在基本认证的方式中,主要的安全问题来自于用户信息的明文传输,而在摘要认证中,主要通过一些手段避免了此问题,大大增加了安全性。

1.客户端匿名的方式请求 (无认证)

HTTP/1.0  Unauthorized

Server: HTTPd/0.9

Date: Sun,  Apr  :: GMT

WWW-Authenticate: Digest realm="testrealm@host.com",

                        qop="auth,auth-int",

                        nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

                        opaque="5ccc069c403ebaf9f0171e9517f40e41"

3.客户端请求  (用户名 "Mufasa", 密码 "Circle Of Life")

客户端接受到请求返回后,进行HASH运算,返回Authorization参数

其中:realm,nonce,qop由服务器产生;

uri:客户端想要访问的URI;

nc:“现时”计数器,这是一个16进制的数值,即客户端发送出请求的数量(包括当前这个请求),这些请求都使用了当前请求中这个“现时”值。例如,对一个给定的“现时”值,在响应的第一个请求中,客户端将发送“nc=00000001”。这个指示值的目的,是让服务器保持这个计数器的一个副本,以便检测重复的请求。如果这个相同的值看到了两次,则这个请求是重复的;

cnonce:这是一个不透明的字符串值,由客户端提供,并且客户端和服务器都会使用,以避免用明文文本。这使得双方都可以查验对方的身份,并对消息的完整性提供一些保护;

response:这是由用户代理软件计算出的一个字符串,以证明用户知道口令。

<strong>response计算过程:</strong>

HA1=MD5(A1)=MD5(username:realm:password)

如果 qop 值为“auth”或未指定,那么 HA2 为

HA2=MD5(A2)=MD5(method:digestURI)

如果 qop 值为“auth-int”,那么 HA2 为

HA2=MD5(A2)=MD5(method:digestURI:MD5(entityBody))

如果 qop 值为“auth”或“auth-int”,那么如下计算 response:

response=MD5(HA1:nonce:nonceCount:clientNonce:qop:HA2)

如果 qop 未指定,那么如下计算 response:

response=MD5(HA1:nonce:HA2)

请求头:

GET /dir/index.html HTTP/1.0

Host: localhost

Authorization: Digest username="Mufasa",

                     realm="testrealm@host.com",

                     nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

                     uri="/dir/index.html",

                     qop=auth,

                     nc=,

                     cnonce="0a4f113b",

                     response="6629fae49393a05397450978507c4ef1",

                     opaque="5ccc069c403ebaf9f0171e9517f40e41"

4.服务器响应

当服务器接收到摘要响应,也要重新计算响应中各参数的值,并利用客户端提供的参数值,和服务器上存储的口令,进行比对。如果计算结果与收到的客户响应值是相同的,则客户已证明它知道口令,因而客户的身份验证通过。

二、服务端验证

编写一个自定义消息处理器,需要通过System.Net.Http.DelegatingHandler进行派生,并重写SendAsync方法。

AuthenticationHandler类:

public class AuthenticationHandler : DelegatingHandler

{

    protected async override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

    {

        try

        {

            HttpRequestHeaders headers = request.Headers;

            if (headers.Authorization != null)

            {

                Header header = new Header(request.Headers.Authorization.Parameter, request.Method.Method);  

                if (Nonce.IsValid(header.Nonce, header.NounceCounter))

                {

                    // Just assuming password is same as username for the purpose of illustration

                    string password = header.UserName;  

                    string ha1 = String.Format("{0}:{1}:{2}", header.UserName, header.Realm, password).ToMD5Hash();  

                    string ha2 = String.Format("{0}:{1}", header.Method, header.Uri).ToMD5Hash();  

                    string computedResponse = String.Format("{0}:{1}:{2}:{3}:{4}:{5}",

                                        ha1, header.Nonce, header.NounceCounter,header.Cnonce, "auth", ha2).ToMD5Hash();  

                    if (String.CompareOrdinal(header.Response, computedResponse) == )

                    {

                        // digest computed matches the value sent by client in the response field.

                        // Looks like an authentic client! Create a principal.

                        var claims = new List<Claim>

                        {

                                        new Claim(ClaimTypes.Name, header.UserName),

                                        new Claim(ClaimTypes.AuthenticationMethod, AuthenticationMethods.Password)

                        };  

                        ClaimsPrincipal principal = new ClaimsPrincipal(new[] { new ClaimsIdentity(claims, "Digest") });  

                        Thread.CurrentPrincipal = principal;  

                        if (HttpContext.Current != null)

                            HttpContext.Current.User = principal;

                    }

                }

            }  

            HttpResponseMessage response = await base.SendAsync(request, cancellationToken);  

            if (response.StatusCode == HttpStatusCode.Unauthorized)

            {

                response.Headers.WwwAuthenticate.Add(new AuthenticationHeaderValue("Digest",Header.UnauthorizedResponseHeader.ToString()));

            }  

            return response;

        }

        catch (Exception)

        {

            var response = request.CreateResponse(HttpStatusCode.Unauthorized);

            response.Headers.WwwAuthenticate.Add(new AuthenticationHeaderValue("Digest",Header.UnauthorizedResponseHeader.ToString()));  

            return response;

