MVC OR WEBAPI的接口安全

当我们开发一款App的时候,App需要跟后台服务进行通信获取或者提交数据。如果我们没有完善的安全机制则很容易被别用心的人伪造请求而篡改数据。
所以我们需要使用某种安全机制来保证请求的合法。现在最常用的办法是给每个http请求添加一个签名,服务端来验证签名的合法性,如果签名合法则执行响应的操作,如果签名非法则直接拒绝请求。

签名算法

签名算法一般都使用Hash散列算法,常用的有MD5,SHA系列算法。这些算法可以根据不同的输入,计算出不同的结果,而且碰撞的概率很低。
签名算法跟加密算法不是一回事。很多同学都会说使用MD5加密一下,其实这是错误的。签名算法不能恢复原来的数据,因为它本身并不包含原来数据的信息。
而加密方法不同,加密方法是可以根据加密结果重新推算出原来的数据的。
HMAC SHA作为一种更加安全的签名算法,使用一个Key来影响签名的结果。这样同样的输入配合不同的Key可以得出不同的签名,更加安全。

 public static string HmacSHA256(string secretKey,string plain)

        {

            var keyBytes = Encoding.UTF8.GetBytes(secretKey);

            var plainBytes = Encoding.UTF8.GetBytes(plain);

            using (var hmacsha256 = new HMACSHA256(keyBytes))

            {

                var sb = new StringBuilder();

                var hashValue = hmacsha256.ComputeHash(plainBytes);

                foreach (byte x in hashValue)

                {

                    sb.Append(String.Format("{0:x2}", x));

                }

                return sb.ToString();

            }

        }

签名的参数

有了签名算法,那么我们签名的内容哪里来呢?
一般我们使用http请求的queryString然后加上时间戳还有随机数来作为签名的参数。

 public static string MakeSignPlain(SortedDictionary<string,string> queryString,string time,string random )

        {

            var sb = new StringBuilder();

            foreach (var keyValue in queryString)

            {

                sb.AppendFormat("{0}={1}&", keyValue.Key, keyValue.Value);

            }

            if (sb.Length>1)

            {

                sb.Remove(sb.Length - 1, 1);

            }

            sb.Append(time);

            sb.Append(random);

            return sb.ToString().ToUpper();

        }

验证签名

验证签名就是简单的比较服务端生产的签名跟客户端生产的签名是否一直。
要注意的一点是最好验证下时间戳,跟服务端时间比较前后不能相差5分钟。这也是一个简单的防Replay Attack的手段。

 public static bool Valid(string requestSign,string signPlain,string time, string secretKey)

        {

            if (string.IsNullOrEmpty(time)||string.IsNullOrEmpty(requestSign)||string.IsNullOrEmpty(signPlain))

            {

                return false;

            }

            //is in range

            var now = DateTime.Now;

            long requestTime =0;

            if (long.TryParse(time,out requestTime))

            {

                var max = now.AddMinutes(5).ToString("yyyyMMddHHmmss");

                var min = now.AddMinutes(-5).ToString("yyyyMMddHHmmss");

                if (!(long.Parse(max) >= requestTime && long.Parse(min) <= requestTime))

                {

                    return false;

                }

            }

            else

            {

                return false;

            }

            //hashmac

            var sign = Encryption.HmacSHA256(secretKey, signPlain);

            return requestSign.Equals(sign, StringComparison.CurrentCultureIgnoreCase);

        }

ApiController基类

有了上面这些铺垫我们就可以在基类完成签名的验证了。客户端需要把上面提到的时间戳,随机数,签名和客户端的ID放入http请求的headers里面。
我们在基类的OnActionExecuting里取出这些数据组合成签名的参数,然后根据客户端ID获取签名的Key,然后使用同样的签名算法计算签名。并且比较客户端的签名跟服务端的签名是否一致。
这里就不演示了。

预防Replay Attack

预防重放攻击主要有两点:

  • 校验时间戳的范围
    时间戳跟服务器时间相差在一个合理的范围内视为合法。
  • 缓存签名
    每次请求都去判断下签名是否出现过。如果出现过则视为非法请求。
    因为有时间戳跟随机数的存在,所以理论上每次请求的签名是不可能重复的。

