http://www.cnblogs.com/wuhuacong/p/4620300.html

Web API应用架构设计分析(2)

在上篇随笔《Web API应用架构设计分析(1)》, 我对Web API的各种应用架构进行了概括性的分析和设计,Web API 是一种应用接口框架,它能够构建HTTP服务以支撑更广泛的客户端(包括浏览器,手机和平板电脑等移动设备)的框架,本篇继续这个主题,介绍如何利用 ASP.NET Web API 来设计Web API层以及相关的调用处理。

1、Web API的接口访问分类

Web API接口的访问方式,大概可以分为几类:

1)一个是使用用户令牌,通过Web API接口进行数据访问。这种方式,可以有效识别用户的身份,为用户接口返回用户相关的数据,如包括用户信息维护、密码修改、或者用户联系人等与用户身份相关的数据。

2)一种是使用安全签名进行数据提交。这种方式提交的数据,URL连接的签名参数是经过安全一定规则的加密的,服务器收到数据后也经过同样规则的安 全加密,确认数据没有被中途篡改后,再进行数据修改处理。因此我们可以为不同接入方式,如Web/APP/Winfrom等不同接入方式指定不同的加密秘 钥,但是秘钥是双方约定的,并不在网络连接上传输,连接传输的一般是这个接入的AppID,服务器通过这个AppID来进行签名参数的加密对比,这种方 式,类似微信后台的回调处理机制,它们就是经过这样的处理。

3)一种方式是提供公开的接口调用,不需要传入用户令牌、或者对参数进行加密签名的,这种接口一般较少,只是提供一些很常规的数据显示而已。

下面图示就是这几种接入方式的说明和大概应用场景。

2、Web API使用安全签名的实现

首先我们为用户注册的时候,需要由我们认可的终端发起,也就是它们需要进行安全签名,后台确认签名有效性,才能正常实现用户注册,否则遭到伪造数据,系统就失去原有的意义了。

    /// <summary>

    /// 注册用户信息接口

    /// </summary>

    public interface IUserApi

    {

        /// <summary>

        /// 注册用户处理,包括用户名,密码,身份证号,手机等信息

        /// </summary>

        /// <param name="json">注册用户信息</param>

        /// <param name="signature">加密签名字符串</param>

        /// <param name="timestamp">时间戳</param>

        /// <param name="nonce">随机数</param>

        /// <param name="appid">应用接入ID</param>

        /// <returns></returns>

        ResultData Add(UserJson json,

            string signature, string timestamp, string nonce, string appid);

    }

其实我们获得用户的令牌,也是需要进行用户安全签名认证的,这样我们才有效保证用户身份令牌获取的合法性。

    /// <summary>

    /// 系统认证等基础接口

    /// </summary>

    public interface IAuthApi

    {

        /// <summary>

        /// 注册用户获取访问令牌接口

        /// </summary>

        /// <param name="username">用户登录名称</param>

        /// <param name="password">用户密码</param>

        /// <param name="signature">加密签名字符串</param>

        /// <param name="timestamp">时间戳</param>

        /// <param name="nonce">随机数</param>

        /// <param name="appid">应用接入ID</param>

        /// <returns></returns>

        TokenResult GetAccessToken(string username, string password,

            string signature, string timestamp, string nonce, string appid);

    }

上面介绍到的参数,我们提及了几个参数,一个是加密签名字符串,一个是时间戳,一个是随机数,一个是应用接入ID,我们一般的处理规则如下所示。

1)Web API 为各种应用接入,如APP、Web、Winform等接入端分配应用AppID以及通信密钥AppSecret,双方各自存储。
2)接入端在请求Web API接口时需携带以下参数:signature、 timestamp、nonce、appid,签名是根据几个参数和加密秘钥生成。
3) Web API 收到接口调用请求时需先检查传递的签名是否合法,验证后才调用相关接口。

加密签名在服务端(Web API端)的验证流程参考微信的接口的处理方式,处理逻辑如下所示。

1)检查timestamp 与系统时间是否相差在合理时间内,如10分钟。
2)将appSecret、timestamp、nonce三个参数进行字典序排序
3)将三个参数字符串拼接成一个字符串进行SHA1加密
4)加密后的字符串可与signature对比,若匹配则标识该次请求来源于某应用端,请求是合法的。

C#端代码校验如下所示。

        /// <summary>

        /// 检查应用接入的数据完整性

        /// </summary>

        /// <param name="signature">加密签名内容</param>

        /// <param name="timestamp">时间戳</param>

        /// <param name="nonce">随机字符串</param>

        /// <param name="appid">应用接入Id</param>

        /// <returns></returns>

        public CheckResult ValidateSignature(string signature, string timestamp, string nonce, string appid)

