public class ActionFilter : ActionFilterAttribute  

    {  

        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)  

        {  

            base.OnActionExecuting(actionContext);  

            //获取请求消息提数据  

            Stream stream = actionContext.Request.Content.ReadAsStreamAsync().Result;  

            Encoding encoding = Encoding.UTF8;  

            stream.Position = ;  

            string responseData = "";  

            using (StreamReader reader = new StreamReader(stream, encoding))  

            {  

                responseData = reader.ReadToEnd().ToString();  

            }  

            //反序列化进行处理  

            var serialize = new JavaScriptSerializer();  

            var obj = serialize.Deserialize<RequestDTO>(responseData);  

            //在action执行前终止请求时,应该使用填充方法Response,将不返回action方法体。  

            if (obj == null)  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

   

            if (string.IsNullOrEmpty(obj.PhoneType) || string.IsNullOrEmpty(obj.PhoneVersion)  

                || string.IsNullOrEmpty(obj.PhoneID) || obj.StartCity < )  

            {  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

            }  

        }  

    }  

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute

标签: c#WebAPI
2015-02-05 10:11 4904人阅读 评论(1) 收藏 举报
 分类:
C#(55)  WebAPI(9) 

版权声明:本文为starfd原创文章,未经博主允许不得转载。

WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法

AbsBaseAuthenticationAttribute

    using System;

    using System.Web;

    using System.Collections.Specialized;

    using System.Net;

    using System.Net.Http;

    using System.Text.RegularExpressions;

    using System.Web.Http.Controllers;

    using System.Web.Http.Filters;

    /// <summary>

    /// WebAPI防篡改签名验证抽象基类Attribute

    /// </summary>

    public abstract class AbsBaseAuthenticationAttribute : ActionFilterAttribute

    {

        /// <summary>

        /// Occurs before the action method is invoked.

        /// </summary>

        /// <param name="actionContext">The action context</param>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求Partner及Sign均通过QueryString传递

            if (getCollection != null && getCollection.Count > 0)

            {

                string partner = getCollection[SecuritySignHelper.Partner];

                string sign = getCollection[SecuritySignHelper.Sign];

                if (!string.IsNullOrWhiteSpace(partner)//必须包含partner

                   && !string.IsNullOrWhiteSpace(sign)//必须包含sign

                   && Regex.IsMatch(sign, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    //获取partner对应的key

                    //这里暂时只做了合作key校验,不做访问权限校验,如有需要,此处可进行调整,建议RBAC

                    string partnerKey = this.GetPartnerKey(partner);

                    if (!string.IsNullOrWhiteSpace(partnerKey))

                    {

                        NameValueCollection postCollection = null;

                        switch (request.RequestType.ToUpper())

                        {

                            case "GET":

                            case "DELETE": break;//只是为了同时显示restful四种方式才有这部分无意义代码

                            //实际该以哪种方式进行请求应遵循restful标准

                            case "POST":

                            case "PUT":

                                postCollection = request.Form;//post的数据必须通过application/x-www-form-urlencoded方式传递

                                break;

                            default:

                                throw new NotImplementedException();

                        }

                        //根据请求数据获取MD5签名

                        string vSign = getCollection.GetSecuritySign(partner, partnerKey, postCollection);

                        if (string.Equals(sign, vSign, StringComparison.OrdinalIgnoreCase))

                        {//验证通过,执行基类方法

                            base.OnActionExecuting(actionContext);

                            return;

                        }

                    }

                }

            }

            //此处暂时以401返回,可调整为其它返回

            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);

            //actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);

        }

        /// <summary>

        /// 获取合作号对应的合作Key,如果未能获取,则返回空字符串或者null

        /// </summary>

        /// <param name="partner"></param>

        /// <returns></returns>

        protected abstract string GetPartnerKey(string partner);

    }

子类例子

    public class AuthenticationAttribute : AbsBaseAuthenticationAttribute

    {

        protected override string GetPartnerKey(string partner)

        {

            //TODO:从缓存中或者其它地方读取数据

            return "bbb";

        }

    }

实际可以在需要身份验证的ApiController上增加[Authentication],也可以写一个基类,然后需要身份验证的ApiController继承自该基类

    [Authentication]

    public class ApiControllerBase : ApiController

    {

    }

当然如果项目中所有的api都需要进行签名访问,那么直接可以进行注册,就不需要上面的ApiControllerBase了

    config.Filters.Add(new AuthenticationAttribute());

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute--转的更多相关文章

  1. 01WebApi防篡改机制---HMAC机制

    防篡改,顾名思义就是防止有人恶意篡改请求数据URL以达到恶意攻击的目的,那要怎么才能实现这样的目的呢? 很简单,将要请求的数据加上合作号.合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将 ...