        }

    }

}

Header类:

public class Header

{

    public Header() { }  

    public Header(string header, string method)

    {

        string keyValuePairs = header.Replace("\"", String.Empty);  

        foreach (string keyValuePair in keyValuePairs.Split(','))

        {

            int index = keyValuePair.IndexOf("=", System.StringComparison.Ordinal);

            string key = keyValuePair.Substring(, index);

            string value = keyValuePair.Substring(index + );  

            switch (key)

            {

                case "username": this.UserName = value; break;

                case "realm": this.Realm = value; break;

                case "nonce": this.Nonce = value; break;

                case "uri": this.Uri = value; break;

                case "nc": this.NounceCounter = value; break;

                case "cnonce": this.Cnonce = value; break;

                case "response": this.Response = value; break;

                case "method": this.Method = value; break;

            }

        }  

        if (String.IsNullOrEmpty(this.Method))

            this.Method = method;

    }  

    public string Cnonce { get; private set; }

    public string Nonce { get; private set; }

    public string Realm { get; private set; }

    public string UserName { get; private set; }

    public string Uri { get; private set; }

    public string Response { get; private set; }

    public string Method { get; private set; }

    public string NounceCounter { get; private set; }  

    // This property is used by the handler to generate a

    // nonce and get it ready to be packaged in the

    // WWW-Authenticate header, as part of 401 response

    public static Header UnauthorizedResponseHeader

    {

        get

        {

            return new Header()

            {

                Realm = "MyRealm",

                Nonce = WebApiDemo.Nonce.Generate()

            };

        }

    }  

    public override string ToString()

    {

        StringBuilder header = new StringBuilder();

        header.AppendFormat("realm=\"{0}\"", Realm);

        header.AppendFormat(",nonce=\"{0}\"", Nonce);

        header.AppendFormat(",qop=\"{0}\"", "auth");

        return header.ToString();

    }

}

nonce类

public class Nonce

{

    private static ConcurrentDictionary<string, Tuple<int, DateTime>>

    nonces = new ConcurrentDictionary<string, Tuple<int, DateTime>>();  

    public static string Generate()

    {

        byte[] bytes = new byte[];  

        using (var rngProvider = new RNGCryptoServiceProvider())

        {

            rngProvider.GetBytes(bytes);

        }  

        string nonce = bytes.ToMD5Hash();  

        nonces.TryAdd(nonce, new Tuple<int, DateTime>(, DateTime.Now.AddMinutes()));  

        return nonce;

    }  

    public static bool IsValid(string nonce, string nonceCount)

    {

        Tuple<int, DateTime> cachedNonce = null;

        //nonces.TryGetValue(nonce, out cachedNonce);

        nonces.TryRemove(nonce, out cachedNonce);//每个nonce只允许使用一次  

        if (cachedNonce != null) // nonce is found

        {

            // nonce count is greater than the one in record

            if (Int32.Parse(nonceCount) > cachedNonce.Item1)

            {

                // nonce has not expired yet

                if (cachedNonce.Item2 > DateTime.Now)

                {

                    // update the dictionary to reflect the nonce count just received in this request

                    //nonces[nonce] = new Tuple<int, DateTime>(Int32.Parse(nonceCount), cachedNonce.Item2);  

                    // Every thing looks ok - server nonce is fresh and nonce count seems to be

                    // incremented. Does not look like replay.

                    return true;

                }  

            }

        }  

        return false;

    }

}

需要使用摘要验证可在代码里添加Attribute [Authorize],如:

[Authorize]

public class ProductsController : ApiController

最后Global.asax里需注册下

GlobalConfiguration.Configuration.MessageHandlers.Add(

new AuthenticationHandler());
三、客户端的调用
这里主要说明使用WebClient调用
public static string Request(string sUrl, string sMethod, string sEntity, string sContentType,

    out string sMessage)

{

    try

    {

        sMessage = "";

        using (System.Net.WebClient client = new System.Net.WebClient())

        {

            client.Credentials = CreateAuthenticateValue(sUrl);

            client.Headers = CreateHeader(sContentType);  

            Uri url = new Uri(sUrl);

            byte[] bytes = Encoding.UTF8.GetBytes(sEntity);

            byte[] buffer;

            switch (sMethod.ToUpper())

            {

                case "GET":

                    buffer = client.DownloadData(url);

                    break;

                case "POST":

                    buffer = client.UploadData(url, "POST", bytes);

                    break;

                default:

                    buffer = client.UploadData(url, "POST", bytes);

                    break;

            }  

            return Encoding.UTF8.GetString(buffer);

        }

    }

    catch (WebException ex)

    {

        sMessage = ex.Message;

        var rsp = ex.Response as HttpWebResponse;

        var httpStatusCode = rsp.StatusCode;

        var authenticate = rsp.Headers.Get("WWW-Authenticate");  

        return "";

    }

    catch (Exception ex)

    {

        sMessage = ex.Message;

        return "";

    }

}

关键代码,在这里添加用户认证,使用NetworkCredential

private static CredentialCache CreateAuthenticateValue(string sUrl)

{

    CredentialCache credentialCache = new CredentialCache();

    credentialCache.Add(new Uri(sUrl), "Digest", new NetworkCredential("Lime", "Lime"));  

    return credentialCache;

}

https://www.cnblogs.com/ywolf123/p/5340938.html  利用DelegatingHandler实现Web Api 的Api key校验

ASP.NET Web API 安全验证之摘要(Digest)认证的更多相关文章

  1. ASP.NET Web API模型验证以及异常处理方式

    ASP.NET Web API的模型验证与ASP.NET MVC一样,都使用System.ComponentModel.DataAnnotations. 具体来说,比如有:[Required(Erro ...

