第 8 章 认证和安全

配置数据保护

在默认的情况下,数据保护 API 有自身的默认配置,如密钥的保存位置、密钥的有效期、所使用的算法等

前面已经提到了密钥的默认有效期以及用到的算法,对于密钥的保存位置,根据应用程序运行环境的不同,密钥的保存位置也不相同

保存密钥的文件名为 kdy-{guid}.xml,其中 guid 是密钥 ID

如果要修改密钥的保存位置,可以调用 IDataProtectionBuilder 接口的 PersistKeysToFileSystem 方法

services.AddDataProtection().PersistKeysToFileSystem(new DirectoryInfo("data_keys"));

如果要修改密钥的有效期,可以调用 SetDefaultKeyLifetime 方法

services.AddDataProtection().SetDefaultKeyLifetime(TimeSpan.FromDays(30));

如果要修改默认的加密算法与散列算法,可以调用 UseCryptographicAlgorithms 方法

services.AddDataProtection()
.UseCryptographicAlgorithms(
new AuthenticatedEncryptorConfiguration
{
EncryptionAlgorithm = EncryptionAlgorithm.AES_256_CBC,
ValidationAlgorithm = ValidationAlgorithm.HMACSHA256
});

如果希望密文在多个应用程序之间共享,应该调用 SetApplicationName 方法来设置应用程序的名称,并使要共享密钥的应用程序具有同样的名称

services.AddDataProtection().SetApplicationName("shared app name");

用户机密

在开发过程中,对于一些敏感信息,应该避免直接写在代码或配置文件中,可以通过环境变量与用户机密实现

在 Visual Studio 中,右击“解决方案管理器”中的“项目名称”,在快捷菜单栏中选择“管理用户机密”

此时会打开一个 secrets.json 的 JSON 文件,内容为空,同时在 .csporj 中,多出了如下节点

<UserSecretsId>4d887da9-16a8-4a0c-b467-6b5e67a304ce</UserSecretsId>

secrets.json 文件主要用来存储敏感数据,即用户机密,主要针对开发环境

将用户机密配置到系统更中

var builder = new ConfigurationBuilder()
.SetBasePath(env.ContentRootPath)
.AddJsonFile("appsettings.json", optional: false, reloadOnChange: true); if (env.IsDevelopment())
{
builder.AddUserSecrets<Startup>();
} Configuration = builder.Build();

访问的时候在需要的位置注入 IConfiguration 接口即可

通过 .NET Core CLI 工具同样也可以创建并管理用户机密,首先在 .csproj 文件中添加 UserSecretsId 节点,修改完项目后,在命令行提示符中切换到文件所在位置,使用命令添加、删除、查看配置项

dotnet user-secrets set "Library:ServiceApiKey" "12345"
dotnet user-secrets list
dotnet user-secrets remove
dotnet user-secrets clear

8.5 CORS

CORS,全称 Cross-Origin Resource Sharing (跨域资源共享),是一种允许当前域的资源能被其他域访问的机制

所谓同域,是指两个 URL 有相同的协议、主机和端口,如果三项中有一项不同,那么资源就会认为来自不同的域

对于跨域资源访问,CORS 会将它们分为两种类型:简单请求和非简单请求

一个请求如果满足以下所有条件,就是简单请求:

  • 请求方法为 GET、HEAD、POST 三者之一
  • 如果请求方法为 POST,则 Content-Type 消息头只允许为这3项:application/x-www-form-urlencoded、multipart/form-data、text/plain
  • 不包含自定义消息头

如果不满足其中任何一个条件,则为非简单请求

如果是简单请求,被请求的服务器会判断这个源是否包含在允许跨源访问的列表中,包含则允许访问

如果是非简单请求,则在向服务器发送实际请求之前,先发送一个 OPTIONS 方法的请求,以确认发送正式的请求是否安全

实现 CORS

添加服务到容器中

services.AddCors();

使用 UseCors 方法为整个应用程序提供 CORS 功能,需要注意,CORS 中间件应添加在任何可能会用到 CORS 功能的中间件之前

app.UseCors(builder => builder.WithOrigins("https://localhost:6001"));

如果要允许任何源访问,则可以使用 AllowAnyOrigin 方法

app.UseCors(builder => builder.AllowAnyOrigin());

类似的方法还有 AllowAnyMethod 和 AllowAnyHeader

除了在 UseCors 方法中创建 CORS 策略外,还可以在添加 CORS 服务时通过 CorsOptions 对象创建一个或多个策略

services.AddCors(options =>
{
options.AddPolicy("AllowAllMethodsPolicy",
builder => builder.WithOrigins("https://localhost:6001").AllowAnyMethod()); options.AddPolicy("AllowAnyOriginPolicy", builder => builder.AllowAnyOrigin()); options.AddDefaultPolicy(builder => builder.WithOrigins("https://localhost:6001"));
});

