例
10-20
本文将详细介绍如何在ASP.NET Core中实现一个基于Token的身份认证实例,重点在于使用JWT(Json Web Tokens)作为Token的实现方式。 传统的Web身份认证通常依赖于Cookie或Session,但这在多终端、API驱动的应用场景...
Web API系列(四):基于JWT的token身份认证方案
码探长
09-25 1169
没有保护的API接口任何人都可以访问,完全没有安全性可言,这时就需要控制对它的访问,也就是WebAPI的权限验证。本文介绍一种常用的验证方式:基于JWT的token身份认证方案,讲解了它的原理,以及通过代码实现其验证的整个过程。
.net core API 项目token验证(JWT方法)
gengjia_的博客
12-02 5225
API token验证笔记
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件中配置 Web API 路由: ```csharp public static void Register(HttpConfiguration config) { // 配置路由 config.MapHttpAttributeRoutes(); config.Routes.MapHttpRoute( name: "DefaultApi", routeTemplate: "api/{controller}/{id}", defaults: new { id = RouteParameter.Optional } ); // 配置 JWT 认证 ConfigureJwtAuth(config); } ``` 然后,我们需要在 `Web.config` 文件中配置 JWT 令牌的密钥和有效期: ```xml <appSettings> <add key="jwtSecret" value="my_secret_key" /> <add key="jwtExpireDays" value="7" /> </appSettings> ``` 接下来,我们需要创建一个 `JwtAuthManager` 类来管理 JWT 认证: ```csharp using System; using System.Collections.Generic; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Security.Claims; using System.Text; using Microsoft.IdentityModel.Tokens; public class JwtAuthManager : IJwtAuthManager { private readonly string _jwtSecret; private readonly double _jwtExpireDays; public JwtAuthManager(string jwtSecret, double jwtExpireDays) { _jwtSecret = jwtSecret; _jwtExpireDays = jwtExpireDays; } public string GenerateToken(IEnumerable<Claim> claims) { var key = Encoding.ASCII.GetBytes(_jwtSecret); var jwtToken = new JwtSecurityToken( claims: claims, expires: DateTime.Now.AddDays(_jwtExpireDays), signingCredentials: new SigningCredentials( new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature) ); var token = new JwtSecurityTokenHandler().WriteToken(jwtToken); return token; } } ``` 然后,我们需要创建一个 `JwtAuthAttribute` 特性,用于在控制器或操作方法上应用 JWT 认证: ```csharp [AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)] public class JwtAuthAttribute : AuthorizeAttribute { public override void OnAuthorization(HttpActionContext actionContext) { try { var token = actionContext.Request.Headers.Authorization.Parameter; var jwtAuthManager = actionContext.ControllerContext.Configuration .DependencyResolver.GetService(typeof(IJwtAuthManager)) as IJwtAuthManager; var principal = jwtAuthManager.ValidateToken(token); Thread.CurrentPrincipal = principal; HttpContext.Current.User = principal; } catch (Exception) { actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized); return; } base.OnAuthorization(actionContext); } } ``` 最后,我们需要在 `ConfigureJwtAuth` 方法中注册依赖项并配置 JWT 认证: ```csharp private static void ConfigureJwtAuth(HttpConfiguration config) { var jwtSecret = ConfigurationManager.AppSettings["jwtSecret"]; var jwtExpireDays = double.Parse(ConfigurationManager.AppSettings["jwtExpireDays"]); var container = new UnityContainer(); container.RegisterType<IJwtAuthManager, JwtAuthManager>( new InjectionConstructor(jwtSecret, jwtExpireDays)); config.DependencyResolver = new UnityResolver(container); config.Filters.Add(new JwtAuthAttribute()); } ``` 现在,我们可以在控制器或操作方法上应用 `JwtAuth` 特性来启用 JWT 认证: ```csharp [RoutePrefix("api/products")] public class ProductsController : ApiController { [HttpGet] [Route("")] [JwtAuth] public IHttpActionResult Get() { // ... } [HttpGet] [Route("{id}")] [JwtAuth] public IHttpActionResult Get(int id) { // ... } [HttpPost] [Route("")] [JwtAuth] public IHttpActionResult Post([FromBody] Product product) { // ... } // ... } ``` 这样,我们就成功地基于 JWT 实现了 Token 签名认证

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值