在很多项目中,因为webapi是对外开放的,这个时候,我们就要得考虑接口交换数据的安全性。

安全机制也比较多,如andriod与webapi 交换数据的时候,可以走双向证书方法,但是开发成本比较大,

今天我们不打算介绍这方面的知识,我们说说一个较简单也较常见的安全交换机制

在这里要提醒读者,目前所有的加密机制都不是绝对的安全!

我们的目标是,任何用户或者软件获取到我们的webapi接口url后用来再次访问该地址都是无效的!

达到这种目标的话,我们必须要在url中增加一个时间戳,但是仅仅如此还是不够,用户可以修改我们的时间戳!

因此我们可以对时间戳 进行MD5加密,但是这样依然不够,用户可以直接对我们的时间戳md5的哦,因些需要引入一个绝对安全

双方约定的key,并同时加入其它参数进行混淆!

注意:这个key要在app里和我们的webapi里各保存相同的一份!

于是我们约定公式: 加密结果=md5(时间戳+随机数+key+post或者get的参数)

下面我们开始通过上述公式写代码:

于由我的环境是asp.net mvc 的,所以重写一个加密类ApiSecurityFilter

1、获取参数

if (request.Headers.Contains("timestamp"))

                timestamp = HttpUtility.UrlDecode(request.Headers.GetValues("timestamp").FirstOrDefault());

            if (request.Headers.Contains("nonce"))

                nonce = HttpUtility.UrlDecode(request.Headers.GetValues("nonce").FirstOrDefault());

            if (request.Headers.Contains("signature"))

                signature = HttpUtility.UrlDecode(request.Headers.GetValues("signature").FirstOrDefault());

            if (string.IsNullOrEmpty(timestamp) || string.IsNullOrEmpty(nonce) || string.IsNullOrEmpty(signature))

                throw new SecurityException();

2、判断时间戳是否超过指定时间

double ts = ;

            bool timespanvalidate = double.TryParse(timestamp, out ts);

            bool falg = (DateTime.UtcNow - new DateTime(, , , , , , )).TotalMilliseconds - ts >  * ;

            if (falg || (!timespanvalidate))

                throw new SecurityException();

3、POST/DELETE/UPDATE 三种方式提取参数

case "POST":

                case "PUT":

                case "DELETE":

                    Stream stream = HttpContext.Current.Request.InputStream;

                    StreamReader streamReader = new StreamReader(stream);

                    sortedParams = new SortedDictionary<string, string>(new JsonSerializer().Deserialize<Dictionary<string, string>>(new JsonTextReader(streamReader)));

                    break;

4、GET 方式提取参数

case "GET":

                    IDictionary<string, string> parameters = new Dictionary<string, string>();

                    foreach (string key in HttpContext.Current.Request.QueryString)

                    {

                        if (!string.IsNullOrEmpty(key))

                        {

                            parameters.Add(key, HttpContext.Current.Request.QueryString[key]);

                        }

                    }

                    sortedParams = new SortedDictionary<string, string>(parameters);

                    break;

5、排序上述参数并拼接,形成我们要参与md5的约定公式中的第四个参数

StringBuilder query = new StringBuilder();

            if (sortedParams != null)

            {

                foreach (var sort in sortedParams.OrderBy(k => k.Key))

                {

                    if (!string.IsNullOrEmpty(sort.Key))

                    {

                        query.Append(sort.Key).Append(sort.Value);

                    }

                }

                data = query.ToString().Replace(" ", "");

            }

6、开始约定公式计算结果并对比传过的结果是否一致

 var md5Staff = Seedwork.Utils.CharHelper.MD5(string.Concat(timestamp + nonce + staffId + data), );

            if (!md5Staff.Equals(signature))

                throw new SecurityException();

完整的代码如下:

public class ApiSecurityFilter : ActionFilterAttribute

    {

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            var request = actionContext.Request;

            var method = request.Method.Method;

            var staffId = "^***********************************$";

            string timestamp = string.Empty, nonce = string.Empty, signature = string.Empty;

            if (request.Headers.Contains("timestamp"))

                timestamp = request.Headers.GetValues("timestamp").FirstOrDefault();

            if (request.Headers.Contains("nonce"))

                nonce = request.Headers.GetValues("nonce").FirstOrDefault();

            if (request.Headers.Contains("signature"))

                signature = request.Headers.GetValues("signature").FirstOrDefault();

            if (string.IsNullOrEmpty(timestamp) || string.IsNullOrEmpty(nonce) || string.IsNullOrEmpty(signature))

                throw new SecurityException();

            double ts = ;

            bool timespanvalidate = double.TryParse(timestamp, out ts);

            bool falg = (DateTime.UtcNow - new DateTime(, , , , , , )).TotalMilliseconds - ts >  * ;

            if (falg || (!timespanvalidate))

                throw new SecurityException("timeSpanValidate");

            var data = string.Empty;

