其实跟大多数网上的方法一样,在前端请求头里加token,后台通过拦截器处理token数据,然后两边对比,如果一样就能通过,不一样就返回无权限。

前端测试代码如下:

@{

    ViewBag.Title = "TestApiAouth";

}

<h2>测试</h2>

<form id="form">

    <div>

        <label class="form-control">PIC:</label>

        <input id="pic" type="file" name="pic" class="form-control" />

    </div>

    <div>

        <button id="test" type="button">测试</button>

    </div>

</form>

@section scripts{

    <script src="~/Scripts/md5.js"></script>

    <script>

        $(function () {

            $("#test").on("click", function () {

                var id=$("#id").val();

                var name = $("#name").val();

                var add_arr = new Array();

                add_arr.push("method=AddSkin");

                add_arr.push("appcode=PHRASE");

                add_arr.push("name=一叶孤舟");

                add_arr.push("type=background");

                add_arr.push("font_color=");

                add_arr.push("price=7000");

                add_arr.push("state=0");

                add_arr.push("description=轻风无意助孤舟,任尔飘摇任尔游。");

                add_arr.push("forever=1");

                add_arr.push("sale_start=");

                add_arr.push("sale_end=" );

                add_arr.push("timestamp=" +parseInt(new Date().getTime() / ( * *)));

                add_arr.sort();

                var n_sign = add_arr.join('&');

                var sign = hex_md5(encodeURIComponent(n_sign).toUpperCase());

                var formData = new FormData();

                formData.append('pic', document.querySelector('#pic').files[]);

                formData.append('appcode', "PHRASE");

                formData.append('name', "一叶孤舟");

                formData.append('type', "background");

                formData.append('font_color', "");

                formData.append('price', "");

                formData.append('state', "");

                formData.append('description', "轻风无意助孤舟,任尔飘摇任尔游。");

                formData.append('forever', "");

                formData.append('sale_start', "");

                formData.append('sale_end', "");

                $.ajax({

                    url: "http://localhost:51650/api/AppletShop/AdminShop/AddSkin",

                    type: "post",

                    dataType: "json",

                    data: formData,

                    headers: { "sign": sign },

                    processData: false,

                    contentType: false,

                    success: function (data) {

                        if (data.success) {

                            alert(data.message);

                        }

                    },

                    error: function (data) {

                        alert(data);

                    }

                });

            });

        });

    </script>

    }

好吧,先不吐槽我的加密字符串的加入方式。。。

如上,我们需要的是将参数加入到一个集合,然后排序,然后拼接成一个字符串,然后转码,然后MD5加密。里面的时间戳是表示这个sign是有时限的。

然后是拦截器的代码:

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //如果不需要检测直接返回

            if (!isCheck)

                return;

            ApiResult resultMsg = new ApiResult();

            List<string> list_params = new List<string>();

            string action_name = actionContext.ActionDescriptor.ActionName;

            list_params.Add("method=" + action_name);

            //参数在queryparam上

            var action_params = actionContext.ActionArguments;

            foreach (var param in action_params)

            {

                list_params.Add(param.Key + "=" + param.Value);

            }

            var headers = actionContext.Request.Content.Headers;

            //如果是multipart/form-data请求

            if (actionContext.Request.Content.IsMimeMultipartContent())

            {

                System.Collections.ObjectModel.Collection<HttpContent> formdata=new System.Collections.ObjectModel.Collection<HttpContent> ();

                Task.Factory.StartNew(() => formdata = actionContext.Request.Content.ReadAsMultipartAsync().Result.Contents, CancellationToken.None, TaskCreationOptions.LongRunning, TaskScheduler.Default).Wait();

                foreach (var form in formdata)

                {

                    //文件不加入到加密字符串中

                    if (Util.isNotNull(form.Headers.ContentDisposition.FileName))

                    {

                        continue;

                    }

                    var key = form.Headers.ContentDisposition.Name.Replace("\"", "");

                    string val = form.ReadAsStringAsync().Result;

                    list_params.Add(key + "=" + val);

                }

            }

            if (Util.isNotNull(headers.ContentType))

            {

                //各种请求类型(目前只支持下面三种和上面的formdata)

                if (headers.ContentType.ToString() == "application/json")

