public class ActionFilter : ActionFilterAttribute  

    {  

        public override void OnActionExecuting(System.Web.Http.Controllers.HttpActionContext actionContext)  

        {  

            base.OnActionExecuting(actionContext);  

            //获取请求消息提数据  

            Stream stream = actionContext.Request.Content.ReadAsStreamAsync().Result;  

            Encoding encoding = Encoding.UTF8;  

            stream.Position = ;  

            string responseData = "";  

            using (StreamReader reader = new StreamReader(stream, encoding))  

            {  

                responseData = reader.ReadToEnd().ToString();  

            }  

            //反序列化进行处理  

            var serialize = new JavaScriptSerializer();  

            var obj = serialize.Deserialize<RequestDTO>(responseData);  

            //在action执行前终止请求时,应该使用填充方法Response,将不返回action方法体。  

            if (obj == null)  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

   

            if (string.IsNullOrEmpty(obj.PhoneType) || string.IsNullOrEmpty(obj.PhoneVersion)  

                || string.IsNullOrEmpty(obj.PhoneID) || obj.StartCity < )  

            {  

                actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.OK, obj);  

            }  

        }  

    }  

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute

标签: c#WebAPI
2015-02-05 10:11 4904人阅读 评论(1) 收藏 举报
 分类:
C#(55)  WebAPI(9) 

版权声明:本文为starfd原创文章,未经博主允许不得转载。

WebAPI的用户身份认证与MVC一样都是通过Attribute进行验证,此处定义了一个抽象基类,子类需要实现根据合作号获取合作用户信息的抽象方法

AbsBaseAuthenticationAttribute

    using System;

    using System.Web;

    using System.Collections.Specialized;

    using System.Net;

    using System.Net.Http;

    using System.Text.RegularExpressions;

    using System.Web.Http.Controllers;

    using System.Web.Http.Filters;

    /// <summary>

    /// WebAPI防篡改签名验证抽象基类Attribute

    /// </summary>

    public abstract class AbsBaseAuthenticationAttribute : ActionFilterAttribute

    {

        /// <summary>

        /// Occurs before the action method is invoked.

        /// </summary>

        /// <param name="actionContext">The action context</param>

        public override void OnActionExecuting(HttpActionContext actionContext)

        {

            //获取Asp.Net对应的Request

            var request = ((HttpContextWrapper)actionContext.Request.Properties["MS_HttpContext"]).Request;

            NameValueCollection getCollection = request.QueryString;//此签名要求Partner及Sign均通过QueryString传递

            if (getCollection != null && getCollection.Count > 0)

            {

                string partner = getCollection[SecuritySignHelper.Partner];

                string sign = getCollection[SecuritySignHelper.Sign];

                if (!string.IsNullOrWhiteSpace(partner)//必须包含partner

                   && !string.IsNullOrWhiteSpace(sign)//必须包含sign

                   && Regex.IsMatch(sign, "^[0-9A-Za-z]{32}$"))//sign必须为32位Md5摘要

                {

                    //获取partner对应的key

                    //这里暂时只做了合作key校验,不做访问权限校验,如有需要,此处可进行调整,建议RBAC

                    string partnerKey = this.GetPartnerKey(partner);

                    if (!string.IsNullOrWhiteSpace(partnerKey))

                    {

                        NameValueCollection postCollection = null;

                        switch (request.RequestType.ToUpper())

                        {

                            case "GET":

                            case "DELETE": break;//只是为了同时显示restful四种方式才有这部分无意义代码

                            //实际该以哪种方式进行请求应遵循restful标准

                            case "POST":

                            case "PUT":

                                postCollection = request.Form;//post的数据必须通过application/x-www-form-urlencoded方式传递

                                break;

                            default:

                                throw new NotImplementedException();

                        }

                        //根据请求数据获取MD5签名

                        string vSign = getCollection.GetSecuritySign(partner, partnerKey, postCollection);

                        if (string.Equals(sign, vSign, StringComparison.OrdinalIgnoreCase))

                        {//验证通过,执行基类方法

                            base.OnActionExecuting(actionContext);

                            return;

                        }

                    }

                }

            }

            //此处暂时以401返回,可调整为其它返回

            actionContext.Response = actionContext.Request.CreateResponse(HttpStatusCode.Unauthorized);

            //actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized);

        }

        /// <summary>

        /// 获取合作号对应的合作Key,如果未能获取,则返回空字符串或者null

        /// </summary>

        /// <param name="partner"></param>

        /// <returns></returns>

        protected abstract string GetPartnerKey(string partner);

    }

子类例子

    public class AuthenticationAttribute : AbsBaseAuthenticationAttribute

    {

        protected override string GetPartnerKey(string partner)

        {

            //TODO:从缓存中或者其它地方读取数据

            return "bbb";

        }

    }

实际可以在需要身份验证的ApiController上增加[Authentication],也可以写一个基类,然后需要身份验证的ApiController继承自该基类

    [Authentication]

    public class ApiControllerBase : ApiController

    {

    }

当然如果项目中所有的api都需要进行签名访问,那么直接可以进行注册,就不需要上面的ApiControllerBase了

    config.Filters.Add(new AuthenticationAttribute());

WebAPI 用户认证防篡改实现HMAC(二)签名验证 AbsBaseAuthenticationAttribute--转的更多相关文章

  1. 01WebApi防篡改机制---HMAC机制

    防篡改,顾名思义就是防止有人恶意篡改请求数据URL以达到恶意攻击的目的,那要怎么才能实现这样的目的呢? 很简单,将要请求的数据加上合作号.合作Key按规则组织成一个字符串,获取对应的MD5摘要,然后将 ...