            IDictionary<string, string> sortedParams = null;

            switch (method.ToUpper())

            {

                case "POST":

                case "PUT":

                case "DELETE":

                    Stream stream = HttpContext.Current.Request.InputStream;

                    StreamReader streamReader = new StreamReader(stream);

                    sortedParams = new SortedDictionary<string, string>(new JsonSerializer().Deserialize<Dictionary<string, string>>(new JsonTextReader(streamReader)));

                    break;

                case "GET":

                    IDictionary<string, string> parameters = new Dictionary<string, string>();

                    foreach (string key in HttpContext.Current.Request.QueryString)

                    {

                        if (!string.IsNullOrEmpty(key))

                        {

                            parameters.Add(key, HttpContext.Current.Request.QueryString[key]);

                        }

                    }

                    sortedParams = new SortedDictionary<string, string>(parameters);

                    break;

                default:

                    throw new SecurityException("defaultOptions");

            }

            StringBuilder query = new StringBuilder();

            if (sortedParams != null)

            {

                foreach (var sort in sortedParams.OrderBy(k => k.Key))

                {

                    if (!string.IsNullOrEmpty(sort.Key))

                    {

                        query.Append(sort.Key).Append(sort.Value);

                    }

                }

                data = query.ToString().Replace(" ", "");

            }

            var md5Staff = Seedwork.Utils.CharHelper.MD5(string.Concat(timestamp + nonce + staffId + data), );

            if (!md5Staff.Equals(signature))

                throw new SecurityException("md5Staff");

            base.OnActionExecuting(actionContext);

        }

        public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)

        {

            base.OnActionExecuted(actionExecutedContext);

        }

    }

7、最后在asp.net mvc 里加入配置上述类

public static class WebApiConfig

    {

        public static void Register(HttpConfiguration config)

        {

            // Web API configuration and services

            config.Filters.Add(new ApiSecurityFilter());

            config.Filters.Add(new ApiHandleErrorAttribute());

            // Web API routes

            config.MapHttpAttributeRoutes();

            config.Routes.MapHttpRoute(

                name: "DefaultApi",

                routeTemplate: "api/{controller}/{id}",

                defaults: new { id = RouteParameter.Optional }

            );

        }

    }

8、添加写入日志类(此类不是本文重点,详细参考 http://www.cnblogs.com/laogu2/p/5912153.html

public class ApiHandleErrorAttribute: ExceptionFilterAttribute

    {

        /// <summary>

        /// add by laiyunba

        /// </summary>

        /// <param name="filterContext">context oop</param>

        public override void OnException(HttpActionExecutedContext filterContext)

        {

            LoggerFactory.CreateLog().LogError(Messages.error_unmanagederror, filterContext.Exception);

        }

    }

9、利用微信小程序测试接口

var data = {

        UserName: username,

        Password: password,

        Action: 'Mobile',

        Sms: ''

      };

      var timestamp = util.gettimestamp();

      var nonce = util.getnonce();

      if (username && password) {

        wx.request({

          url: rootUrl + '/api/login',

          method: "POST",

          data: data,

          header: {

            'content-type': 'application/json',

            'timestamp': timestamp,

            'nonce': nonce,

            'signature': util.getMD5Staff(data, timestamp, nonce)

          },

          success: function (res) {

            if (res.data) {
1)其中getMD5Staff函数:
function getMD5Staff(queryData, timestamp, nonce) {

  var staffId = getstaffId();//保存的key与webapi同步

  var data = dictionaryOrderWithData(queryData);

  return md5.md5(timestamp + nonce + staffId + data);

}
2)dictionaryOrderWithData函数:
function dictionaryOrderWithData(dic) {

  //eg {x:2,y:3,z:1}

  var result = "";

  var sdic = Object.keys(dic).sort(function (a, b) { return a.localeCompare(b) });

  var value = "";

  for (var ki in sdic) {

    if (dic[sdic[ki]] == null) {

      value = ""

    }

    else {

      value = dic[sdic[ki]];

    }

    result += sdic[ki] + value;

  }

  return result.replace(/\s/g, "");

}

10、测试日志

LaiyunbaApp Error:  : -- ::    Unmanaged error in aplication, the exception information is Exception:System.Security.SecurityException: 安全性错误。

   在 DistributedServices.MainBoundedContext.FilterAttribute.ApiSecurityFilter.OnActionExecuting(HttpActionContext actionContext)

