当我们开发一款App的时候,App需要跟后台服务进行通信获取或者提交数据。如果我们没有完善的安全机制则很容易被别用心的人伪造请求而篡改数据。

所以我们需要使用某种安全机制来保证请求的合法。现在最常用的办法是给每个http请求添加一个签名,服务端来验证签名的合法性,如果签名合法则执行响应的操作,如果签名非法则直接拒绝请求。

签名算法

签名算法一般都使用Hash散列算法,常用的有MD5,SHA系列算法。这些算法可以根据不同的输入,计算出不同的结果,而且碰撞的概率很低。

签名算法跟加密算法不是一回事。很多同学都会说使用MD5加密一下,其实这是错误的。签名算法不能恢复原来的数据,因为它本身并不包含原来数据的信息。

而加密方法不同,加密方法是可以根据加密结果重新推算出原来的数据的。

HMAC SHA作为一种更加安全的签名算法,使用一个Key来影响签名的结果。这样同样的输入配合不同的Key可以得出不同的签名,更加安全。

 public static string HmacSHA256(string secretKey,string plain)

        {

            var keyBytes = Encoding.UTF8.GetBytes(secretKey);

            var plainBytes = Encoding.UTF8.GetBytes(plain);

            using (var hmacsha256 = new HMACSHA256(keyBytes))

            {

                var sb = new StringBuilder();

                var hashValue = hmacsha256.ComputeHash(plainBytes);

                foreach (byte x in hashValue)

                {

                    sb.Append(String.Format("{0:x2}", x));

                }

                return sb.ToString();

            }

        }

签名的参数

有了签名算法,那么我们签名的内容哪里来呢?

一般我们使用http请求的queryString然后加上时间戳还有随机数来作为签名的参数。

 public static string MakeSignPlain(SortedDictionary<string,string> queryString,string time,string random )

        {

            var sb = new StringBuilder();

            foreach (var keyValue in queryString)

            {

                sb.AppendFormat("{0}={1}&", keyValue.Key, keyValue.Value);

            }

            if (sb.Length>1)

            {

                sb.Remove(sb.Length - 1, 1);

            }

            sb.Append(time);

            sb.Append(random);

            return sb.ToString().ToUpper();

        }

验证签名

验证签名就是简单的比较服务端生产的签名跟客户端生产的签名是否一直。

要注意的一点是最好验证下时间戳,跟服务端时间比较前后不能相差5分钟。这也是一个简单的防Replay Attack的手段。

 public static bool Valid(string requestSign,string signPlain,string time, string secretKey)

        {

            if (string.IsNullOrEmpty(time)||string.IsNullOrEmpty(requestSign)||string.IsNullOrEmpty(signPlain))

            {

                return false;

            }

            //is in range

            var now = DateTime.Now;

            long requestTime =0;

            if (long.TryParse(time,out requestTime))

            {

                var max = now.AddMinutes(5).ToString("yyyyMMddHHmmss");

                var min = now.AddMinutes(-5).ToString("yyyyMMddHHmmss");

                if (!(long.Parse(max) >= requestTime && long.Parse(min) <= requestTime))

                {

                    return false;

                }

            }

            else

            {

                return false;

            }

            //hashmac

            var sign = Encryption.HmacSHA256(secretKey, signPlain);

            return requestSign.Equals(sign, StringComparison.CurrentCultureIgnoreCase);

        }

ApiController基类

有了上面这些铺垫我们就可以在基类完成签名的验证了。客户端需要把上面提到的时间戳,随机数,签名和客户端的ID放入http请求的headers里面。

我们在基类的OnActionExecuting里取出这些数据组合成签名的参数,然后根据客户端ID获取签名的Key,然后使用同样的签名算法计算签名。并且比较客户端的签名跟服务端的签名是否一致。

这里就不演示了。

预防Replay Attack

预防重放攻击主要有两点:

  • 校验时间戳的范围

    时间戳跟服务器时间相差在一个合理的范围内视为合法。
  • 缓存签名

    每次请求都去判断下签名是否出现过。如果出现过则视为非法请求。

    因为有时间戳跟随机数的存在,所以理论上每次请求的签名是不可能重复的。

客户端调用

这里演示一下C#签名并且调用http接口的代码

 [TestMethod()]

        public void GetUserTest()