        {

            CheckResult result = new CheckResult();

            result.errmsg = "数据完整性检查不通过";

            //根据Appid获取接入渠道的详细信息

            AppInfo channelInfo = BLLFactory<App>.Instance.FindByAppId(appid);

            if (channelInfo != null)

            {

                #region 校验签名参数的来源是否正确

                string[] ArrTmp = { channelInfo.AppSecret, timestamp, nonce };

                Array.Sort(ArrTmp);

                string tmpStr = string.Join("", ArrTmp);

                tmpStr = FormsAuthentication.HashPasswordForStoringInConfigFile(tmpStr, "SHA1");

                tmpStr = tmpStr.ToLower();

                if (tmpStr == signature && ValidateUtil.IsNumber(timestamp))

                {

                    DateTime dtTime = timestamp.ToInt32().IntToDateTime();

                    double minutes = DateTime.Now.Subtract(dtTime).TotalMinutes;

                    if (minutes > timspanExpiredMinutes)

                    {

                        result.errmsg = "签名时间戳失效";

                    }

                    else

                    {

                        result.errmsg = "";

                        result.success = true;

                        result.channel = channelInfo.Channel;

                    }

                }

                #endregion

            }

            return result;

        }

一旦我们完成对安全签名进行成功认证,也就是我们对数据提交的来源和完整性进行了确认,就可以进行更多和安全性相关的操作了,如获取用户的访问令牌信息的操作如下所示。

第一步是验证用户的签名是否符合要求,符合要求后进行用户信息的比对,并生成用户访问令牌数据JSON,返回给调用端即可。

3、Web API使用安全令牌的实现

通过上面的接口,我们获取到的用户访问令牌,以后和用户相关的信息调用,我们就可以通过这个令牌参数进行传递就可以了,这个令牌带有用户的一些基础信息,如用户ID,过期时间等等,这个Token的设计思路来源于JSON Web Token (JWT),具体可以参考http://self-issued.info/docs/draft-ietf-oauth-json-web-token.html,以及GitHub上的项目https://github.com/jwt-dotnet/jwt

由于Web API的调用,都是一种无状态方式的调用方式,我们通过token来传递我们的用户信息,这样我们只需要验证Token就可以了。

JWT的令牌生成逻辑如下所示

令牌生成后,我们需要在Web API调用处理前,对令牌进行校验,确保令牌是正确有效的。

检查的代码,就是把令牌生成的过程逆反过来,获取相应的信息,并且对令牌签发的时间进行有效性判断,一般可以约定一个失效时间,如1天或者7天,也不用设置太短。

        /// <summary>

        /// 检查用户的Token有效性

        /// </summary>

        /// <param name="token"></param>

        /// <returns></returns>

        public CheckResult ValidateToken(string token)

        {

            //返回的结果对象

            CheckResult result = new CheckResult();

            result.errmsg = "令牌检查不通过";

            if (!string.IsNullOrEmpty(token))

            {

                try

                {

                    string decodedJwt = JsonWebToken.Decode(token, sharedKey);

                    if (!string.IsNullOrEmpty(decodedJwt))

                    {

                        #region 检查令牌对象内容

                        dynamic root = JObject.Parse(decodedJwt);

                        string username = root.name;

                        string userid = root.iss;

                        int jwtcreated = (int)root.iat;

                        //检查令牌的有效期,7天内有效

                        TimeSpan t = (DateTime.UtcNow - new DateTime(1970, 1, 1));

                        int timestamp = (int)t.TotalDays;

                        if (timestamp - jwtcreated > expiredDays)

                        {

                            throw new ArgumentException("用户令牌失效.");

                        }

                        //成功校验

                        result.success = true;

                        result.errmsg = "";

                        result.userid = userid;

                        #endregion

                    }

                }

                catch (Exception ex)

                {

                    LogTextHelper.Error(ex);

                }

            }

            return result;

        }

一般来说,访问令牌不能永久有效,对于访问令牌的重新更新问题,可以设置一个规则,只允许最新的令牌使用,并把它存储在接口缓存里面进行对比,应用系统退出的时候,就把内存里面的Token移除就可以了。

4、ASP.NET Web API的开发

上面我们定义了一般的Web API接口,以及实现相应的业务实现,如果我们需要创建Web API层,还需要构建一个Web API项目的。

创建好相应的项目后,可以为项目添加一个Web API基类,方便控制共同的接口。

然后我们就可以在Controller目录上创建更多的应用API控制器了。

最后我们为了统一所有的API接口都是返回JSON方式,我们需要对WebApiConfig里面的代码进行设置下。

    public static class WebApiConfig

    {

        public static void Register(HttpConfiguration config)