   在 System.Web.Http.Filters.ActionFilterAttribute.OnActionExecutingAsync(HttpActionContext actionContext, CancellationToken cancellationToken)

--- 引发异常的上一位置中堆栈跟踪的末尾 ---

   在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)

   在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)

   在 System.Web.Http.Filters.ActionFilterAttribute.<ExecuteActionFilterAsyncCore>d__0.MoveNext()

--- 引发异常的上一位置中堆栈跟踪的末尾 ---

   在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)

   在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)

   在 System.Web.Http.Controllers.ActionFilterResult.<ExecuteAsync>d__2.MoveNext()

--- 引发异常的上一位置中堆栈跟踪的末尾 ---

   在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)

   在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)

   在 System.Web.Http.Controllers.ExceptionFilterResult.<ExecuteAsync>d__0.MoveNext()

失败的程序集的区域是:

MyComputer

LogicalOperationStack=-- ::

-- ::    DateTime=--18T01::.1000017Z

-- ::    Callstack=   在 System.Environment.GetStackTrace(Exception e, Boolean needFileInfo)

   在 System.Environment.get_StackTrace()

   在 System.Diagnostics.TraceEventCache.get_Callstack()

   在 System.Diagnostics.TraceListener.WriteFooter(TraceEventCache eventCache)

   在 System.Diagnostics.TraceSource.TraceEvent(TraceEventType eventType, Int32 id, String message)

   在 Infrastructure.Crosscutting.NetFramework.Logging.TraceSourceLog.TraceInternal(TraceEventType eventType, String message)

   在 Infrastructure.Crosscutting.NetFramework.Logging.TraceSourceLog.LogError(String message, Exception exception, Object[] args)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.OnExceptionAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.<ExecuteExceptionFilterAsyncCore>d__0.MoveNext()

   在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder.Start[TStateMachine](TStateMachine& stateMachine)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.ExecuteExceptionFilterAsyncCore(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.System.Web.Http.Filters.IExceptionFilter.ExecuteExceptionFilterAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)

   在 System.Web.Http.Controllers.ExceptionFilterResult.<ExecuteAsync>d__0.MoveNext()

   在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder`.Start[TStateMachine](TStateMachine& stateMachine)

   在 System.Web.Http.Controllers.ExceptionFilterResult.ExecuteAsync(CancellationToken cancellationToken)

   在 System.Web.Http.ApiController.ExecuteAsync(HttpControllerContext controllerContext, CancellationToken cancellationToken)

   在 System.Web.Http.Dispatcher.HttpControllerDispatcher.<SendAsync>d__1.MoveNext()

   在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder`.Start[TStateMachine](TStateMachine& stateMachine)

   在 System.Web.Http.Dispatcher.HttpControllerDispatcher.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

   在 System.Net.Http.HttpMessageInvoker.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

   在 System.Web.Http.Dispatcher.HttpRoutingDispatcher.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

至此,webapi加密工作已经全部完成,上述异常是直接访问url报的错误,必须在app环境下才可以正常访问。

总结:webapi加密机密很多,像微信小程序,用户很难拿到客户端app的源码,想知道我们的key也是无从说起。当然,我们也得定期更新app版本。

像app for andriod or ios 可以使用双向证书,或者使用我们上述的方式,然后加固app,防止不怀好意的人破解得到key,当然不管如何,我们首先要走的都是https协议!

作者:谷歌's谷歌's博客园
出处:http://www.cnblogs.com/laogu2/ 欢迎转载,但任何转载必须保留完整文章,在显要地方显示署名以及原文链接。如您有任何疑问或者授权方面的协商,请给我留言

asp.net mvc webapi 实用的接口加密方法(转载)的更多相关文章

  1. asp.net mvc webapi 实用的接口加密方法

    在很多项目中,因为webapi是对外开放的,这个时候,我们就要得考虑接口交换数据的安全性. 安全机制也比较多,如andriod与webapi 交换数据的时候,可以走双向证书方法,但是开发成本比较大, ...

  2. net mvc webapi 实用

    asp.net mvc webapi 实用的接口加密方法   在很多项目中,因为webapi是对外开放的,这个时候,我们就要得考虑接口交换数据的安全性. 安全机制也比较多,如andriod与webap ...

  3. .net异步性能测试(包括ASP.NET MVC WebAPI异步方法)

    很久没有写博客了,今年做的产品公司这两天刚刚开了发布会,稍微清闲下来,想想我们做的产品还有没有性能优化空间,于是想到了.Net的异步可以优化性能,但到底能够提升多大的比例呢?恰好有一个朋友正在做各种语 ...

