在很多项目中,因为webapi是对外开放的,这个时候,我们就要得考虑接口交换数据的安全性。

安全机制也比较多,如andriod与webapi 交换数据的时候,可以走双向证书方法,但是开发成本比较大,

今天我们不打算介绍这方面的知识,我们说说一个较简单也较常见的安全交换机制

在这里要提醒读者,目前所有的加密机制都不是绝对的安全!

我们的目标是,任何用户或者软件获取到我们的webapi接口url后用来再次访问该地址都是无效的!

达到这种目标的话,我们必须要在url中增加一个时间戳,但是仅仅如此还是不够,用户可以修改我们的时间戳!

因此我们可以对时间戳 进行MD5加密,但是这样依然不够,用户可以直接对我们的时间戳md5的哦,因些需要引入一个绝对安全

双方约定的key,并同时加入其它参数进行混淆!

注意:这个key要在app里和我们的webapi里各保存相同的一份!

于是我们约定公式: 加密结果=md5(时间戳+随机数+key+post或者get的参数)

下面我们开始通过上述公式写代码:

于由我的环境是asp.net mvc 的,所以重写一个加密类ApiSecurityFilter

1、获取参数

if (request.Headers.Contains("timestamp"))

                timestamp = HttpUtility.UrlDecode(request.Headers.GetValues("timestamp").FirstOrDefault());

            if (request.Headers.Contains("nonce"))

                nonce = HttpUtility.UrlDecode(request.Headers.GetValues("nonce").FirstOrDefault());

            if (request.Headers.Contains("signature"))

                signature = HttpUtility.UrlDecode(request.Headers.GetValues("signature").FirstOrDefault());

            if (string.IsNullOrEmpty(timestamp) || string.IsNullOrEmpty(nonce) || string.IsNullOrEmpty(signature))

                throw new SecurityException();

2、判断时间戳是否超过指定时间

   double ts = ;

            bool timespanvalidate = double.TryParse(timestamp, out ts);

            bool falg = (DateTime.UtcNow - new DateTime(, , , , , , )).TotalMilliseconds - ts >  * ;

            if (falg || (!timespanvalidate))

                throw new SecurityException();

3、POST/DELETE/UPDATE 三种方式提取参数

  case "POST":

                case "PUT":

                case "DELETE":

                    Stream stream = HttpContext.Current.Request.InputStream;

                    StreamReader streamReader = new StreamReader(stream);

                    sortedParams = new SortedDictionary<string, string>(new JsonSerializer().Deserialize<Dictionary<string, string>>(new JsonTextReader(streamReader)));

                    break;

4、GET 方式提取参数

case "GET":

                    IDictionary<string, string> parameters = new Dictionary<string, string>();

                    foreach (string key in HttpContext.Current.Request.QueryString)

                    {

                        if (!string.IsNullOrEmpty(key))

                        {

                            parameters.Add(key, HttpContext.Current.Request.QueryString[key]);

                        }

                    }

                    sortedParams = new SortedDictionary<string, string>(parameters);

                    break;

5、排序上述参数并拼接,形成我们要参与md5的约定公式中的第四个参数

            StringBuilder query = new StringBuilder();

            if (sortedParams != null)

            {

                foreach (var sort in sortedParams.OrderBy(k => k.Key))

                {

                    if (!string.IsNullOrEmpty(sort.Key))

                    {

                        query.Append(sort.Key).Append(sort.Value);

                    }

                }

                data = query.ToString().Replace(" ", "");

            }

6、开始约定公式计算结果并对比传过的结果是否一致

   var md5Staff = Seedwork.Utils.CharHelper.MD5(string.Concat(timestamp + nonce + staffId + data), );

            if (!md5Staff.Equals(signature))

                throw new SecurityException();

完整的代码如下:

 public class ApiSecurityFilter : ActionFilterAttribute

     {

         public override void OnActionExecuting(HttpActionContext actionContext)

         {

             var request = actionContext.Request;

             var method = request.Method.Method;

             var staffId = "^***********************************$";

             string timestamp = string.Empty, nonce = string.Empty, signature = string.Empty;

             if (request.Headers.Contains("timestamp"))

                 timestamp = request.Headers.GetValues("timestamp").FirstOrDefault();

             if (request.Headers.Contains("nonce"))

                 nonce = request.Headers.GetValues("nonce").FirstOrDefault();

             if (request.Headers.Contains("signature"))

                 signature = request.Headers.GetValues("signature").FirstOrDefault();

             if (string.IsNullOrEmpty(timestamp) || string.IsNullOrEmpty(nonce) || string.IsNullOrEmpty(signature))

                 throw new SecurityException();

             double ts = ;

             bool timespanvalidate = double.TryParse(timestamp, out ts);

             bool falg = (DateTime.UtcNow - new DateTime(, , , , , , )).TotalMilliseconds - ts >  * ;

             if (falg || (!timespanvalidate))

                 throw new SecurityException("timeSpanValidate");

             var data = string.Empty;

