public class ActionFilter : ActionFilterAttribute  

    {  

        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)  

        {  

            base.OnActionExecuting(actionContext);  

            //获取请求消息提数据  

            Stream stream = actionContext.Request.Content.ReadAsStreamAsync().Result;  

            Encoding encoding = Encoding.UTF8;  

            stream.Position = ;  

            string responseData = "";  

            using (StreamReader reader = new StreamReader(stream, encoding))  

            {  

                responseData = reader.ReadToEnd().ToString();  

            }  

            //反序列化进行处理  

            var serialize = new JavaScriptSerializer();  

            var obj = serialize.Deserialize<RequestDTO>(responseData);  

            //在action执行前终止请求时,应该使用填充方法Response,将不返回action方法体。  

            if (obj == null)  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

   

            if (string.IsNullOrEmpty(obj.PhoneType) || string.IsNullOrEmpty(obj.PhoneVersion)  

                || string.IsNullOrEmpty(obj.PhoneID) || obj.StartCity < )  

            {  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

            }  

        }  

    }  

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute

标签: c#WebAPI
2015-02-05 10:11 4904人阅读 评论(1) 收藏 举报
 分类:
C#(55)  WebAPI(9) 

版权声明:本文为starfd原创文章,未经博主允许不得转载。

WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法

AbsBaseAuthenticationAttribute

    using System;

    using System.Web;

    using System.Collections.Specialized;

    using System.Net;

    using System.Net.Http;

    using System.Text.RegularExpressions;

    using System.Web.Http.Controllers;

    using System.Web.Http.Filters;

    /// <summary>

    /// WebAPI防篡改签名验证抽象基类Attribute

    /// </summary>

    public abstract class AbsBaseAuthenticationAttribute : ActionFilterAttribute

    {

        /// <summary>

        /// Occurs before the action method is invoked.

        /// </summary>

        /// <param name="actionContext">The action context</param>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求Partner及Sign均通过QueryString传递

            if (getCollection != null && getCollection.Count > 0)

            {

                string partner = getCollection[SecuritySignHelper.Partner];

                string sign = getCollection[SecuritySignHelper.Sign];

                if (!string.IsNullOrWhiteSpace(partner)//必须包含partner

                   && !string.IsNullOrWhiteSpace(sign)//必须包含sign

                   && Regex.IsMatch(sign, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    //获取partner对应的key

                    //这里暂时只做了合作key校验,不做访问权限校验,如有需要,此处可进行调整,建议RBAC

                    string partnerKey = this.GetPartnerKey(partner);

                    if (!string.IsNullOrWhiteSpace(partnerKey))

                    {

                        NameValueCollection postCollection = null;

                        switch (request.RequestType.ToUpper())

                        {

                            case "GET":

                            case "DELETE": break;//只是为了同时显示restful四种方式才有这部分无意义代码

                            //实际该以哪种方式进行请求应遵循restful标准

                            case "POST":

                            case "PUT":

                                postCollection = request.Form;//post的数据必须通过application/x-www-form-urlencoded方式传递

                                break;

                            default:

                                throw new NotImplementedException();

                        }

                        //根据请求数据获取MD5签名

                        string vSign = getCollection.GetSecuritySign(partner, partnerKey, postCollection);

                        if (string.Equals(sign, vSign, StringComparison.OrdinalIgnoreCase))

                        {//验证通过,执行基类方法

                            base.OnActionExecuting(actionContext);

                            return;

                        }

                    }

                }

            }

            //此处暂时以401返回,可调整为其它返回

            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);

            //actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);

        }

        /// <summary>

        /// 获取合作号对应的合作Key,如果未能获取,则返回空字符串或者null

        /// </summary>

        /// <param name="partner"></param>

        /// <returns></returns>

        protected abstract string GetPartnerKey(string partner);

    }

子类例子

    public class AuthenticationAttribute : AbsBaseAuthenticationAttribute

    {

        protected override string GetPartnerKey(string partner)

        {

            //TODO:从缓存中或者其它地方读取数据

            return "bbb";

        }

    }

实际可以在需要身份验证的ApiController上增加[Authentication],也可以写一个基类,然后需要身份验证的ApiController继承自该基类

    [Authentication]

    public class ApiControllerBase : ApiController

    {

    }

当然如果项目中所有的api都需要进行签名访问,那么直接可以进行注册,就不需要上面的ApiControllerBase了

    config.Filters.Add(new AuthenticationAttribute());

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute--转的更多相关文章

  1. 01WebApi防篡改机制---HMAC机制

    防篡改,顾名思义就是防止有人恶意篡改请求数据URL以达到恶意攻击的目的,那要怎么才能实现这样的目的呢? 很简单,将要请求的数据加上合作号.合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将 ...

