在基本认证的方式中,主要的安全问题来自于用户信息的明文传输,而在摘要认证中,主要通过一些手段避免了此问题,大大增加了安全性。

1.客户端匿名的方式请求 (无认证)

HTTP/1.0  Unauthorized

Server: HTTPd/0.9

Date: Sun,  Apr  :: GMT

WWW-Authenticate: Digest realm="testrealm@host.com",

                        qop="auth,auth-int",

                        nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

                        opaque="5ccc069c403ebaf9f0171e9517f40e41"

3.客户端请求  (用户名 "Mufasa", 密码 "Circle Of Life")

客户端接受到请求返回后,进行HASH运算,返回Authorization参数

其中:realm,nonce,qop由服务器产生;

uri:客户端想要访问的URI;

nc:“现时”计数器,这是一个16进制的数值,即客户端发送出请求的数量(包括当前这个请求),这些请求都使用了当前请求中这个“现时”值。例如,对一个给定的“现时”值,在响应的第一个请求中,客户端将发送“nc=00000001”。这个指示值的目的,是让服务器保持这个计数器的一个副本,以便检测重复的请求。如果这个相同的值看到了两次,则这个请求是重复的;

cnonce:这是一个不透明的字符串值,由客户端提供,并且客户端和服务器都会使用,以避免用明文文本。这使得双方都可以查验对方的身份,并对消息的完整性提供一些保护;

response:这是由用户代理软件计算出的一个字符串,以证明用户知道口令。

<strong>response计算过程:</strong>

HA1=MD5(A1)=MD5(username:realm:password)

如果 qop 值为“auth”或未指定,那么 HA2 为

HA2=MD5(A2)=MD5(method:digestURI)

如果 qop 值为“auth-int”,那么 HA2 为

HA2=MD5(A2)=MD5(method:digestURI:MD5(entityBody))

如果 qop 值为“auth”或“auth-int”,那么如下计算 response:

response=MD5(HA1:nonce:nonceCount:clientNonce:qop:HA2)

如果 qop 未指定,那么如下计算 response:

response=MD5(HA1:nonce:HA2)

请求头:

GET /dir/index.html HTTP/1.0

Host: localhost

Authorization: Digest username="Mufasa",

                     realm="testrealm@host.com",

                     nonce="dcd98b7102dd2f0e8b11d0f600bfb0c093",

                     uri="/dir/index.html",

                     qop=auth,

                     nc=,

                     cnonce="0a4f113b",

                     response="6629fae49393a05397450978507c4ef1",

                     opaque="5ccc069c403ebaf9f0171e9517f40e41"

4.服务器响应

当服务器接收到摘要响应,也要重新计算响应中各参数的值,并利用客户端提供的参数值,和服务器上存储的口令,进行比对。如果计算结果与收到的客户响应值是相同的,则客户已证明它知道口令,因而客户的身份验证通过。

二、服务端验证

编写一个自定义消息处理器,需要通过System.Net.Http.DelegatingHandler进行派生,并重写SendAsync方法。

AuthenticationHandler类:

public class AuthenticationHandler : DelegatingHandler

{

    protected async override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

    {

        try

        {

            HttpRequestHeaders headers = request.Headers;

            if (headers.Authorization != null)

            {

                Header header = new Header(request.Headers.Authorization.Parameter, request.Method.Method);  

                if (Nonce.IsValid(header.Nonce, header.NounceCounter))

                {

                    // Just assuming password is same as username for the purpose of illustration

                    string password = header.UserName;  

                    string ha1 = String.Format("{0}:{1}:{2}", header.UserName, header.Realm, password).ToMD5Hash();  

                    string ha2 = String.Format("{0}:{1}", header.Method, header.Uri).ToMD5Hash();  

                    string computedResponse = String.Format("{0}:{1}:{2}:{3}:{4}:{5}",

                                        ha1, header.Nonce, header.NounceCounter,header.Cnonce, "auth", ha2).ToMD5Hash();  

                    if (String.CompareOrdinal(header.Response, computedResponse) == )

                    {

                        // digest computed matches the value sent by client in the response field.

                        // Looks like an authentic client! Create a principal.

                        var claims = new List<Claim>

                        {

                                        new Claim(ClaimTypes.Name, header.UserName),

                                        new Claim(ClaimTypes.AuthenticationMethod, AuthenticationMethods.Password)

                        };  

                        ClaimsPrincipal principal = new ClaimsPrincipal(new[] { new ClaimsIdentity(claims, "Digest") });  

                        Thread.CurrentPrincipal = principal;  

                        if (HttpContext.Current != null)

                            HttpContext.Current.User = principal;

                    }

                }

            }  

            HttpResponseMessage response = await base.SendAsync(request, cancellationToken);  

            if (response.StatusCode == HttpStatusCode.Unauthorized)

            {

                response.Headers.WwwAuthenticate.Add(new AuthenticationHeaderValue("Digest",Header.UnauthorizedResponseHeader.ToString()));

            }  

            return response;

        }

        catch (Exception)

