WebApi安全性 使用TOKEN+签名验证

最新推荐文章于 2024-08-14 03:28:36 发布
最新推荐文章于 2024-08-14 03:28:36 发布
阅读量736 收藏 1
点赞数
分类专栏: 技术文档 文章标签: c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaosachuchen/article/details/106828199
版权
本文探讨了开放API接口时确保数据安全性的方法,重点介绍使用TOKEN+签名验证来解决请求来源合法性、参数篡改和请求唯一性等问题。通过详细步骤解释了如何实施TOKEN+签名认证,包括客户端请求、服务器端验证以及如何防止恶意攻击。总结指出,TOKEN的安全存储和签名的使用是保障通信安全的关键。
摘要由CSDN通过智能技术生成

首先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过http Post或者Get方式请求服务器的时候,会面临着许多的安全性问题,例如:

  1. 请求来源(身份)是否合法?
  2. 请求参数被篡改?
  3. 请求的唯一性(不可复制),防止请求被恶意攻击

为了保证数据在通信时的安全性,我们可以采用TOKEN+参数签名的方式来进行相关验证。

 

 

比如说我们客户端需要查询产品信息这个操作来进行分析,客户端点击查询按钮==》调用服务器端api进行查询==》服务器端返回查询结果

一、不进行验证的方式

api查询接口:

客户端调用:http://api.XXX.com/getproduct?id=value1

如上,这种方式简单粗暴,在浏览器直接输入"http://api.XXX.com/getproduct?id=value1",即可获取产品列表信息了,但是这样的方式会存在很严重的安全性问题,没有进行任何的验证,大家都可以通过这个方法获取到产品列表,导致产品信息泄露。
那么,如何验证调用者身份呢?如何防止参数被篡改呢?如何保证请求的唯一性? 如何保证请求的唯一性,防止请求被恶意攻击呢?

 

二、使用TOKEN+签名认证 保证请求安全性

token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token

                                         2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api

                3.服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息

 

具体代码如下 :

1.用户请求认证服务GetToken,将TOKEN保存在服务器端缓存中,并返回对应的TOKEN到客户端(该请求不需要进行签名认证)

复制代码

public HttpResponseMessage GetToken(string staffId)
        {
            ResultMsg resultMsg = null;
            int id = 0;

            //判断参数是否合法
            if (string.IsNullOrEmpty(staffId) || (!int.TryParse(staffId, out id)))
            {
                resultMsg = new ResultMsg();
                resultMsg.StatusCode = (int)StatusCodeEnum.ParameterError;
                resultMsg.Info = StatusCodeEnum.ParameterError.GetEnumText();
                resultMsg.Data = "";
                return HttpResponseExtension.toJson(JsonConvert.SerializeObject(resultMsg));
            }

            //插入缓存
            Token token =(Token)HttpRuntime.Cache.Get(id.ToString());
            if (HttpRuntime.Cache.Get(id.ToString()) == null)
            {
                token = new Token();
                token.StaffId = id;
                token.SignToken = Guid.NewGuid();
                token.ExpireTime = DateTime.Now.AddDays(1);
                HttpRuntime.Cache.Insert(token.StaffId.ToString(), token, null, token.ExpireTime, TimeSpan.Zero);
            }

            //返回token信息
            resultMsg =new ResultMsg();
            resultMsg.StatusCode = (int)StatusCodeEnum.Success;
            resultMsg.Info = "";
            resultMsg.Data = token;

            return HttpResponseExtension.toJson(JsonConvert.SerializeObject(resultMsg));
        }

复制代码

 

2.客户端调用服务器端API,需要对请求进行签名认证,签名方式如下 

(1) get请求:按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue  字符串如:将arong=1,mrong=2,crong=3 排序为:arong=1, crong=3,mrong=2  然后将参数名和参数值进行拼接得到参数字符串:arong1crong3mrong2。  