当创建多个策略后,使用 UseCors 方法就可以指定要使用的策略名称

app.UseCors("AllowAllMethodsPolicy");

使用 CORS 中间件能够为整个应用程序添加 CORS 功能,如果仅希望为 MVC 应用程序中的某个 Controller 或某个 Action 添加 CORS,那么就需要 [EnableCors] 特性,此时应将 CORS 中间件从请求管道中移除

[EnableCors]
[Route("api/[controller]")]
[ApiController]
public class ValueController : Controller
{
。。。
[EnableCors("AllowAllMethodsPolicy")]
[HttpGet]
public ActionResult<IEnumerable<Student>> Get()
{
。。。
}
}

与 [EnableCors] 特性相反,[DisableCors] 特性能够使 Controller 或 Action 禁用 CORS 支持

8.6 限流

为防止 API 被恶意滥用,应考虑对 API 的请求进行限流

下例中的自定义中间件实现了限流功能,它限制每分钟内使用同一方法对同一资源仅能发起10次请求

namespace WebApplication1.Middlewares
{
public class RequestRateLimitingMiddleware
{
private const int Limit = 10;
private readonly RequestDelegate next;
private readonly IMemoryCache requestStore; public RequestRateLimitingMiddleware(RequestDelegate next, IMemoryCache requestStore)
{
this.next = next;
this.requestStore = requestStore;
} public async Task Invoke(HttpContext context)
{
var requestKey = $"{context.Request.Method}-{context.Request.Path}";
int hitCount = 0; var cacheOptions = new MemoryCacheEntryOptions
{
AbsoluteExpiration = DateTime.Now.AddMinutes(1)
}; if (requestStore.TryGetValue(requestKey, out hitCount))
{
if (hitCount < Limit)
{
await ProcessRequest(context, requestKey, hitCount, cacheOptions);
}
else
{
context.Response.Headers["X-RateLimit-RetryAfter"] = cacheOptions.AbsoluteExpiration?.ToString();
context.Response.StatusCode = StatusCodes.Status429TooManyRequests;
}
}
else
{
await ProcessRequest(context, requestKey, hitCount, cacheOptions);
}
} private async Task ProcessRequest(HttpContext context, string requestKey, int hitCount,
MemoryCacheEntryOptions cacheOptions)
{
hitCount++; requestStore.Set(requestKey, hitCount, cacheOptions); context.Response.Headers["X-RateLimit-Limit"] = Limit.ToString();
context.Response.Headers["X-RateLimit-Remaining"] = (Limit - hitCount).ToString(); await next(context);
}
}
}

上述的中间件的实现借用了内存缓存来记录以某一方法对某一资源访问的次数

由于中间件使用了内存缓存,因此确保将其服务添加进来

services.AddMemoryCache();

并将中间件添加到请求管道中,注意,需要将他放在处理 API 请求之前

app.UseMiddleware<RequestRateLimitingMiddleware>();
app.UseMvc();

RequestRateLimitingMiddleware 中间件仅是简单地实现了限流功能,如果要为应用程序添加更复杂、更高级的限流功能,可借助第三方库,如 AspNetCoreRateLimit,能够根据 IP 地址或客户端 ID 对请求进行限流,同时它也支持对不同的接口设置不同的访问限制

本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。

欢迎转载、使用、重新发布,但务必保留文章署名 郑子铭 (包含链接: http://www.cnblogs.com/MingsonZheng/ ),不得用于商业目的,基于本文修改后的作品务必以相同的许可发布。

如有任何疑问,请与我联系 (MingsonZheng@outlook.com) 。

《ASP.NET Core 与 RESTful API 开发实战》-- (第8章)-- 读书笔记(尾)的更多相关文章

  1. 使用ASP.NET Core构建RESTful API的技术指南

    译者荐语:利用周末的时间,本人拜读了长沙.NET技术社区翻译的技术标准<微软RESTFul API指南>,打算按照步骤写一个完整的教程,后来无意中看到了这篇文章,与我要写的主题有不少相似之 ...

  2. 4类Storage方案(AS开发实战第四章学习笔记)

    4.1 共享参数SharedPreferences SharedPreferences按照key-value对的方式把数据保存在配置文件中,该配置文件符合XML规范,文件路径是/data/data/应 ...

  3. 菜单Menu(AS开发实战第四章学习笔记)

    4.5 菜单Menu Android的菜单主要分两种,一种是选项菜单OptionMenu,通过按菜单键或点击事件触发,另一种是上下文菜单ContextMenu,通过长按事件触发.页面的布局文件放在re ...

