public class ActionFilter : ActionFilterAttribute  

    {  

        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)  

        {  

            base.OnActionExecuting(actionContext);  

            //获取请求消息提数据  

            Stream stream = actionContext.Request.Content.ReadAsStreamAsync().Result;  

            Encoding encoding = Encoding.UTF8;  

            stream.Position = ;  

            string responseData = "";  

            using (StreamReader reader = new StreamReader(stream, encoding))  

            {  

                responseData = reader.ReadToEnd().ToString();  

            }  

            //反序列化进行处理  

            var serialize = new JavaScriptSerializer();  

            var obj = serialize.Deserialize<RequestDTO>(responseData);  

            //在action执行前终止请求时,应该使用填充方法Response,将不返回action方法体。  

            if (obj == null)  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

   

            if (string.IsNullOrEmpty(obj.PhoneType) || string.IsNullOrEmpty(obj.PhoneVersion)  

                || string.IsNullOrEmpty(obj.PhoneID) || obj.StartCity < )  

            {  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

            }  

        }  

    }  

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute

标签: c#WebAPI
2015-02-05 10:11 4904人阅读 评论(1) 收藏 举报
 分类:
C#(55)  WebAPI(9) 

版权声明:本文为starfd原创文章,未经博主允许不得转载。

WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法

AbsBaseAuthenticationAttribute

    using System;

    using System.Web;

    using System.Collections.Specialized;

    using System.Net;

    using System.Net.Http;

    using System.Text.RegularExpressions;

    using System.Web.Http.Controllers;

    using System.Web.Http.Filters;

    /// <summary>

    /// WebAPI防篡改签名验证抽象基类Attribute

    /// </summary>

    public abstract class AbsBaseAuthenticationAttribute : ActionFilterAttribute

    {

        /// <summary>

        /// Occurs before the action method is invoked.

        /// </summary>

        /// <param name="actionContext">The action context</param>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求Partner及Sign均通过QueryString传递

            if (getCollection != null && getCollection.Count > 0)

            {

                string partner = getCollection[SecuritySignHelper.Partner];

                string sign = getCollection[SecuritySignHelper.Sign];

                if (!string.IsNullOrWhiteSpace(partner)//必须包含partner

                   && !string.IsNullOrWhiteSpace(sign)//必须包含sign

                   && Regex.IsMatch(sign, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    //获取partner对应的key

                    //这里暂时只做了合作key校验,不做访问权限校验,如有需要,此处可进行调整,建议RBAC

                    string partnerKey = this.GetPartnerKey(partner);

                    if (!string.IsNullOrWhiteSpace(partnerKey))

                    {

                        NameValueCollection postCollection = null;

                        switch (request.RequestType.ToUpper())

                        {

                            case "GET":

                            case "DELETE": break;//只是为了同时显示restful四种方式才有这部分无意义代码

                            //实际该以哪种方式进行请求应遵循restful标准

                            case "POST":

                            case "PUT":

                                postCollection = request.Form;//post的数据必须通过application/x-www-form-urlencoded方式传递

                                break;

                            default:

                                throw new NotImplementedException();

                        }

                        //根据请求数据获取MD5签名

                        string vSign = getCollection.GetSecuritySign(partner, partnerKey, postCollection);

                        if (string.Equals(sign, vSign, StringComparison.OrdinalIgnoreCase))

                        {//验证通过,执行基类方法

                            base.OnActionExecuting(actionContext);

                            return;

                        }

                    }

                }

            }

            //此处暂时以401返回,可调整为其它返回

            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);

            //actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);

        }

        /// <summary>

        /// 获取合作号对应的合作Key,如果未能获取,则返回空字符串或者null

        /// </summary>

        /// <param name="partner"></param>

        /// <returns></returns>

        protected abstract string GetPartnerKey(string partner);

    }

子类例子

    public class AuthenticationAttribute : AbsBaseAuthenticationAttribute

    {

        protected override string GetPartnerKey(string partner)

        {

            //TODO:从缓存中或者其它地方读取数据

            return "bbb";

        }

    }

实际可以在需要身份验证的ApiController上增加[Authentication],也可以写一个基类,然后需要身份验证的ApiController继承自该基类

    [Authentication]

    public class ApiControllerBase : ApiController

    {

    }

当然如果项目中所有的api都需要进行签名访问,那么直接可以进行注册,就不需要上面的ApiControllerBase了

    config.Filters.Add(new AuthenticationAttribute());

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute--转的更多相关文章

  1. 01WebApi防篡改机制---HMAC机制

    防篡改,顾名思义就是防止有人恶意篡改请求数据URL以达到恶意攻击的目的,那要怎么才能实现这样的目的呢? 很简单,将要请求的数据加上合作号.合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将 ...