复制代码

public static Tuple<string,string> GetQueryString(Dictionary<string, string> parames)
        {
            // 第一步:把字典
最低0.47元/天 解锁文章
王瑞祥
关注
专栏目录
WebAPI-getauthtoken:使用 C#web api 服务获取登录令牌的简单示例
06-02
WebAPI-getauthtoken 使用 C#web api 服务获取登录令牌的简单示例 我四处寻找这个简单的示例,说明如何通过使用 Angular JS 的相同方法获取访问令牌,但找不到一个,所以我把这个放在一起。
WebApi实现Token验证
Sqsdhc的博客
12-02 2796
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
c# .Net Core 项目配置SWagger UI 带Token访问
最新发布
weixin_40370147的博客
08-14 57
简介Swagger是一款强大的API管理工具,它主要用于生成、描述、调用和可视化RESTful风格的Web服务。Swagger通过一套标准的规范定义接口及其相关信息,从而能够自动生成各种格式的接口文档(如HTML、PDF、Markdown等),并支持生成多种语言和客户端、服务端的代码,以及提供在线接口调试页面,极大地方便了...
Webapi添加token认证功能
kejin_F的博客
05-07 3522
1.创建控制台应用程序 在 “文件” 菜单上,选择"项目"。 从安装的 “视觉C#对象” 下,选择 " Windows 桌面",然后选择 "控制台应用(.net Framework) "。 将项目命名为 “OwinSelfhostSample”,然后选择 “确定”。 2.添加 Web API 和 OWIN 包 从 “工具” 菜单中,选择 " NuGet 包管理器",然后选择 “程序包管理器控制台”。 在“Package Manager Console”窗口中,输入以下命令: Install-Package
C# WEBAPI Token+数字签名(上)
piaochong2006的博客
09-29 4309
之前写了一个接口程序,只是利用VS自带的登录验证获取Token,然后根据调用接口的时候带入Token即可。这种方式比较简单,对方调用也很简单,但是安全性上是不够的,所以根据网上查找和自己需求就自己写了一份Token+数字签名WebAPI程序 1、因为要自行验证数字签名,所以我们就必须利用到一个程序筛选类:ActionFilterAttribute 此类在WebMVC和WEBAPI中调用是不一样的,我会后面会写一篇详解,以下都是API下代码 ```csharp using System.Threading
C#接口实现自定义的 Token 鉴权过滤器,用于保护 Web API 接口不被未授权用户访问
qq_64948696的博客
01-02 1652
具体来说,这个过滤器会在每次请求 API 接口时进行校验,验证请求头中传递的 Token 值是否有效。如果 Token 无效,则返回 403 状态码,并提示错误信息;如果 Token 有效,则允许访问 API 接口。
WebApi安全性 使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1.做一个认证服务,提供一个认证webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api  3....
WebApi 使用TOKEN+签名验证
10-17
"WebApi使用TOKEN+签名验证"是一种常见的安全策略,它结合了令牌(Token验证签名机制,以确保只有授权的客户端能够访问服务。下面将详细介绍这两种方法及其在实际应用中的实现。 1. **令牌(Token验证**: ...
WebApi Token+ 数字签名认证源码
04-10
WebApi Token+ 数字签名认证源码是一种常见的安全机制,用于保护Web API接口免受未经授权的访问。在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI使用Token和数字签名认证的关键概念和实现步骤。 首先,让...
Api接口TOKEN+签名安全.zip
11-26
综上所述,"Api接口TOKEN+签名安全.zip"可能包含的示例代码和文档会涵盖如何在Web API中集成和实施这些安全机制,以确保API接口的安全性和数据的完整性。具体实现细节,如具体代码示例、配置步骤等,需要解压文件...
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
通过winform使用httpclient客户端调用webApi接口,api使用oauth2.0权限控制,调用接口需要进行token获取认证
webapi下的token认证和刷新token
04-27
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2017
WebApi+Token+数字签名.zip
09-30
Web API是Microsoft为构建RESTful服务提供的一种框架,它基于ASP.NET,用于创建可以处理...通过学习和实践C# WebAPI中的Token和数字签名,开发者能够更好地理解身份验证和数据安全的实现方法,提升Web应用的安全性
WebApiDemo(net6+swagger+jwt)
05-31
总的来说,WebApiDemo项目展示了如何使用.NET 6框架构建一个安全、可测试的Web API服务,Swagger用于方便的接口管理和测试,JWT实现用户身份验证,而这一切都在Visual Studio 2022的强大支持下进行。这个项目的代码...
webapi token验证例子
04-09
6. 验证TokenWebAPI接收到请求后,验证Token的有效性,包括检查签名、过期时间等。 为了在WebAPI中实现这些功能,开发者通常会用到如ASP.NET Core这样的框架,它提供了内置的JWT验证中间件。配置WebAPI进行Token...
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 4096
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
私人工具集7——webapi中的Token时效性验证
redAnt的博客
02-19 1982
token设置有效期
MVC WebApi 实现Token验证
piaochong2006的博客
09-17 2010
本来想自己写一个 C# mvc WebApi 实现Token验证,然后发现我的语言组织能力和代码理解能力不如帖子上很多大神,所以,就借鉴下,自己增加自己的解读 基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。 WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证使用令牌认证有几个好处:可扩展性、松散耦合、移动终端调用比较简单等等。 1:安装所需的NuG
ASP.NET JWT Web API 身份验证与跨域调用示例
ASP.NET基于JWT的Web API身份验证及跨域调用实践是一篇关于如何在ASP.NET Web API项目中集成JSON Web Tokens (JWT) 进行身份验证和处理跨域请求的文章。JWT被广泛用于现代Web应用,因为它能够解决传统Cookie依赖的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值