public class ActionFilter : ActionFilterAttribute  

    {  

        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)  

        {  

            base.OnActionExecuting(actionContext);  

            //获取请求消息提数据  

            Stream stream = actionContext.Request.Content.ReadAsStreamAsync().Result;  

            Encoding encoding = Encoding.UTF8;  

            stream.Position = ;  

            string responseData = "";  

            using (StreamReader reader = new StreamReader(stream, encoding))  

            {  

                responseData = reader.ReadToEnd().ToString();  

            }  

            //反序列化进行处理  

            var serialize = new JavaScriptSerializer();  

            var obj = serialize.Deserialize<RequestDTO>(responseData);  

            //在action执行前终止请求时,应该使用填充方法Response,将不返回action方法体。  

            if (obj == null)  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

   

            if (string.IsNullOrEmpty(obj.PhoneType) || string.IsNullOrEmpty(obj.PhoneVersion)  

                || string.IsNullOrEmpty(obj.PhoneID) || obj.StartCity < )  

            {  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

            }  

        }  

    }  

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute

标签: c#WebAPI
2015-02-05 10:11 4904人阅读 评论(1) 收藏 举报
 分类:
C#(55)  WebAPI(9) 

版权声明:本文为starfd原创文章,未经博主允许不得转载。

WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法

AbsBaseAuthenticationAttribute

    using System;

    using System.Web;

    using System.Collections.Specialized;

    using System.Net;

    using System.Net.Http;

    using System.Text.RegularExpressions;

    using System.Web.Http.Controllers;

    using System.Web.Http.Filters;

    /// <summary>

    /// WebAPI防篡改签名验证抽象基类Attribute

    /// </summary>

    public abstract class AbsBaseAuthenticationAttribute : ActionFilterAttribute

    {

        /// <summary>

        /// Occurs before the action method is invoked.

        /// </summary>

        /// <param name="actionContext">The action context</param>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求Partner及Sign均通过QueryString传递

            if (getCollection != null && getCollection.Count > 0)

            {

                string partner = getCollection[SecuritySignHelper.Partner];

                string sign = getCollection[SecuritySignHelper.Sign];

                if (!string.IsNullOrWhiteSpace(partner)//必须包含partner

                   && !string.IsNullOrWhiteSpace(sign)//必须包含sign

                   && Regex.IsMatch(sign, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    //获取partner对应的key

                    //这里暂时只做了合作key校验,不做访问权限校验,如有需要,此处可进行调整,建议RBAC

                    string partnerKey = this.GetPartnerKey(partner);

                    if (!string.IsNullOrWhiteSpace(partnerKey))

                    {

                        NameValueCollection postCollection = null;

                        switch (request.RequestType.ToUpper())

                        {

                            case "GET":

                            case "DELETE": break;//只是为了同时显示restful四种方式才有这部分无意义代码

                            //实际该以哪种方式进行请求应遵循restful标准

                            case "POST":

                            case "PUT":

                                postCollection = request.Form;//post的数据必须通过application/x-www-form-urlencoded方式传递

                                break;

                            default:

                                throw new NotImplementedException();

                        }

                        //根据请求数据获取MD5签名

                        string vSign = getCollection.GetSecuritySign(partner, partnerKey, postCollection);

                        if (string.Equals(sign, vSign, StringComparison.OrdinalIgnoreCase))

                        {//验证通过,执行基类方法

                            base.OnActionExecuting(actionContext);

                            return;

                        }

                    }

                }

            }

            //此处暂时以401返回,可调整为其它返回

            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);

            //actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);

        }

        /// <summary>

        /// 获取合作号对应的合作Key,如果未能获取,则返回空字符串或者null

        /// </summary>

        /// <param name="partner"></param>

        /// <returns></returns>

        protected abstract string GetPartnerKey(string partner);

    }

子类例子

    public class AuthenticationAttribute : AbsBaseAuthenticationAttribute

    {

        protected override string GetPartnerKey(string partner)

        {

            //TODO:从缓存中或者其它地方读取数据

            return "bbb";

        }

    }

实际可以在需要身份验证的ApiController上增加[Authentication],也可以写一个基类,然后需要身份验证的ApiController继承自该基类

    [Authentication]

    public class ApiControllerBase : ApiController

    {

    }

当然如果项目中所有的api都需要进行签名访问,那么直接可以进行注册,就不需要上面的ApiControllerBase了

    config.Filters.Add(new AuthenticationAttribute());

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute--转的更多相关文章

  1. 01WebApi防篡改机制---HMAC机制

    防篡改,顾名思义就是防止有人恶意篡改请求数据URL以达到恶意攻击的目的,那要怎么才能实现这样的目的呢? 很简单,将要请求的数据加上合作号.合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将 ...