  4. 案例:1 Ionic Framework+AngularJS+ASP.NET MVC WebApi Jsonp 移动开发

    落叶的庭院扫的一干二净之后,还要轻轻把树摇一下,抖落几片叶子,这才是Wabi Sabi的境界. 介绍:Ionic是移动框架,angularjs这就不用说了,ASP.Net MVC WebApi提供数据 ...

  5. ASP.NET MVC WebApi 返回数据类型序列化控制(json,xml) 用javascript在客户端删除某一个cookie键值对 input点击链接另一个页面,各种操作。 C# 往线程里传参数的方法总结 TCP/IP 协议 用C#+Selenium+ChromeDriver 生成我的咕咚跑步路线地图 (转)值得学习百度开源70+项目

    ASP.NET MVC WebApi 返回数据类型序列化控制(json,xml)   我们都知道在使用WebApi的时候Controller会自动将Action的返回值自动进行各种序列化处理(序列化为 ...

  6. C#/ASP.NET MVC微信公众号接口开发之从零开发(四) 微信自定义菜单(附源码)

    C#/ASP.NET MVC微信接口开发文章目录: 1.C#/ASP.NET MVC微信公众号接口开发之从零开发(一) 接入微信公众平台 2.C#/ASP.NET MVC微信公众号接口开发之从零开发( ...

  7. 让Asp.net mvc WebAPI 支持OData协议进行分页查询操作

    这是我在用Asp.net mvc WebAPI 支持 OData协议 做分页查询服务时的 个人拙笔. 代码已经开发到oschina上.有兴趣的朋友可以看看,欢迎大家指出不足之处. 看过了园子里的几篇关 ...

  8. C#/ASP.NET MVC微信公众号接口开发之从零开发(三)回复消息 (附源码)

    C#/ASP.NET MVC微信接口开发文章目录: 1.C#/ASP.NET MVC微信公众号接口开发之从零开发(一) 接入微信公众平台 2.C#/ASP.NET MVC微信公众号接口开发之从零开发( ...

  9. ASP.NET Core WebApi构建API接口服务实战演练

    一.ASP.NET Core WebApi课程介绍 人生苦短,我用.NET Core!提到Api接口,一般会想到以前用到的WebService和WCF服务,这三个技术都是用来创建服务接口,只不过Web ...

随机推荐

  1. Rail_UVa514_栈

    /* https://vjudge.net/problem/UVA-514 */ #include "pch.h" #include<iostream> #includ ...

  2. 784. Letter Case Permutation C++字母大小写全排列

    网址:https://leetcode.com/problems/letter-case-permutation/ basic backtracking class Solution { public ...

  3. flask-数据库模型设计2

    3.数据库模型设计 3.1构建蓝图项目目录 1.前后台项目目录分析   2.蓝图构建项目目录 蓝图:一个应用中或跨域应用制作组件和支持通用模式. 蓝图的作用:将不同的功能模块化 构建大型应用 优化项目 ...

  4. C# 语法特性 - 泛型(C#2.0)

    泛型将 类型参数 的概念引入了 .NET Framework. 泛型主要有两个优点: 1.编译时可以保证类型安全. 2.不用做类型转换,获得一定的性能提升. 泛型方法.泛型委托.泛型接口 除了泛型类之 ...

  5. 【LeetCode】大数相乘

    1. 模拟手工计算 原理: 将 string 反转存储在 int 数组中,如 A = 17 = (7, 1),B = 25 = (5, 2),亦即幂表示法,幂次是从低位到高位. 作逐位相乘,即 ai ...

  6. Utils--Cookie工具类

    Utils--Cookie工具类 package com.taotao.manage.util; import java.io.UnsupportedEncodingException; import ...

  7. nginx 隐藏 index.php 和 开启 pathinfo 模式的配置

    nginx 通过 location 的规则匹配将 php 转发给 php-fpm 处理后获取结果然后返回给客户端,转发模式可以通过 unix sock 或 tcp socket 方式.百度了好多文章我 ...

  8. pycharm(Tip of Day)

    You can easily override the methos of the base class by press Ctrl + 0 ( code | override methods) Yo ...

  9. SmartGit(我工作中使用git图形化界面工具)

    http://www.syntevo.com/smartgit/ 这个工具用了快两年,之前在逸橙工作时同事(目前就职百姓网)推荐使用的,查看更改了哪些文档很方便,前天试用版过期,现在贴个 破解的链接 ...

  10. Javascript this 的一些总结

    1.1.1 摘要 相信有C/C++.C#或Java等编程经验的各位,对于this关键字再熟悉不过了.由于Javascript是一种面向对象的编程语言,它和C/C++.C#或Java一样都包含this关 ...