  2. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证

    本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录) 一.什么是JWT? JWT(json web token ...

  3. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证及Token的刷新

    来源:https://www.cnblogs.com/FlyLolo/p/ASPNETCore2_26.html 本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及T ...

  4. WebApi系列~安全校验中的防篡改和防复用

    回到目录 web api越来越火,因为它的跨平台,因为它的简单,因为它支持xml,json等流行的数据协议,我们在开发基于面向服务的API时,有个问题一直在困扰着我们,那就是数据的安全,请求的安全,一 ...

  5. 翻译:WebApi 认证--用户认证Oauth解析

        The Web API v2用户认证模板提供了流行的应用用户认证场景,如.使用本地帐号的用户名密码认账 (包括创建用户.设置和修改密码)以及使用第三方的认证方式,如facebook,googl ...

  6. 高级运维(二):搭建Nginx服务器、用户认证、基于域名的虚拟主机、SSL虚拟主机、Nginx反向代理

    一.搭建Nginx服务器 目标: 在IP地址为192.168.4.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能: 1> SSL加密功能 2> 设置Ng ...

  7. linux(十二)___Apache服务器用户认证、虚拟主机的配置

    创建xiangkejin  zhangsan两个用户 可看见文件中创建的两个用户: 建立虚拟目录并配置用户认证 ①建立虚拟目录 /xiangkejin ②在Apache的主配置文件httpd.conf ...

  8. 最适合入门的Laravel中级教程(二)用户认证

    之前的初级教程主要是学习简单的增删改查: 接着的中级教程的目标是在初级教程的基础上能写出更复杂更健壮的程序: 我们先来学习 laravel 的用户认证功能: 在现代网站中基本都有用户系统: 而我们每开 ...

  9. C#进阶系列——WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

随机推荐

  1. POJ3080:Blue Jeans

    Description The Genographic Project is a research partnership between IBM and The National Geographi ...

  2. poj 3229 The Best Travel Design ( 图论+状态压缩 )

    The Best Travel Design Time Limit: 2000MS   Memory Limit: 65536K Total Submissions: 1359   Accepted: ...

  3. Liferay 6.1开发学习

    http://www.huqiwen.com/2013/01/10/liferay-6-1-development-study-17-springmvc-portlet/ http://www.blo ...

  4. js正则表达式中的问号使用技巧总结

    这篇文章主要介绍了js正则表达式中的问号几种用法,比如+?,*?,{2,3}?可以停止匹配的贪婪模式等例子的解析. 在表示重复的字符后面加问号,比如+?,*?,{2,3}?可以停止匹配的贪婪模式. v ...

  5. Android TagFlowLayout完全解析 一款针对Tag的布局(转)

    一.概述 本文之前,先提一下关于上篇博文的100多万访问量请无视,博文被刷,我也很郁闷,本来想把那个文章放到草稿箱,结果放不进去,还把日期弄更新了,实属无奈. ok,开始今天的博文,今天要说的是Tag ...

  6. 关于“minSdk>deviceSdk”解决办法

    昨天,Android Studio开着,接华为测试机到Mac上,点运行键要下载搜杰天气时,出现"minSdk(API 17) > deviceSdk(API 16)"的提示, ...

  7. Assembly 'Microsoft.Office.Interop.Excel

    编译的时候报错,都无法通过编译: Assembly 'Microsoft.Office.Interop.Excel, Version=14.0.0.0, Culture=neutral, Public ...

  8. WARNING OGG-01223 TCP/IP error 111 (Connection refused)

    一:问题描述 GGSCI (source_pc) 64> info all Program     Status      Group       Lag at Chkpt  Time Sinc ...

  9. Core Data 学习简单整理01

    Core Data是苹果针对Mac和iOS平台开发的一个框架, 通过CoreData可以在本地生成数据库sqlite,提供了ORM的功能,将对象和数据模型相互转换 . 通过Core Data管理和操作 ...

  10. angularjs中ng-attr的用法

    <!DOCTYPE html> <html lang="zh-CN" ng-app="app"> <head> <me ...