客户端调用

这里演示一下C#签名并且调用http接口的代码

 [TestMethod()]

        public void GetUserTest()

        {

            string url = "http://localhost:8090/api/test/GetUser";

            string userId = "A39891D4-6CEF-4538-A562-3A422CA9C17A";

            string appId = "100001";

            string secretKey = "M/vkPOWXgBa7GnRd73t7j+jsKfbZtb+f";

            string rumdon = Guid.NewGuid().ToString();

            string time = DateTime.Now.ToString("yyyyMMddHHmmss");

            //make signture plain text

            var sortDict = new SortedDictionary<string, string>()

            {

                {"userId",userId }

            };

            var signPlain = new StringBuilder();

            foreach (var keyValue in sortDict)

            {

                signPlain.AppendFormat("{0}={1}&", keyValue.Key, keyValue.Value);

            }

            if (signPlain.Length > 1)

            {

                //remove last &

                signPlain.Remove(signPlain.Length - 1, 1);

            }

            signPlain.Append(time);

            signPlain.Append(random);

            Console.WriteLine("sign plain:{0}", signPlain.ToString().ToUpper());

            //make sign

            var sign = Encryption.HmacSHA256(secretKey, signPlain.ToString().ToUpper());

            Console.WriteLine("sign:{0}", sign);

            string requestUrl = string.Format("{0}?{1}={2}", url, "userId", userId);

            HttpWebRequest request = (HttpWebRequest)WebRequest.Create(requestUrl);

            request.Method = "GET";

            //add headers

            request.Headers.Add("time", time);

            request.Headers.Add("appId", appId);

            request.Headers.Add("random", random);

            request.Headers.Add("sign", sign);

            //

            //start request

            try

            {

                using (HttpWebResponse response = (HttpWebResponse)request.GetResponse())

                {

                    var responseStream = response.GetResponseStream();

                    if (responseStream != null)

                    {

                        using (StreamReader reader = new StreamReader(responseStream))

                        {

                            var content = reader.ReadToEnd();

                            Console.WriteLine(content);

                        }

                    }

                }

            }

            catch (WebException ex)

            {

                using (HttpWebResponse response = (HttpWebResponse)ex.Response)

                {

                    var responseStream = response.GetResponseStream();

                    if (responseStream != null)

                    {

                        using (StreamReader reader = new StreamReader(responseStream))

                        {

                            var content = reader.ReadToEnd();

                            Console.WriteLine(content);

                        }

                    }

                }

            }

        }
BTW:求 苏州,上海地区有激情,有意义的技术类工作!!

Email:kklldog@gmail.com 
作者:Agile.Zhou(kklldog) 
出处:http://www.cnblogs.com/kklldog/

MVC OR API的接口的更多相关文章

  1. 【spring mvc】后台API查询接口,get请求,后台Date字段接收前台String类型的时间,报错default message [Failed to convert property value of type 'java.lang.String' to required type 'java.util.Date' for property 'createDate';

    后台API查询接口,get请求,后台Date字段接收前台String类型的时间筛选条件 后台接口接收 使用的实体 而createDate字段在后台实体中是Date类型 报错信息: org.spring ...

  2. 【开源】.Net Api开放接口文档网站

    开源地址:http://git.oschina.net/chejiangyi/ApiView 开源QQ群: .net 开源基础服务  238543768 ApiView .net api的接口文档查看 ...

  3. ASP.NET MVC Web API For APP

    近来很多大型的平台都公开了Web API.比如百度地图 Web API,做过地图相关的人都熟悉.公开服务这种方式可以使它易于与各种各样的设备和客户端平台集成功能,以及通过在浏览器中使用 JavaScr ...

  4. C#/ASP.NET MVC微信公众号接口开发之从零开发(四) 微信自定义菜单(附源码)

    C#/ASP.NET MVC微信接口开发文章目录: 1.C#/ASP.NET MVC微信公众号接口开发之从零开发(一) 接入微信公众平台 2.C#/ASP.NET MVC微信公众号接口开发之从零开发( ...

  5. [译]ABP框架使用AngularJs,ASP.NET MVC,Web API和EntityFramework构建N层架构的SPA应用程序

    本文转自:http://www.skcode.cn/archives/281 本文演示ABP框架如何使用AngularJs,ASP.NET MVC,Web API 和EntityFramework构建 ...