        {

            string url = "http://localhost:8090/api/test/GetUser";

            string userId = "A39891D4-6CEF-4538-A562-3A422CA9C17A";

            string appId = "100001";

            string secretKey = "M/vkPOWXgBa7GnRd73t7j+jsKfbZtb+f";

            string rumdon = Guid.NewGuid().ToString();

            string time = DateTime.Now.ToString("yyyyMMddHHmmss");

            //make signture plain text

            var sortDict = new SortedDictionary<string, string>()

            {

                {"userId",userId }

            };

            var signPlain = new StringBuilder();

            foreach (var keyValue in sortDict)

            {

                signPlain.AppendFormat("{0}={1}&", keyValue.Key, keyValue.Value);

            }

            if (signPlain.Length > 1)

            {

                //remove last &

                signPlain.Remove(signPlain.Length - 1, 1);

            }

            signPlain.Append(time);

            signPlain.Append(random);

            Console.WriteLine("sign plain:{0}", signPlain.ToString().ToUpper());

            //make sign

            var sign = Encryption.HmacSHA256(secretKey, signPlain.ToString().ToUpper());

            Console.WriteLine("sign:{0}", sign);

            string requestUrl = string.Format("{0}?{1}={2}", url, "userId", userId);

            HttpWebRequest request = (HttpWebRequest)WebRequest.Create(requestUrl);

            request.Method = "GET";

            //add headers

            request.Headers.Add("time", time);

            request.Headers.Add("appId", appId);

            request.Headers.Add("random", random);

            request.Headers.Add("sign", sign);

            //

            //start request

            try

            {

                using (HttpWebResponse response = (HttpWebResponse)request.GetResponse())

                {

                    var responseStream = response.GetResponseStream();

                    if (responseStream != null)

                    {

                        using (StreamReader reader = new StreamReader(responseStream))

                        {

                            var content = reader.ReadToEnd();

                            Console.WriteLine(content);

                        }

                    }

                }

            }

            catch (WebException ex)

            {

                using (HttpWebResponse response = (HttpWebResponse)ex.Response)

                {

                    var responseStream = response.GetResponseStream();

                    if (responseStream != null)

                    {

                        using (StreamReader reader = new StreamReader(responseStream))

                        {

                            var content = reader.ReadToEnd();

                            Console.WriteLine(content);

                        }

                    }

                }

            }

        }

使用签名来保证ASP.NET MVC OR WEBAPI的接口安全的更多相关文章

  1. C#/ASP.NET MVC微信公众号接口开发之从零开发(四) 微信自定义菜单(附源码)

    C#/ASP.NET MVC微信接口开发文章目录: 1.C#/ASP.NET MVC微信公众号接口开发之从零开发(一) 接入微信公众平台 2.C#/ASP.NET MVC微信公众号接口开发之从零开发( ...

  2. 给Asp.Net MVC及WebApi添加路由优先级

    一.为什么需要路由优先级 大家都知道我们在Asp.Net MVC项目或WebApi项目中注册路由是没有优先级的,当项目比较大.或有多个区域.或多个Web项目.或采用插件式框架开发时,我们的路由注册很可 ...

  3. C#/ASP.NET MVC微信公众号接口开发之从零开发(三)回复消息 (附源码)

    C#/ASP.NET MVC微信接口开发文章目录: 1.C#/ASP.NET MVC微信公众号接口开发之从零开发(一) 接入微信公众平台 2.C#/ASP.NET MVC微信公众号接口开发之从零开发( ...

  4. AJAX跨域调用ASP.NET MVC或者WebAPI服务

    关于AJAX跨域调用ASP.NET MVC或者WebAPI服务的问题及解决方案 作者:陈希章 时间:2014-7-3 问题描述 当跨域(cross domain)调用ASP.NET MVC或者ASP. ...

  5. 【转载】为ASP.NET MVC及WebApi添加路由优先级

    路由方面的: 转载地址:http://www.jb51.net/article/73417.htm Author:lijiao 这是一个对Asp.Net Mvc的一个很小的功能拓展,小项目可能不太需要 ...