                {

                    var result = actionContext.Request.Content.ReadAsStringAsync().Result;

                    list_params.Add(result);

                }

                else if (headers.ContentType.ToString() == "text/plain; charset=UTF-8")

                {

                    var result = actionContext.Request.Content.ReadAsStringAsync().Result;

                    list_params.Add(result);

                }

                else if (headers.ContentType.ToString() == "application/x-www-form-urlencoded")

                {

                    var result = actionContext.Request.Content.ReadAsStringAsync().Result;

                    var _params = result.Split('&');

                    list_params.AddRange(_params);

                }

            }

            //加时间戳

            long timespan_now = Util.GetTimestamp(DateTime.Now);

            list_params.Add("timestamp=" + timespan_now / ( *  *));

            list_params.Sort(); //排序

            //需要加密的字段

            string sign_string = string.Join("&", list_params);

            //从header中读取sign,timestamp.sign是方法名与方法参数的集合排序后通过&连接的字符串

            string sign = SignToken.GetSignByHeader(actionContext.Request.Headers, "sign");

            //string timestamp = SignToken.GetSignByHeader(actionContext.Request.Headers, "timestamp");

            //判断请求头是否包含以下参数

            if (string.IsNullOrEmpty(sign))

            {

                resultMsg = new ApiResult { success = false, status = Util.ApiStatusCode.InvalidParam, message = "请求头中缺少参数数据!" };

            }

            else

            {

                //服务端加密后的参数

                string server_sign = Util.MD5Encrypt(HttpUtility.UrlEncode(sign_string).ToUpper()).ToLower();

                if (server_sign != sign)

                {

                    resultMsg = new ApiResult { success = false, status = Util.ApiStatusCode.Unauthorized, message = "签名或者密钥错误!" };

                }

                else

                {

                    resultMsg.success = true;

                }

            }

            if (!resultMsg.success)

            {

                //如果验证不通过,则返回授权错误,并且写入错误原因

                actionContext.Response = actionContext.Request.CreateResponse(resultMsg);

            }

            else

            {

                base.OnActionExecuting(actionContext);

            }

        }

我拦截器的处理方式是以获取参数为核心,不管你是什么请求方法(get,post,delete,put),只要你传了参数,然后我需要保证前后端的参数是一致的。这里就做了几个限制。

1.请求是Get是没问题,其他请求只支持 multipart/form-data,application/json,application/x-www-form-urlencoded,text/plain; charset=UTF-8,目前这些对我来说是够用了。然后每种方式传参方式咯有不同,前后端统一就可以了。

2.当有文件时,文件字段是不加入到加密字符中的

然后在调试过程中遇到过一个问题。在multipart/form-data情况下,actionContext.Request.Content.ReadAsMultipartAsync().Result.Contents会发生死锁,然后前端就一直等啊等,解决方法如上。

另外还有其他办法 https://stackoverflow.com/questions/15201255/request-content-readasmultipartasync-never-returns

webapi接口安全验证的更多相关文章

  1. ASP.NET MVC WebApi接口授权验证

    对于很任何多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程.使用面向接口编程的时候,那么就会有很多的权限验证,用户验证等等. 特别是对于一些系统来说,别人想要对接你的 ...

  2. 使用ASP.NET Identity 实现WebAPI接口的Oauth身份验证

    使用ASP.NET Identity 实现WebAPI接口的Oauth身份验证   目前WEB 前后端分离的开发模式比较流行,之前做过的几个小项目也都是前后分离的模式,后端使用asp.net weba ...

  3. ASP.NET Core WebApi基于JWT实现接口授权验证

    一.ASP.Net Core WebApi JWT课程前言 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再 ...

  4. ASP.NET WEBAPI 的身份验证和授权

    定义 身份验证(Authentication):确定用户是谁. 授权(Authorization):确定用户能做什么,不能做什么. 身份验证 WebApi 假定身份验证发生在宿主程序称中.对于 web ...

  5. 关于WEB Service&WCF&WebApi实现身份验证之WCF篇(2)

    因前段时间工作变动(换了新工作)及工作较忙暂时中断了该系列文章,今天难得有点空闲时间,就继续总结WCF身份验证的其它方法.前面总结了三种方法(详见:关于WEB Service&WCF& ...