  2. ASP.NET Web API身份验证和授权

    英语原文地址:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-a ...

  3. asp.net Web API 身份验证 不记名令牌验证 Bearer Token Authentication 简单实现

    1. Startup.Auth.cs文件 添加属性 1 public static OAuthBearerAuthenticationOptions OAuthBearerOptions { get; ...

  4. ASP.NET Web API教程(六) 安全与身份认证

    在实际的项目应用中,很多时候都需要保证数据的安全和可靠,如何来保证数据的安全呢?做法有很多,最常见的就是进行身份验证.验证通过,根据验证过的身份给与对应访问权限.同在Web Api中如何实现身份认证呢 ...

  5. [Asp.Net web api]基于自定义Filter的安全认证

    摘要 对第三方开放的接口,处于安全的考虑需要对其进行安全认证,是否是合法的请求.目前在项目中也遇到这种情况,提供的接口因为涉及到客户铭感数据,所以在调用的时候,不能直接暴露,需要有一个认证的机制.所以 ...

  6. asp.net web api 权限验证的方法

    思路:客户端使用header或者form讲验证信息传入api,在权限验证过滤中进行处理,代码示例: 定义过滤器 public class ApiFilter1 : System.Web.Http.Au ...

  7. ASP.NET Web API 数据验证

    第一种方式单独为每一个Action做验证 // POST api/values public HttpResponseMessage Post([FromBody]UserInfo userInfo) ...

  8. 【转】ASP.NET WEB API系列教程

    from: 西瓜小强 http://www.cnblogs.com/risk/category/406988.html ASP.NET Web API教程(六) 安全与身份认证 摘要: 在实际的项目应 ...

  9. ASP.NET Web API 安全筛选器

    原文:https://msdn.microsoft.com/zh-cn/magazine/dn781361.aspx 身份验证和授权是应用程序安全的基础.身份验证通过验证提供的凭据来确定用户身份,而授 ...

随机推荐

  1. SQL Server 2008 R2——分组取前几名

    =================================版权声明================================= 版权声明:本文为博主原创文章 未经许可不得转载  请通过右 ...

  2. & fg jobs bg

    & 执行程序的后面加&可以将程序转到后台(这个后台是当前会话的后台,并不是守护进程)执行,即$./a.out &,这样我们在打开诸如$gedit test.txt的时候可以写成 ...

  3. UDT中的epoll

    epoll 是为处理大量句柄而改进的poll,在UDT中也有支持.UDT使用了内核提供的epoll,主要是epoll_create,epoll_wait,epoll_ctl,UDT定义了CEPollD ...

  4. WIN 下的超动态菜单(二)用法

    WIN 下的超动态菜单(一)简介 WIN 下的超动态菜单(二)用法 WIN 下的超动态菜单(三)代码 作者:黄山松,发表于博客园:http://www.cnblogs.com/tomview/     ...

  5. 知道创宇研发技能表v3.1

    by @知道创宇(www.knownsec.com) @余弦 & 404团队 后续动态请关注微信公众号:Lazy-Thought 说明 关于知道创宇 知行合一 | 守正出奇 知道创宇是一家黑客 ...

  6. 网友转发的很全的 LISTCTL 控件使用的说明

    作者:lixiaosan 时间:04/06/2006 以下未经说明,listctrl默认view 风格为report 相关类及处理函数 MFC:CListCtrl类 SDK:以 "ListV ...

  7. 错误 未能找到类型或命名空间名称 (是否缺少 using 指令或程序集引用?)

    有时发现,明明引用了,结果却提示未引用, 这时就有可能是两个程序集的目标框架类型不一致导致的(在程序集属性面板里改下即可).

  8. Vim命令大全

    1.进入vi的命令 vi filename :打开或新建文件,并将光标置于第一行首 vi +n filename :打开文件,并将光标置于第n行首 vi + filename :打开文件,并将光标置于 ...

  9. KVM 介绍(4):I/O 设备直接分配和 SR-IOV [KVM PCI/PCIe Pass-Through SR-IOV]

    学习 KVM 的系列文章: (1)介绍和安装 (2)CPU 和 内存虚拟化 (3)I/O QEMU 全虚拟化和准虚拟化(Para-virtulizaiton) (4)I/O PCI/PCIe设备直接分 ...

  10. HashMap的工作原理深入再深入

    前言 首先再次强调hashcode (==)和equals的真正含义(我记得以前有人会说,equals是判断对象内容,hashcode是判断是否相等之类): equals:是否同一个对象实例.注意,是 ...