  2. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证

    本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录) 一.什么是JWT? JWT(json web token ...

  3. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证及Token的刷新

    来源:https://www.cnblogs.com/FlyLolo/p/ASPNETCore2_26.html 本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及T ...

  4. WebApi系列~安全校验中的防篡改和防复用

    回到目录 web api越来越火,因为它的跨平台,因为它的简单,因为它支持xml,json等流行的数据协议,我们在开发基于面向服务的API时,有个问题一直在困扰着我们,那就是数据的安全,请求的安全,一 ...

  5. 翻译:WebApi 认证--用户认证Oauth解析

        The Web API v2用户认证模板提供了流行的应用用户认证场景,如.使用本地帐号的用户名密码认账 (包括创建用户.设置和修改密码)以及使用第三方的认证方式,如facebook,googl ...

  6. 高级运维(二):搭建Nginx服务器、用户认证、基于域名的虚拟主机、SSL虚拟主机、Nginx反向代理

    一.搭建Nginx服务器 目标: 在IP地址为192.168.4.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能: 1> SSL加密功能 2> 设置Ng ...

  7. linux(十二)___Apache服务器用户认证、虚拟主机的配置

    创建xiangkejin  zhangsan两个用户 可看见文件中创建的两个用户: 建立虚拟目录并配置用户认证 ①建立虚拟目录 /xiangkejin ②在Apache的主配置文件httpd.conf ...

  8. 最适合入门的Laravel中级教程(二)用户认证

    之前的初级教程主要是学习简单的增删改查: 接着的中级教程的目标是在初级教程的基础上能写出更复杂更健壮的程序: 我们先来学习 laravel 的用户认证功能: 在现代网站中基本都有用户系统: 而我们每开 ...

  9. C#进阶系列——WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

随机推荐

  1. MyBatis(1):MyBatis入门

    MyBatis是什么 MyBatis是什么,MyBatis的jar包中有它的官方文档,文档是这么描述MyBatis的: MyBatis is a first class persistence fra ...

  2. div+css 圆角加阴影

    .test{ display: inline-block; padding: 5px 10px 6px; text-decoration: none; border-radius: 5px; -moz ...

  3. POJ 2001 Shortest Prefixes(字典树)

    题目地址:POJ 2001 考察的字典树,利用的是建树时将每个点仅仅要走过就累加.最后从根节点開始遍历,当遍历到仅仅有1次走过的时候,就说明这个地方是最短的独立前缀.然后记录下长度,输出就可以. 代码 ...

  4. ViewPager 详解(五)-----使用Fragment实现ViewPager滑动

    前言:前几篇文章讲解了ViewPager的普通实现方法,但Android官方最推荐的一种实现方法却是使用fragment,下面我们使用fragment来重新实现一下第一篇<ViewPager 详 ...

  5. Android中Application类用法

    Application类 Application和Activity,Service一样是Android框架的一个系统组件,当Android程序启动时系统会创建一个Application对象,用来存储系 ...

  6. 【转】[Algorithm]01分数规划

    因为搜索关于CFRound277.5E题的题解时发现了这篇文章,很多地方都有值得借鉴的东西,因此转了过来 原文:http://www.cnblogs.com/perseawe/archive/2012 ...

  7. MVC4 EF linq从客户端中检测到有潜在的危险的Request.Path值

    今天做项目的时候遇到了这样的问题贴出来给大家分享下啦, 使用MVC4 EF linq跳转视图的时候出现,从客户端中检测到有潜在的危险的Request.Path值错误,如下图所示: 解决办法如下:  r ...

  8. Android Http请求失败解决方法

    1.MainActivity.java 文件中的onCreate方法改成如下: @SuppressLint("NewApi") @Override protected void o ...

  9. Probably at least one of the constraints in the following list is one you don't want.

    这个提示并不是出错,不理会它我的程序也没出现什么问题 但是处于强迫症,还是努力寻找解决的方法... 最终发现问题如下: 在xib各种绘制和添加约束的UITableViewCell之后,在某一特定情况想 ...

  10. 用Spring Boot零配置快速创建web项目(1)

    一.Spring Boot简介 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程.该框架使用了特定的方式来进行配置,从而使开发人 ...