  2. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证

    本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录) 一.什么是JWT? JWT(json web token ...

  3. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证及Token的刷新

    来源:https://www.cnblogs.com/FlyLolo/p/ASPNETCore2_26.html 本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及T ...

  4. WebApi系列~安全校验中的防篡改和防复用

    回到目录 web api越来越火,因为它的跨平台,因为它的简单,因为它支持xml,json等流行的数据协议,我们在开发基于面向服务的API时,有个问题一直在困扰着我们,那就是数据的安全,请求的安全,一 ...

  5. 翻译:WebApi 认证--用户认证Oauth解析

        The Web API v2用户认证模板提供了流行的应用用户认证场景,如.使用本地帐号的用户名密码认账 (包括创建用户.设置和修改密码)以及使用第三方的认证方式,如facebook,googl ...

  6. 高级运维(二):搭建Nginx服务器、用户认证、基于域名的虚拟主机、SSL虚拟主机、Nginx反向代理

    一.搭建Nginx服务器 目标: 在IP地址为192.168.4.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能: 1> SSL加密功能 2> 设置Ng ...

  7. linux(十二)___Apache服务器用户认证、虚拟主机的配置

    创建xiangkejin  zhangsan两个用户 可看见文件中创建的两个用户: 建立虚拟目录并配置用户认证 ①建立虚拟目录 /xiangkejin ②在Apache的主配置文件httpd.conf ...

  8. 最适合入门的Laravel中级教程(二)用户认证

    之前的初级教程主要是学习简单的增删改查: 接着的中级教程的目标是在初级教程的基础上能写出更复杂更健壮的程序: 我们先来学习 laravel 的用户认证功能: 在现代网站中基本都有用户系统: 而我们每开 ...

  9. C#进阶系列——WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

随机推荐

  1. linux内核--自旋锁的理解

    http://blog.chinaunix.net/uid-20543672-id-3252604.html 自旋锁:如果内核配置为SMP系统,自旋锁就按SMP系统上的要求来实现真正的自旋等待,但是对 ...

  2. MyBatis(3):SQL映射

    前面学习了config.xml,下面就要进入MyBatis的核心SQL映射了,第一篇文章的时候,student.xml里面是这么写的: 1 2 3 4 5 6 7 8 9 10 11 <?xml ...

  3. SKPhysicsJointSliding类

    继承自 NSObject 符合 NSCoding(SKPhysicsJoint)NSObject(NSObject) 框架  /System/Library/Frameworks/SpriteKit. ...

  4. 手机站点开发及手机中图片加速显示img的Canvas方法

    随着手机开发越来越流行,手机开发的非常多框架也应运而生,比較好用的手机站点开发框架推荐例如以下: 1.zeptojs.里面封装了非常多手机特有方法,比如touch.js等等. 和jquery使用方法差 ...

  5. 通过 Linux 容器进行虚拟化

    简单介绍 Linux 容器是一种轻量级"虚拟化"方法,用于在单个控制主机上同一时候执行多个虚拟装置(容器).还有一个可用来描写叙述 Linux 容器所执行的操作的术语是" ...

  6. android-继承BaseAdapter--自定义适配器,getView执行多次的解决方法

    定义的getView执行多次的ListView布局: <ListView android:id="@+id/lv_messages" android:layout_width ...

  7. 手势识别 GestureDetector ScaleGestureDetector

    识别器GestureDetector基本介绍 当用户触摸屏幕的时候,会产生许多手势,例如down,up,scroll,filing等.一般情况下,我们可以通过View或Activity的onTouch ...

  8. PLSQL编程基础

    一 PL/SQL简介 1 SQL:结构化的查询语句 2 PL/SQL优点与特性: 提高运行效率==>>提高运行效率的其他方式(存储过程,分页,缓存,索引) 模块化设计 允许定义标识符(变量 ...

  9. (转)C#静态构造函数

    静态构造函数是C#的一个新特性,在编程过程中用处并不广,它的主要目的是用于初始化一些静态的变量. 因为这个构造函数是属于类的,而不属于任何一个实例,所以这个构造函数只会被执行一次,而且是在创建此类的第 ...

  10. SQL Server 2008 R2 的版本和组件

    SQL Server 2008 R2 的版本和组件 SQL Server 2008 R2   其他版本 SQL Server 2008 SQL Server 2005 SQL Server 2012 ...