        {

            // Web API 配置和服务

            config.SetCorsPolicyProviderFactory(new CorsPolicyFactory());

            config.EnableCors();

            // Web API 路由

            config.MapHttpAttributeRoutes();

            config.Routes.MapHttpRoute(

                name: "DefaultApi",

                routeTemplate: "api/{controller}/{action}/{id}",

                defaults: new { action = "post", id = RouteParameter.Optional }

            );

            // Remove the JSON formatter

            //config.Formatters.Remove(config.Formatters.JsonFormatter);

            // Remove the XML formatter

            config.Formatters.Remove(config.Formatters.XmlFormatter);

        }

    }

5、Web API 接口的测试

接下来我们要做的就是需要增加业务接口,以便进行具体的测试了,建议使用Winform项目,对每个接口进行一个测试,或者也可以考虑使用单元测试的方式,看个人喜好吧。

例如我们如果要测试用户登陆的接口的话,我们的测试代码如下所示。

        /// <summary>

        /// 生成签名字符串

        /// </summary>

        /// <param name="appSecret">接入秘钥</param>

        /// <param name="timestamp">时间戳</param>

        /// <param name="nonce">随机数</param>

        private string SignatureString(string appSecret, string timestamp, string nonce)

        {

            string[] ArrTmp = { appSecret, timestamp, nonce };

            Array.Sort(ArrTmp);

            string tmpStr = string.Join("", ArrTmp);

            tmpStr = FormsAuthentication.HashPasswordForStoringInConfigFile(tmpStr, "SHA1");

            return tmpStr.ToLower();

        }

        private TokenResult GetTokenResult()

        {

            string timestamp = DateTime.Now.DateTimeToInt().ToString();

            string nonce = new Random().NextDouble().ToString();

            string signature = SignatureString(appSecret, timestamp, nonce);

            string appended = string.Format("&signature={0}&timestamp={1}&nonce={2}&appid={3}", signature, timestamp, nonce, appId);

            string queryUrl = url + "Auth/GetAccessToken?username=test&password=123456" + appended;

            HttpHelper helper = new HttpHelper();

            string token = helper.GetHtml(queryUrl);

            Console.WriteLine(token);

            TokenResult tokenResult = JsonConvert.DeserializeObject<TokenResult>(token);

            return tokenResult;

        }

如果我们已经获得了令牌,我们根据令牌传递参数给连接,并获取其他数据的测试处理代码如下所示。

            //获取访问令牌

            TokenResult tokenResult = GetTokenResult();

            string queryUrl = url + "/Contact/get?token=" + tokenResult.access_token;

            HttpHelper helper = new HttpHelper();

            string result = helper.GetHtml(queryUrl);

            Console.WriteLine(result);

如果需要POST数据的话,那么调用代码如下所示。

            //使用POST方式

            var data = new

            {

                name = "张三",

                certno = "123456789",

            };

            var postData = data.ToJson();

            queryUrl = url + "/Contact/Add?token=" + tokenResult.access_token;

            helper = new HttpHelper();

            helper.ContentType = "application/json";

            result = helper.GetHtml(queryUrl, postData, true);

            Console.WriteLine(result);

Web API后台,会自动把POST的JSON数据转换为对应的对象的。

如果是GET方式,我们可能可以直接通过浏览器进行调试,如果是POST方式,我们需要使用一些协助工具,如Fiddler等处理工具,但是最好的方式是自己根据需要弄一个测试工具,方便测试。

以下就是我为了自己Web API 接口开发的需要,专门弄的一个调试工具,可以自动组装相关的参数,包括使用安全签名的参数,还可以把所有参数数据进行存储。

主要研究技术:代码生成工具、会员管理系统、客户关系管理软件、病人资料管理软件、Visio二次开发、酒店管理系统、仓库管理系统等共享软件开发
专注于Winform开发框架/混合式开发框架Web开发框架Bootstrap开发框架微信门户开发框架的研究及应用
  转载请注明出处:
撰写人:伍华聪  http://www.iqidi.com 
    
好文要顶
关注我
收藏该文

36
0
 

« 上一篇:Web API应用架构设计分析(1)
» 下一篇:基于Metronic的Bootstrap开发框架经验总结(1)-框架总览及菜单模块的处理

Web API数据传输加密的更多相关文章

  1. Web API 令牌(秘钥是双方约定的,并不在网络连接上传输)

    http://blog.csdn.net/qq289523052/article/details/47750021 秘钥是双方约定的,并不在网络连接上传输 Web API数据传输加密 2015-08- ...