             IDictionary<string, string> sortedParams = null;

             switch (method.ToUpper())

             {

                 case "POST":

                 case "PUT":

                 case "DELETE":

                     Stream stream = HttpContext.Current.Request.InputStream;

                     StreamReader streamReader = new StreamReader(stream);

                     sortedParams = new SortedDictionary<string, string>(new JsonSerializer().Deserialize<Dictionary<string, string>>(new JsonTextReader(streamReader)));

                     break;

                 case "GET":

                     IDictionary<string, string> parameters = new Dictionary<string, string>();

                     foreach (string key in HttpContext.Current.Request.QueryString)

                     {

                         if (!string.IsNullOrEmpty(key))

                         {

                             parameters.Add(key, HttpContext.Current.Request.QueryString[key]);

                         }

                     }

                     sortedParams = new SortedDictionary<string, string>(parameters);

                     break;

                 default:

                     throw new SecurityException("defaultOptions");

             }

             StringBuilder query = new StringBuilder();

             if (sortedParams != null)

             {

                 foreach (var sort in sortedParams.OrderBy(k => k.Key))

                 {

                     if (!string.IsNullOrEmpty(sort.Key))

                     {

                         query.Append(sort.Key).Append(sort.Value);

                     }

                 }

                 data = query.ToString().Replace(" ", "");

             }

             var md5Staff = Seedwork.Utils.CharHelper.MD5(string.Concat(timestamp + nonce + staffId + data), );

             if (!md5Staff.Equals(signature))

                 throw new SecurityException("md5Staff");

             base.OnActionExecuting(actionContext);

         }

         public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)

         {

             base.OnActionExecuted(actionExecutedContext);

         }

     }

7、最后在asp.net mvc 里加入配置上述类

 public static class WebApiConfig

    {

        public static void Register(HttpConfiguration config)

        {

            // Web API configuration and services

            config.Filters.Add(new ApiSecurityFilter());

            config.Filters.Add(new ApiHandleErrorAttribute());

            // Web API routes

            config.MapHttpAttributeRoutes();

            config.Routes.MapHttpRoute(

                name: "DefaultApi",

                routeTemplate: "api/{controller}/{id}",

                defaults: new { id = RouteParameter.Optional }

            );

        }

    }

8、添加写入日志类(此类不是本文重点,详细参考 http://www.cnblogs.com/laogu2/p/5912153.html

  public class ApiHandleErrorAttribute: ExceptionFilterAttribute

    {

        /// <summary>

        /// add by laiyunba

        /// </summary>

        /// <param name="filterContext">context oop</param>

        public override void OnException(HttpActionExecutedContext filterContext)

        {

            LoggerFactory.CreateLog().LogError(Messages.error_unmanagederror, filterContext.Exception);

        }

    }

9、利用微信小程序测试接口

 var data = {

        UserName: username,

        Password: password,

        Action: 'Mobile',

        Sms: ''

      };

      var timestamp = util.gettimestamp();

      var nonce = util.getnonce();

      if (username && password) {

        wx.request({

          url: rootUrl + '/api/login',

          method: "POST",

          data: data,

          header: {

            'content-type': 'application/json',

            'timestamp': timestamp,

            'nonce': nonce,

            'signature': util.getMD5Staff(data, timestamp, nonce)

          },

          success: function (res) {

            if (res.data) {

1)其中getMD5Staff函数:
function getMD5Staff(queryData, timestamp, nonce) {

  var staffId = getstaffId();//保存的key与webapi同步

  var data = dictionaryOrderWithData(queryData);

  return md5.md5(timestamp + nonce + staffId + data);

}
2)dictionaryOrderWithData函数:
function dictionaryOrderWithData(dic) {

  //eg {x:2,y:3,z:1}

  var result = "";

  var sdic = Object.keys(dic).sort(function (a, b) { return a.localeCompare(b) });

  var value = "";

  for (var ki in sdic) {

    if (dic[sdic[ki]] == null) {

      value = ""

    }

    else {

      value = dic[sdic[ki]];

    }

    result += sdic[ki] + value;

  }

  return result.replace(/\s/g, "");

}

10、测试日志

LaiyunbaApp Error: 2 : 2017-10-18 09:15:25    Unmanaged error in aplication, the exception information is Exception:System.Security.SecurityException: 安全性错误。

   在 DistributedServices.MainBoundedContext.FilterAttribute.ApiSecurityFilter.OnActionExecuting(HttpActionContext actionContext)

   在 System.Web.Http.Filters.ActionFilterAttribute.OnActionExecutingAsync(HttpActionContext actionContext, CancellationToken cancellationToken)