  6. 【转载】ASP.NET MVC Web API 学习笔记---联系人增删改查

    本章节简单介绍一下使用ASP.NET MVC Web API 做增删改查.目前很多Http服务还是通过REST或者类似RESP的模型来进行数据操作的.下面我们通过创建一个简单的Web API来管理联系 ...

  7. ASP.NET MVC Web API使用示例

    上篇博客讲解rest服务开发时,曾经提到过asp.net mvc中的rest api,由于篇幅原因,没有在上篇博客中进行讲解,这里专门拿出来进行讨论.还是一样引用上次的案例,用asp.net mvc提 ...

  8. 实战 ASP.NET MVC Web API

    实战 ASP.NET MVC Web API Web API 框架基于 ASP.NET MVC 框架开发,是一个面向 Http 协议的通信框架.相对于 WCF 而言,Web API 只面向于 Http ...

  9. node-koa搭建MVC/RESTful API项目

    本文将介绍如何基于node-koa搭建一个完整的mvc及restAPI的项目,项目封装了路由.模板引擎. 静态文件加载等基本功能:首先介绍项目的安装启动及目录结构说明,然后通过一个简单的登录页说明mv ...

随机推荐

  1. 我的第一个 Rails 站点:极简优雅的笔记工具-Raysnote

    出于公司开发需求,这个暑假我開始搞Ruby on Rails.在业余时间捣鼓了一个在线笔记应用:http://raysnote.com.这是一个极简而优雅的笔记站点(至少我个人这么觉得的). 笔记支持 ...

  2. Java的finally理解

    1.为什么要用finally 先看一个没有finally的异常处理try-catch语句: 如果count为要使用到的资源,而且用完要求释放此资源.那么我们能够把释放资源的语句放到try-catch后 ...

  3. Android开发之显示进度对话框

    一般有两种对话框,一个是普通的简单的please wait对话框,另一种是创建显示操作进度(如下载状态)的对话框. 第一种普通的效果图如下: 第一种普通的实现代码: public void onCli ...

  4. Android 解决调用系统相册打不开图片 DecodeServices报解码错误

    这是由于系统相册不知道你图片目录是一个相册.打开前需要向系统相册“注册一下”,说白了就是让系统相册知道你这个图片所在的文件夹是个相册. private static void scanImageFil ...

  5. 使用html5兼容低版本浏览器

    因为html5 新出的一些语义化的标签,在低版本浏览器下不能识别,举个例子,比如你写了一个 header 标签中,写了一段文本,在低版本浏览器下,肯定是能看到的,但是,那是他是不认识 header标签 ...

  6. J2EE入门必备

    1,J2EE是什么 J2EE(Java 2 platform Enterprise Edition)是软件平台,适于创建服务器端的大型应用软件和服务系统. J2EE适合开发大规模的业务系统,这种级别的 ...

  7. H TML5 之 (3)转动的圆球

    HTML5 练手之二,一个能够为之圆心转动的圆球,原理和时钟的非常像,只是要把握转动的时间控制,同时加入了点渐变色 HTML5 练手之二,一个能够为之圆心转动的圆球,原理和时钟的非常像,只是要把握转动 ...

  8. [C# 基础知识系列]专题一:深入解析委托——C#中为什么要引入委托

    转自http://www.cnblogs.com/zhili/archive/2012/10/22/Delegate.html 引言: 对于一些刚接触C# 不久的朋友可能会对C#中一些基本特性理解的不 ...

  9. 关于vs2008使用oracleclient链接oracle数据库报报错OCIEnvCreate 失败,返回代码为 -1,但错误消息文本不可用

    用vs2008链接oracle数据库出现问题,报错OCIEnvCreate 失败,返回代码为 -1,但错误消息文本不可用,从网上找了好久方法,有两种oracle客户端文件权限,和运行vs2008以管理 ...

  10. jfreechart环形图完美实现

    邮件发送由于不支持js,项目只能在后台生成环形图,用jfreechart完全可以实现,即:RingPlot. 这就拿jfreechart生成的最终效果,依赖jar包jfreechart,如果有任何细节 ...