        {

            var response = request.CreateResponse(HttpStatusCode.Unauthorized);

            response.Headers.WwwAuthenticate.Add(new AuthenticationHeaderValue("Digest",Header.UnauthorizedResponseHeader.ToString()));  

            return response;

        }

    }

}

Header类:

public class Header

{

    public Header() { }  

    public Header(string header, string method)

    {

        string keyValuePairs = header.Replace("\"", String.Empty);  

        foreach (string keyValuePair in keyValuePairs.Split(','))

        {

            int index = keyValuePair.IndexOf("=", System.StringComparison.Ordinal);

            string key = keyValuePair.Substring(, index);

            string value = keyValuePair.Substring(index + );  

            switch (key)

            {

                case "username": this.UserName = value; break;

                case "realm": this.Realm = value; break;

                case "nonce": this.Nonce = value; break;

                case "uri": this.Uri = value; break;

                case "nc": this.NounceCounter = value; break;

                case "cnonce": this.Cnonce = value; break;

                case "response": this.Response = value; break;

                case "method": this.Method = value; break;

            }

        }  

        if (String.IsNullOrEmpty(this.Method))

            this.Method = method;

    }  

    public string Cnonce { get; private set; }

    public string Nonce { get; private set; }

    public string Realm { get; private set; }

    public string UserName { get; private set; }

    public string Uri { get; private set; }

    public string Response { get; private set; }

    public string Method { get; private set; }

    public string NounceCounter { get; private set; }  

    // This property is used by the handler to generate a

    // nonce and get it ready to be packaged in the

    // WWW-Authenticate header, as part of 401 response

    public static Header UnauthorizedResponseHeader

    {

        get

        {

            return new Header()

            {

                Realm = "MyRealm",

                Nonce = WebApiDemo.Nonce.Generate()

            };

        }

    }  

    public override string ToString()

    {

        StringBuilder header = new StringBuilder();

        header.AppendFormat("realm=\"{0}\"", Realm);

        header.AppendFormat(",nonce=\"{0}\"", Nonce);

        header.AppendFormat(",qop=\"{0}\"", "auth");

        return header.ToString();

    }

}

nonce类

public class Nonce

{

    private static ConcurrentDictionary<string, Tuple<int, DateTime>>

    nonces = new ConcurrentDictionary<string, Tuple<int, DateTime>>();  

    public static string Generate()

    {

        byte[] bytes = new byte[];  

        using (var rngProvider = new RNGCryptoServiceProvider())

        {

            rngProvider.GetBytes(bytes);

        }  

        string nonce = bytes.ToMD5Hash();  

        nonces.TryAdd(nonce, new Tuple<int, DateTime>(, DateTime.Now.AddMinutes()));  

        return nonce;

    }  

    public static bool IsValid(string nonce, string nonceCount)

    {

        Tuple<int, DateTime> cachedNonce = null;

        //nonces.TryGetValue(nonce, out cachedNonce);

        nonces.TryRemove(nonce, out cachedNonce);//每个nonce只允许使用一次  

        if (cachedNonce != null) // nonce is found

        {

            // nonce count is greater than the one in record

            if (Int32.Parse(nonceCount) > cachedNonce.Item1)

            {

                // nonce has not expired yet

                if (cachedNonce.Item2 > DateTime.Now)

                {

                    // update the dictionary to reflect the nonce count just received in this request

                    //nonces[nonce] = new Tuple<int, DateTime>(Int32.Parse(nonceCount), cachedNonce.Item2);  

                    // Every thing looks ok - server nonce is fresh and nonce count seems to be

                    // incremented. Does not look like replay.

                    return true;

                }  

            }

        }  

        return false;

    }

}

需要使用摘要验证可在代码里添加Attribute [Authorize],如:

[Authorize]

public class ProductsController : ApiController

最后Global.asax里需注册下

GlobalConfiguration.Configuration.MessageHandlers.Add(

new AuthenticationHandler());
三、客户端的调用
这里主要说明使用WebClient调用
public static string Request(string sUrl, string sMethod, string sEntity, string sContentType,

    out string sMessage)

{

    try

    {

        sMessage = "";

        using (System.Net.WebClient client = new System.Net.WebClient())

        {

            client.Credentials = CreateAuthenticateValue(sUrl);

            client.Headers = CreateHeader(sContentType);  

            Uri url = new Uri(sUrl);

            byte[] bytes = Encoding.UTF8.GetBytes(sEntity);

            byte[] buffer;

            switch (sMethod.ToUpper())

            {

                case "GET":

                    buffer = client.DownloadData(url);

                    break;

                case "POST":

                    buffer = client.UploadData(url, "POST", bytes);

                    break;

                default:

                    buffer = client.UploadData(url, "POST", bytes);

                    break;

            }  

            return Encoding.UTF8.GetString(buffer);

        }

    }

    catch (WebException ex)

    {

        sMessage = ex.Message;

        var rsp = ex.Response as HttpWebResponse;

        var httpStatusCode = rsp.StatusCode;

        var authenticate = rsp.Headers.Get("WWW-Authenticate");  

        return "";

    }

    catch (Exception ex)

    {

        sMessage = ex.Message;

        return "";

    }

}

关键代码,在这里添加用户认证,使用NetworkCredential

private static CredentialCache CreateAuthenticateValue(string sUrl)

{

    CredentialCache credentialCache = new CredentialCache();

    credentialCache.Add(new Uri(sUrl), "Digest", new NetworkCredential("Lime", "Lime"));  

    return credentialCache;

}

https://www.cnblogs.com/ywolf123/p/5340938.html  利用DelegatingHandler实现Web Api 的Api key校验

ASP.NET Web API 安全验证之摘要(Digest)认证的更多相关文章

  1. ASP.NET Web API模型验证以及异常处理方式

    ASP.NET Web API的模型验证与ASP.NET MVC一样,都使用System.ComponentModel.DataAnnotations. 具体来说,比如有:[Required(Erro ...