  2. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证

    本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案(ASP.NET Core 系列目录) 一.什么是JWT? JWT(json web token ...

  3. ASP.NET Core 2.2 : 二十六. 应用JWT进行用户认证及Token的刷新

    来源:https://www.cnblogs.com/FlyLolo/p/ASPNETCore2_26.html 本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及T ...

  4. WebApi系列~安全校验中的防篡改和防复用

    回到目录 web api越来越火,因为它的跨平台,因为它的简单,因为它支持xml,json等流行的数据协议,我们在开发基于面向服务的API时,有个问题一直在困扰着我们,那就是数据的安全,请求的安全,一 ...

  5. 翻译:WebApi 认证--用户认证Oauth解析

        The Web API v2用户认证模板提供了流行的应用用户认证场景,如.使用本地帐号的用户名密码认账 (包括创建用户.设置和修改密码)以及使用第三方的认证方式,如facebook,googl ...

  6. 高级运维(二):搭建Nginx服务器、用户认证、基于域名的虚拟主机、SSL虚拟主机、Nginx反向代理

    一.搭建Nginx服务器 目标: 在IP地址为192.168.4.5的主机上安装部署Nginx服务,并可以将Nginx服务器,要求编译时启用如下功能: 1> SSL加密功能 2> 设置Ng ...

  7. linux(十二)___Apache服务器用户认证、虚拟主机的配置

    创建xiangkejin  zhangsan两个用户 可看见文件中创建的两个用户: 建立虚拟目录并配置用户认证 ①建立虚拟目录 /xiangkejin ②在Apache的主配置文件httpd.conf ...

  8. 最适合入门的Laravel中级教程(二)用户认证

    之前的初级教程主要是学习简单的增删改查: 接着的中级教程的目标是在初级教程的基础上能写出更复杂更健壮的程序: 我们先来学习 laravel 的用户认证功能: 在现代网站中基本都有用户系统: 而我们每开 ...

  9. C#进阶系列——WebApi 身份认证解决方案:Basic基础认证

    前言:最近,讨论到数据库安全的问题,于是就引出了WebApi服务没有加任何验证的问题.也就是说,任何人只要知道了接口的url,都能够模拟http请求去访问我们的服务接口,从而去增删改查数据库,这后果想 ...

随机推荐

  1. Highcharts下载与使用_数据报表图

    Highcharts简介 Highcharts:功能强大.开源.美观.图表丰富.兼容绝大多数浏览器的纯js图表库 Highcharts是一款纯javascript编写的图表库,能够很简单便捷的在Web ...

  2. java 类加载过程

    1. 使用命令行查看类加载过程,在eclipse测试类的run configuration中配置-verbose:class或者-verbose,如下图所示: 运行结果如下所示: [Opened D: ...

  3. Java Performance Optimization Tools and Techniques for Turbocharged Apps--reference

    Java Performance Optimization by: Pierre-Hugues Charbonneau reference:http://refcardz.dzone.com/refc ...

  4. 【转】IOS7 MPMoviePlayerViewController横屏显示

    在应用程序中用到MPMoviePlayerViewController时,有时需要保持应用程序为竖屏状态,而视频播放器显示为横屏,如何做呢?如果采用强制横屏的方法,应用审核的时候是不会通过的,因为该方 ...

  5. git clone之后自动checkout文件处理

    这个问题发生是因为不同操作系统的行结束符不一致导致的,可在clone之后在仓库根目录修改.gitattributes文件 简单处理的话,注释* text=auto这行即可.也可根据不同系统,做相应设定 ...

  6. Visual Studio 2012 Ultimate 上安装 Python 开发插件 PTVS

    1.我的环境 操作系统:32位 Win7 旗舰版 Service Pack 1 VS版本:Microsoft Visual Studio Ultimate 2012 版本 11.0.50727.1 R ...

  7. 简单水池&&迷宫问题

    #include <iostream> #include <stdio.h> #include <cstring> using namespace std; int ...

  8. wxpython下的桥梁信息管理系统

    github地址:https://github.com/billiepander/BIMS 第一版: 现在实现了登陆,与部门级别用户录入桥梁检测信息后保存为excel(后期要用数据库存一些关键信息,为 ...

  9. GetJsonByDataTable

    public string getJsonByModel(DataTable dt) { StringBuilder nsb = new StringBuilder(); ; i < dt.Ro ...

  10. MySQL忘记root密码的解决方案

    在实际操作中忘记MySQL的root密码是一件令人很头痛的事情,不要急以下的文章就是介绍MySQL的root密码忘记的时候解决方案,我们可以对其进行如下的步骤重新设置,以下就是文章的详细内容描述.   ...