  6. WebApi接口访问异常问题。尝试创建“testController”类型的控制器时出错。请确保控制器具有无参数公共构造函数

    本来运行的好好的webAPI 接口突然报了个 :“尝试创建“testController”类型的控制器时出错.请确保控制器具有无参数公共构造函数” 错误.耗了半宿最终解决了, 原因: api控制器中引 ...

  7. WebAPI接口安全校验

    通过网上查看相关WebAPI接口验证的方法,整理了一下,直接上代码,功能不复杂,有问题留言, //--------------------------------------------------- ...

  8. WebApi接口安全性 接口权限调用、参数防篡改防止恶意调用

    背景介绍 最近使用WebApi开发一套对外接口,主要是数据的外送以及结果回传,接口没什么难度,采用WebApi+EF的架构简单创建一个模板工程,使用template生成一套WebApi接口,去掉put ...

  9. 跟我一起学.NetCore之熟悉的接口权限验证不能少(Jwt)

    前言 权限管控对于一个系统来说是非常重要的,最熟悉不过的是菜单权限和数据权限,上一节通过Jwt实现了认证,接下来用它实现接口权限的验证,为什么不是菜单权限呢?对于前后端分离而言,称其为接口权限感觉比较 ...

随机推荐

  1. zepto源码分析·core模块

    准备说明 该模块定义了库的原型链结构,生成了Zepto变量,并将其以'Zepto'和'$'的名字注册到了window,然后开始了其它模块的拓展实现. 模块内部除了对选择器和zepto对象的实现,就是一 ...

  2. django-模板之自定义模板路径(一)

    一般情况下我们的模板路径是位于app下的templates,我们可以根据实际情况自己定义模板的路径. 我们在与app的同级目录下建立一个templates,并在settings.py中进行路径配置. ...

  3. 使用promise封装ajax

    直接上代码: function Ajax(method, headers, url, data, progress = null) { return new Promise(function (res ...

  4. 在VMware下通过挂载系统光盘搭建本地yum仓库的方法

    一.虚拟机的安装 首先你要有一个VMware虚拟机,没有软件的朋友可以看我的前几篇博客 安装VMware虚拟机 二.进入虚拟机(在这里我们进入一个Linux虚拟机下的CentOS操作系统进行演示) 首 ...

  5. 关于css里大于号(>)的用法

    之前用的css没涉及到这个问题,今天看到.知道大概用法,但不知道和普通的后代选择器有什么区别.到网上找了,其实w3c的css文档里有很详细明确的介绍(http://www.w3school.com.c ...

  6. Bootstrap布局基础

     1.栅格系统(布局)Bootstrap内置了一套响应式.移动设备优先的流式栅格系统,随着屏幕设备或视口(viewport)尺寸的增加,系统会自动分为最多12列. 我在这里是把Bootstrap中的栅 ...

  7. [wcp部署]Linux(Ubuntu)安装部署WCP

    1.安装JAVA运行环境 配置环境变量及安装jdk mkdir /usr/local/java tar -zxvf jdk-8u31-linux-x64.gz #解压jdk包 mv jdk1.8.0_ ...

  8. 我对C++开发人员有偏见

    前言 我确实对C++开发人员有一些偏见,我也知道对一类人有偏见是不正确的行为:但,在我所处的三线城市的环境中,我对C++开发有偏见并非是一件不正确的事,因为C++开发都是变态这件事,根本就是客观事实. ...

  9. 网络安全-主动信息收集篇第二章-二层网络扫描之nmap

    nmap是网络层.传输层最重要的扫描工具之一,可以结合脚本对应用层的扫描和对网络弱点发现. 网络层发现nmap使用: Usage: nmap [Scan Type(s)] [Options] {tar ...

  10. iOS开发高级分享 - iOS的可折叠表视图

    导言 我曾经开发过一个iphone应用程序,它显示了大量的输入,这些输入分为不同的类别,在`UITableView`...若要更改其中一个输入的值,用户按下表视图中的对应行,并在出现的单独屏幕中更改该 ...