--- 引发异常的上一位置中堆栈跟踪的末尾 ---

   在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)

   在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)

   在 System.Web.Http.Filters.ActionFilterAttribute.<ExecuteActionFilterAsyncCore>d__0.MoveNext()

--- 引发异常的上一位置中堆栈跟踪的末尾 ---

   在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)

   在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)

   在 System.Web.Http.Controllers.ActionFilterResult.<ExecuteAsync>d__2.MoveNext()

--- 引发异常的上一位置中堆栈跟踪的末尾 ---

   在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)

   在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)

   在 System.Web.Http.Controllers.ExceptionFilterResult.<ExecuteAsync>d__0.MoveNext()

失败的程序集的区域是:

MyComputer

LogicalOperationStack=2017-10-18 09:15:25

2017-10-18 09:15:25    DateTime=2017-10-18T01:15:25.1000017Z

2017-10-18 09:15:25    Callstack=   在 System.Environment.GetStackTrace(Exception e, Boolean needFileInfo)

   在 System.Environment.get_StackTrace()

   在 System.Diagnostics.TraceEventCache.get_Callstack()

   在 System.Diagnostics.TraceListener.WriteFooter(TraceEventCache eventCache)

   在 System.Diagnostics.TraceSource.TraceEvent(TraceEventType eventType, Int32 id, String message)

   在 Infrastructure.Crosscutting.NetFramework.Logging.TraceSourceLog.TraceInternal(TraceEventType eventType, String message)

   在 Infrastructure.Crosscutting.NetFramework.Logging.TraceSourceLog.LogError(String message, Exception exception, Object[] args)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.OnExceptionAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.<ExecuteExceptionFilterAsyncCore>d__0.MoveNext()

   在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder.Start[TStateMachine](TStateMachine& stateMachine)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.ExecuteExceptionFilterAsyncCore(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)

   在 System.Web.Http.Filters.ExceptionFilterAttribute.System.Web.Http.Filters.IExceptionFilter.ExecuteExceptionFilterAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)

   在 System.Web.Http.Controllers.ExceptionFilterResult.<ExecuteAsync>d__0.MoveNext()

   在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder`1.Start[TStateMachine](TStateMachine& stateMachine)

   在 System.Web.Http.Controllers.ExceptionFilterResult.ExecuteAsync(CancellationToken cancellationToken)

   在 System.Web.Http.ApiController.ExecuteAsync(HttpControllerContext controllerContext, CancellationToken cancellationToken)

   在 System.Web.Http.Dispatcher.HttpControllerDispatcher.<SendAsync>d__1.MoveNext()

   在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder`1.Start[TStateMachine](TStateMachine& stateMachine)

   在 System.Web.Http.Dispatcher.HttpControllerDispatcher.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

   在 System.Net.Http.HttpMessageInvoker.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

   在 System.Web.Http.Dispatcher.HttpRoutingDispatcher.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)

至此,webapi加密工作已经全部完成,上述异常是直接访问url报的错误,必须在app环境下才可以正常访问。

 

总结:webapi加密机密很多,像微信小程序,用户很难拿到客户端app的源码,想知道我们的key也是无从说起。当然,我们也得定期更新app版本。

像app for andriod or ios 可以使用双向证书,或者使用我们上述的方式,然后加固app,防止不怀好意的人破解得到key,当然不管如何,我们首先要走的都是https协议!

作者:谷歌's谷歌's博客园
出处:http://www.cnblogs.com/laogu2/ 欢迎转载,但任何转载必须保留完整文章,在显要地方显示署名以及原文链接。如您有任何疑问或者授权方面的协商,请给我留言

asp.net mvc webapi 实用的接口加密方法的更多相关文章

  1. asp.net mvc webapi 实用的接口加密方法(转载)

    在很多项目中,因为webapi是对外开放的,这个时候,我们就要得考虑接口交换数据的安全性. 安全机制也比较多,如andriod与webapi 交换数据的时候,可以走双向证书方法,但是开发成本比较大, ...

  2. net mvc webapi 实用

    asp.net mvc webapi 实用的接口加密方法   在很多项目中,因为webapi是对外开放的,这个时候,我们就要得考虑接口交换数据的安全性. 安全机制也比较多,如andriod与webap ...

  3. .net异步性能测试(包括ASP.NET MVC WebAPI异步方法)

    很久没有写博客了,今年做的产品公司这两天刚刚开了发布会,稍微清闲下来,想想我们做的产品还有没有性能优化空间,于是想到了.Net的异步可以优化性能,但到底能够提升多大的比例呢?恰好有一个朋友正在做各种语 ...

  4. 案例:1 Ionic Framework+AngularJS+ASP.NET MVC WebApi Jsonp 移动开发

    落叶的庭院扫的一干二净之后,还要轻轻把树摇一下,抖落几片叶子,这才是Wabi Sabi的境界. 介绍:Ionic是移动框架,angularjs这就不用说了,ASP.Net MVC WebApi提供数据 ...