  4. [Android]《Android艺术开发探索》第一章读书笔记

    1. 典型情况下生命周期分析 (1)一般情况下,当当前Activity从不可见重新变为可见状态时,onRestart方法就会被调用. (2)当用户打开新的Activity或者切换到桌面的时候,回调如下 ...

  5. 温故知新,使用ASP.NET Core创建Web API,永远第一次

    ASP.NET Core简介 ASP.NET Core是一个跨平台的高性能开源框架,用于生成启用云且连接Internet的新式应用. 使用ASP.NET Core,您可以: 生成Web应用和服务.物联 ...

  6. 快读《ASP.NET Core技术内幕与项目实战》WebApi3.1:WebApi最佳实践

    本节内容,涉及到6.1-6.6(P155-182),以WebApi说明为主.主要NuGet包:无 一.创建WebApi的最佳实践,综合了RPC和Restful两种风格的特点 1 //定义Person类 ...

  7. 零基础ASP.NET Core WebAPI团队协作开发

    零基础ASP.NET Core WebAPI团队协作开发 相信大家对“前后端分离”和“微服务”这两个词应该是耳熟能详了.网上也有很多介绍这方面的文章,写的都很好.我这里提这个是因为接下来我要分享的内容 ...

  8. ASP.NET Core WebApi构建API接口服务实战演练

    一.ASP.NET Core WebApi课程介绍 人生苦短,我用.NET Core!提到Api接口,一般会想到以前用到的WebService和WCF服务,这三个技术都是用来创建服务接口,只不过Web ...

  9. 从 0 使用 SpringBoot MyBatis MySQL Redis Elasticsearch打造企业级 RESTful API 项目实战

    大家好!这是一门付费视频课程.新课优惠价 699 元,折合每小时 9 元左右,需要朋友的联系爱学啊客服 QQ:3469271680:我们每课程是明码标价的,因为如果售价为现在的 2 倍,然后打 5 折 ...

  10. Asp.Net Core 5 REST API - Step by Step

    翻译自 Mohamad Lawand 2021年1月19日的文章 <Asp.Net Core 5 Rest API Step by Step> [1] 在本文中,我们将创建一个简单的 As ...

随机推荐

  1. STM32CubeMX教程18 DAC - DMA输出自定义波形

    1.准备材料 开发板(正点原子stm32f407探索者开发板V2.4) STM32CubeMX软件(Version 6.10.0) 野火DAP仿真器 keil µVision5 IDE(MDK-Arm ...

  2. Vue3使用vue-video-player组件

    1.安装依赖(亲测5.0.1版本可用,最新版本会找不到'vue-video-player/src/custom-theme.css'这个样式) yarn add  vue-video-player@5 ...

  3. fetch概述

    1.基本特性 更加简单的数据获取方式,功能更强大.更灵活,可以看做是xhr的升级版 基于promise实现 2.语法结构 3.fetch的基本用法

  4. 请问Sass/SCSS(with node-sass)和Sass/SCSS(with dart-sass)选哪个?

    node-sass是自动编译实时的,dart-sass需要保存后才会生效. 如果您在Dart-VM内运行Dart-Sass,它的运行速度很快,但它表示可以编译为纯JS,dart-sass只是一个编译版 ...

  5. freeswitch的事件引擎实现分析

    概述 freeswitch是由事件驱动的,fs内部有各种事件来标识状态的变化包括呼叫的变化.配置的变化.号码的变化等等. 而一个框架内的事件引擎需要实现哪些基本的功能呢? 让我们来看一下fs的事件引擎 ...

  6. HUD 5773 LIS(最长上升序列)

    ***关于lower_bound()的用法参见:http://blog.csdn.net/niushuai666/article/details/6734403 lower_bound用法:函数low ...

  7. POJ

    //poj 2080//题目大意:给定天数,从2000年1月1日经过这些天后的 年 月 日 及 星期几//代码参照大牛的写的,本人还是处于菜鸟阶段,思路很好#include<stdio.h> ...

  8. java项目实战-jdbc实现-书城的增删改查-day21

    目录 1. 安装mysql 安装navicate 2. jdbc实现增删改查 1. 安装mysql 安装navicate 参考网上资料 创库 创表 并放入3条测试数据 2. jdbc实现增删改查 bo ...

  9. KVM 核心功能:内存虚拟化

    1 内存虚拟化简介 QEMU-KVM 提供内存的虚拟化,从虚拟机角度看其自身拥有的内存就是真实的物理内存.实际上,虚拟机是 host 上的一个 qemu 进程,在为虚拟机指定内存时,host 上并没有 ...

  10. Nginx 配置文件备忘单

    Nginx 是用于 Web 服务.反向代理.缓存.负载平衡.媒体流等的开源软件.在这篇文章中,我将提到一些我们经常使用的 Nginx 配置. 监听端口 server { Standard HTTP P ...