  2. ASP.NET Web API身份验证和授权

    英语原文地址:http://www.asp.net/web-api/overview/security/authentication-and-authorization-in-aspnet-web-a ...

  3. asp.net Web API 身份验证 不记名令牌验证 Bearer Token Authentication 简单实现

    1. Startup.Auth.cs文件 添加属性 1 public static OAuthBearerAuthenticationOptions OAuthBearerOptions { get; ...

  4. ASP.NET Web API教程(六) 安全与身份认证

    在实际的项目应用中,很多时候都需要保证数据的安全和可靠,如何来保证数据的安全呢?做法有很多,最常见的就是进行身份验证.验证通过,根据验证过的身份给与对应访问权限.同在Web Api中如何实现身份认证呢 ...

  5. [Asp.Net web api]基于自定义Filter的安全认证

    摘要 对第三方开放的接口,处于安全的考虑需要对其进行安全认证,是否是合法的请求.目前在项目中也遇到这种情况,提供的接口因为涉及到客户铭感数据,所以在调用的时候,不能直接暴露,需要有一个认证的机制.所以 ...

  6. asp.net web api 权限验证的方法

    思路:客户端使用header或者form讲验证信息传入api,在权限验证过滤中进行处理,代码示例: 定义过滤器 public class ApiFilter1 : System.Web.Http.Au ...

  7. ASP.NET Web API 数据验证

    第一种方式单独为每一个Action做验证 // POST api/values public HttpResponseMessage Post([FromBody]UserInfo userInfo) ...

  8. 【转】ASP.NET WEB API系列教程

    from: 西瓜小强 http://www.cnblogs.com/risk/category/406988.html ASP.NET Web API教程(六) 安全与身份认证 摘要: 在实际的项目应 ...

  9. ASP.NET Web API 安全筛选器

    原文:https://msdn.microsoft.com/zh-cn/magazine/dn781361.aspx 身份验证和授权是应用程序安全的基础.身份验证通过验证提供的凭据来确定用户身份,而授 ...

随机推荐

  1. c# 请求api获得json数据

    public static string HttpGet(string Url) { HttpWebRequest request = (HttpWebRequest)WebRequest.Creat ...

  2. 浴室随想——RogueLike随想

    好玩的RogueLike 0 不同的追求 1 从追求中寻找商机 2 更的直接方法 3 我的追求 4 我的方法 5 好玩的RogueLike RogueLike游戏很好玩,因为你永远不知道接下来会发生什 ...

  3. Js 关于console 在IE 下的兼容问题

    程序员在开发代码的过程中,使用console作为调试代码过程的一种手段. 发布到测试生产环境,发现IE8 出现加载错误.使用开发者工具调试,发现可以绕过问题. 通过网络搜索和在项目中进行修正. 以下办 ...

  4. 关于/etc/hosts文件

    1,/etc/hosts,主机名何ip配置文件.hosts---The static table lookup for host name(主机名查询静态表) linux 的/etc/hosts是配置 ...

  5. 预定义接口-迭代器Iterator

    <?php /* 可在内部迭代自己的外部迭代器或类的接口. Iterator extends Traversable { abstract public mixed current ( void ...

  6. 利用apply和arguments复用方法

    首先,有个单例对象,它上面挂了很多静态工具方法.其中有一个是each,用来遍历数组或对象. var nativeForEach = [].forEach var nativeMap = [].map ...

  7. uva 12745 Wishmaster(2-sat)

    12745 Wishmaster view code#include <iostream> #include <cstdio> #include <algorithm&g ...

  8. HTTP常见状态码 200 301 302 404 500

    HTTP状态码(HTTP Status Code) 一些常见的状态码为: 一.1开头 1xx(临时响应)表示临时响应并需要请求者继续执行操作的状态代码.代码 说明 100 (继续) 请求者应当继续提出 ...

  9. AI(Adobe Illustrator)简单入门——米老鼠

    成果: 步骤如下: 一.新建文档 二.选椭圆工具,在画布中间点一下,画一个100px*100px的圆,如下 三.同上,再画两个50px*50px小圆.点左上角的选择工具,点小圆中心,放好位置. 四.全 ...

  10. z-index堆叠规则

    一.z-index z-index用来控制元素重叠时堆叠顺序. 适用于:已经定位的元素(即position:relative/absolute/fixed). 一般理解就是数值越高越靠上,好像很简单, ...