  5. ASP.NET MVC WebApi 返回数据类型序列化控制(json,xml) 用javascript在客户端删除某一个cookie键值对 input点击链接另一个页面,各种操作。 C# 往线程里传参数的方法总结 TCP/IP 协议 用C#+Selenium+ChromeDriver 生成我的咕咚跑步路线地图 (转)值得学习百度开源70+项目

    ASP.NET MVC WebApi 返回数据类型序列化控制(json,xml)   我们都知道在使用WebApi的时候Controller会自动将Action的返回值自动进行各种序列化处理(序列化为 ...

  6. C#/ASP.NET MVC微信公众号接口开发之从零开发(四) 微信自定义菜单(附源码)

    C#/ASP.NET MVC微信接口开发文章目录: 1.C#/ASP.NET MVC微信公众号接口开发之从零开发(一) 接入微信公众平台 2.C#/ASP.NET MVC微信公众号接口开发之从零开发( ...

  7. 让Asp.net mvc WebAPI 支持OData协议进行分页查询操作

    这是我在用Asp.net mvc WebAPI 支持 OData协议 做分页查询服务时的 个人拙笔. 代码已经开发到oschina上.有兴趣的朋友可以看看,欢迎大家指出不足之处. 看过了园子里的几篇关 ...

  8. C#/ASP.NET MVC微信公众号接口开发之从零开发(三)回复消息 (附源码)

    C#/ASP.NET MVC微信接口开发文章目录: 1.C#/ASP.NET MVC微信公众号接口开发之从零开发(一) 接入微信公众平台 2.C#/ASP.NET MVC微信公众号接口开发之从零开发( ...

  9. ASP.NET Core WebApi构建API接口服务实战演练

    一.ASP.NET Core WebApi课程介绍 人生苦短,我用.NET Core!提到Api接口,一般会想到以前用到的WebService和WCF服务,这三个技术都是用来创建服务接口,只不过Web ...

随机推荐

  1. 如何在C++中产生随机数

    C++中没有自带的random函数,要实现随机数的生成就需要使用rand()和srand().不过,由于rand()的内部实现是用线性同余法做的,所以生成的并不是真正的随机数,而是在一定范围内可看为随 ...

  2. 《Java程序设计》第1周学习总结

    1.本周本章学习总结 感觉装环境和基础语言也没什么好总结的,就谈谈我对java的认识. 接触的语言也不多,c语言,python.去年科研立项立了个安卓开发的项.也有去学了一阶段java.由于种种原因没 ...

  3. 201521123076 《Java程序设计》第9周学习总结

    1. 本周学习总结 1.1 以你喜欢的方式(思维导图或其他)归纳总结异常相关内容. 2. 书面作业 本次PTA作业题集异常 1.常用异常 题目5-1 1.1 截图你的提交结果(出现学号) 1.2 自己 ...

  4. 2015211230108《Java程序设计》第10周学习总结

    1. 本周学习总结 2. 书面作业 Q1.finally 题目4-2 1.1 截图你的提交结果(出现学号) 1.2 4-2中finally中捕获异常需要注意什么? finally的作用: 1.确定程序 ...

  5. Smrty模版总结(转)

    转自:http://www.cppblog.com/amazon/archive/2011/11/21/160638.html 前提:1. 部署smarty模板目录:2. 编写Smarty类的子类,定 ...

  6. 7z命令行 极限压缩指令

    摘抄自http://www.cnblogs.com/qanholas/archive/2011/10/03/2198487.html 7za a -t7z bag.7z "/home/fil ...

  7. 异常处理第一讲(SEH),筛选器异常,以及__asm的扩展,寄存器注入简介

    异常处理第一讲(SSH),筛选器异常,以及__asm的扩展 博客园IBinary原创  博客连接:http://www.cnblogs.com/iBinary/ 转载请注明出处,谢谢 一丶__Asm的 ...

  8. 虚拟WEB目录的映射原理

    一个文件系统目录可以被映射成为多个虚拟WEB目录,虚拟WEB目录名称可以是多级目录结构的形式,tomca按照最长路径匹配原则处理请求的URL 设置WEB站点的根目录: <Host>元素的a ...

  9. [UIKit学习]01.关于UIView,frame,bounds,center

    UIView是Cocoa大多控件的父类,本身不带事件. UIView的常见用法 @property(nonatomic,readonly) UIView *superview; 获得自己的父控件对象 ...

  10. 初学者一些常用的SQL语句(一)

    一.数据库的创建create database 数据库名create database bbb二.表的创建 ***[]:可选项*** null:空值 not null 不为空***只有字符型能指定长度 ...