  6. AJAX跨域调用ASP.NET MVC或者WebAPI服务的解决方案

    问题描述 当跨域(cross domain)调用ASP.NET MVC或者ASP.NET Web API编写的服务时,会发生无法访问的情况. 重现方式 使用模板创建一个最简单的ASP.NET Web ...

  7. ASP.NET MVC对WebAPI接口操作(添加,更新和删除)

    昨天<怎样操作WebAPI接口(显示数据)>http://www.cnblogs.com/insus/p/5670401.html 既有使用jQuery,也有使作HttpClient来从数 ...

  8. 关于AJAX跨域调用ASP.NET MVC或者WebAPI服务的问题及解决方案

      作者:陈希章 时间:2014-7-3 问题描述 当跨域(cross domain)调用ASP.NET MVC或者ASP.NET Web API编写的服务时,会发生无法访问的情况. 重现方式 使用模 ...

  9. ASP.NET MVC 4 WebAPI. Support Areas in HttpControllerSelector

    This article was written for ASP.NET MVC 4 RC (Release Candidate). If you are still using Beta versi ...

随机推荐

  1. ASP.NET SignalR 高可用设计

    在 One ASP.NET 的架构图中,微软将 WebAPI 和 SignalR 归类到 Services 类型与 MVC.Web Forms 同列为一等公民,未来的 ASP.NET 5 尽管还在be ...

  2. 关于大型网站技术演进的思考(二十)--网站静态化处理—web前端优化—中(12)

    Web前端很多优化原则都是从如何提升网络通讯效率的角度提出的,但是这些原则使用的时候还是有很多陷阱在里面,如果我们不能深入理解这些优化原则背后所隐藏的技术原理,很有可能掉进这些陷阱里,最终没有达到最佳 ...

  3. MySQL 忘记root密码解决办法

    标签:root密码不为空 概述 很多时候mysql安装完root用户的默认密码不为空,这时候就需要通过其它办法登入到mysql重置密码. 步骤 方法1:查看/root/.mysql_secret文件 ...

  4. 一个新人如何学习在大型系统中添加新功能和Debug

    文章背景: 今年七月份正式入职,公司主营ERP软件,楼主所在的组主要负责二次开发,使用的语言是Java. 什么叫二次开发呢?ERP软件的客户都是企业.而这些企业之间的情况都有所不同,一套标准版本的企业 ...

  5. MyISAM和InnoDB

    MyISAM和InnoDB MyISAM MyISAM使用B+tree作为索引结构,叶节点存放的是数据地址. MyISAM不支持事务和外键. MyISAM是表锁,对数据库写操作时会锁住整个表,效率低. ...

  6. 使用ViewPager+Fragment实现选项卡切换效果

    实现效果 本实例主要实现用ViewPage和Fragment实现选项卡切换效果,选项卡个数为3个,点击选项卡或滑动屏幕会切换Fragment并实现选项卡下方下边框条跟随移动效果. 本程序用androi ...

  7. Chrome开发者工具不完全指南(二、进阶篇)

    上篇向大家介绍完了基础功能篇,这次分享的是Chrome开发工具中最有用的面板Sources.  Sources面板几乎是我最常用到的Chrome功能面板,也是在我看来决解一般问题的主要功能面板.通常只 ...

  8. [转] Android优秀开源项目

    Android经典的开源项目其实非常多,但是国内的博客总是拿着N年前的一篇复制来复制去,实在是不利于新手学习.今天爬爬把自己熟悉的一些开源项目整理起来,希望能对Android开发同学们有所帮助.另外, ...

  9. jQuery 2.0.3 源码分析 事件绑定 - bind/live/delegate/on

    事件(Event)是JavaScript应用跳动的心脏,通过使用JavaScript ,你可以监听特定事件的发生,并规定让某些事件发生以对这些事件做出响应 事件的基础就不重复讲解了,本来是定位源码分析 ...

  10. 计算程序总行数的Python代码

    最近需要统计一下项目中代码的总行数,写了一个Python小程序,不得不说Python是多么的简洁,如果用Java写至少是现在代码的2倍. import os path="/Users/ron ...