  2. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证

    本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录) 一.什么是JWT? JWT(json web token ...

  3. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证及Token的刷新

    来源:https://www.cnblogs.com/FlyLolo/p/ASPNETCore2_26.html 本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及T ...

  4. WebApi系列~安全校验中的防篡改和防复用

    回到目录 web api越来越火,因为它的跨平台,因为它的简单,因为它支持xml,json等流行的数据协议,我们在开发基于面向服务的API时,有个问题一直在困扰着我们,那就是数据的安全,请求的安全,一 ...

  5. 翻译:WebApi 认证--用户认证Oauth解析

        The Web API v2用户认证模板提供了流行的应用用户认证场景,如.使用本地帐号的用户名密码认账 (包括创建用户.设置和修改密码)以及使用第三方的认证方式,如facebook,googl ...

  6. 高级运维(二):搭建Nginx服务器、用户认证、基于域名的虚拟主机、SSL虚拟主机、Nginx反向代理

    一.搭建Nginx服务器 目标: 在IP地址为192.168.4.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能: 1> SSL加密功能 2> 设置Ng ...

  7. linux(十二)___Apache服务器用户认证、虚拟主机的配置

    创建xiangkejin  zhangsan两个用户 可看见文件中创建的两个用户: 建立虚拟目录并配置用户认证 ①建立虚拟目录 /xiangkejin ②在Apache的主配置文件httpd.conf ...

  8. 最适合入门的Laravel中级教程(二)用户认证

    之前的初级教程主要是学习简单的增删改查: 接着的中级教程的目标是在初级教程的基础上能写出更复杂更健壮的程序: 我们先来学习 laravel 的用户认证功能: 在现代网站中基本都有用户系统: 而我们每开 ...

  9. C#进阶系列——WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

随机推荐

  1. WEB组件之间的关系

    WEB组件之间的关系: A:重定向的特点: 1:发生客户端 2:地址栏发生变化 3:两个WEB组件不共享request的数据. 4 重定向只能传递文本类型数据 服务端的方法:response.send ...

  2. python成长笔记

    正则表达式 1.    择一匹配:管道符号(|),表示“从多个模式中选择其一”.例:at|home à at.home 2.    点号匹配除了换行符以外的任何字符 3.    边界匹配:\b匹配一个 ...

  3. Linux操作系统Centos7.2版本搭建Apache+PHP+Mysql环境

    对于在校大学生来说腾讯云1元主机很划算,所以就申请了一台,打算在上面学习下linux,使用版本为centos7.2版本.在服务器上比较推荐centos,此版本生命周期较长,而且网上有关centos的教 ...

  4. 数据库 —— Access 数据库

    0.Access 下载 1.Access 语法 链接:http://blog.csdn.net/tercel99/article/details/5725157 2.ADO 相关: 在VC++6.0中 ...

  5. 菜鸟学习 - Unity中的热更新 - LuaInterface用户指南

    [由于学习,所以翻译!] 1.介绍 LuaInterface 是 Lua 语言和 Microsoft.NET 平台公共语言运行时 (CLR) 之间的集成库. 非常多语言已经有面向 CLR 编译器和 C ...

  6. POJ 1458-Common Subsequence(线性dp/LCS)

    Common Subsequence Time Limit: 1000MS   Memory Limit: 10000K Total Submissions: 39009   Accepted: 15 ...

  7. android api 中文 (73)—— AdapterView

    前言 本章内容是android.widget.AdapterView,版本为Android 2.3 r1,翻译来自"cnmahj",欢迎大家访问他的博客:http://androi ...

  8. swift 深入理解Swift的闭包

    我们可用swift的闭包来定义变量的值. 先来一个简单的例子大家先感受感受. 定义一个字符串的变量的方法: 直接赋值 var str="JobDeer" 还可以用闭包的方式定义: ...

  9. android开发之——混淆编译

    众所周知,android的apk文件是非常容易被反编译的,这样对于开发者来说,辛辛苦苦开发应用被破解是一件很令人懊恼的事情,谷歌也认识到了这一点,所以从2.3之后就为开发者提供了一个代码混淆工具pro ...

  10. 渲染器 Shader BitmapShader

    渲染模式: tileX tileY:The tiling mode for x/y to draw the bitmap in.   在位图上 X/Y 方向 瓦工/花砖/瓷砖 模式 CLAMP  :如 ...