  2. 循序渐进学.Net Core Web Api开发系列【16】:应用安全续-加密与解密

    系列目录 循序渐进学.Net Core Web Api开发系列目录 本系列涉及到的源码下载地址:https://github.com/seabluescn/Blog_WebApi 一.概述 应用安全除 ...

  3. .NET API 接口数据传输加密最佳实践

    .NET API 接口数据传输加密最佳实践 我们在做 Api 接口时,相信一定会有接触到要给传输的请求 body 的内容进行加密传输.其目的就是为了防止一些敏感的内容直接被 UI 层查看或篡改. 其实 ...

  4. Web API系列(二)接口安全和参数校验

    以前简单介绍过web api 的设计,但是还是有很多朋友问我,如何合理的设计和实现web api.比如,接口安全,异常处理,统一数据返回等问题.所以有必要系统的总结总结 web api 的设计和实现. ...

  5. Web API应用架构在Winform混合框架中的应用(1)

    在<Web API应用架构设计分析(1)>和<Web API应用架构设计分析(2)>中对WebAPI的架构进行了一定的剖析,在当今移动优先的口号下,传统平台都纷纷开发了属于自己 ...

  6. Web API应用支持HTTPS的经验总结

    在我前面介绍的WebAPI文章里面,介绍了WebAPI的架构设计方面的内容,其中提出了现在流行的WebAPI优先的路线,这种也是我们开发多应用(APP.微信.微网站.商城.以及Winform等方面的整 ...

  7. Asp.net mvc web api 在项目中的实际应用

    Asp.net mvc web api 在项目中的实际应用 前言:以下只是记录本人在项目中的应用,而web api在数据传输方面有多种实现方式,具体可根据实际情况而定! 1:数据传输前的加密,以下用到 ...

  8. Redis总结(五)缓存雪崩和缓存穿透等问题 Web API系列(三)统一异常处理 C#总结(一)AutoResetEvent的使用介绍(用AutoResetEvent实现同步) C#总结(二)事件Event 介绍总结 C#总结(三)DataGridView增加全选列 Web API系列(二)接口安全和参数校验 RabbitMQ学习系列(六): RabbitMQ 高可用集群

    Redis总结(五)缓存雪崩和缓存穿透等问题   前面讲过一些redis 缓存的使用和数据持久化.感兴趣的朋友可以看看之前的文章,http://www.cnblogs.com/zhangweizhon ...

  9. ASP.NET Core Web API 最佳实践指南

    原文地址: ASP.NET-Core-Web-API-Best-Practices-Guide 介绍 当我们编写一个项目的时候,我们的主要目标是使它能如期运行,并尽可能地满足所有用户需求. 但是,你难 ...

随机推荐

  1. 基于css3的轮播效果

    花了一上午来调整页面在ie10上的显示问题,sass编译生成的css文件在ie内核下一直不能正确加载,果然兼容性的问题还需要好好研究.转入正题,用css3实现轮播效果主要是基于css3的framewo ...

  2. docker之文件夹共享

    本文采用的是CoreOS操作系统 1.共享宿主机的目录给容器 docker run -d --name=test -v /opt/test:/usr/databases docker-test tes ...

  3. Java里面,反射父类里面数字类型字段,怎么set值

    Java里面,反射父类里面数字类型字段,怎么set值,我的做法是这样: /** * TODO 直接设置对象属性值, 忽略private/protected 修饰符, 也不经过setter * @aut ...

  4. 【转】JavaScript 经常忽略的 7 个基础知识点

    原文转自:http://bbs.html5cn.org/thread-83442-1-1.html 1. 在 String.prototype.replace 方法中使用 /g 和 /i标志位 令很多 ...

  5. JS原生效果瀑布流布局的实现(一)

    JS原生效果 实现: HTML页面布局: <!DOCTYPE html> <html> <head> <meta charset="utf-8&qu ...

  6. [转]IoC模式

    IoC模式 1.依赖 依赖就是有联系,有地方使用到它就是有依赖它,一个系统不可能完全避免依赖.如果你的一个类或者模块在项目中没有用到它,恭喜你,可以从项目中剔除它或者排除它了,因为没有一个地方会依赖它 ...

  7. LPTHW 结束了

    基本上在学习了LPTHW的 类 继承 和 合成以后基本就结束. 后面几章都是根据web.py进行网页编程,以及自动化测试的.目前来看不太感兴趣. 稍后我可能找个实际项目进行锻炼下,比如 Crossin ...

  8. eclipse点不出方法

    window→preferences→java→editor→Content Assist→Advanced

  9. LAMP简易安装

    看,老鸟绕道–LAMP简易安装 导读 LAMP是企业中最常用的服务,也是非常稳定的网站架构平台.其中L-指的是Linux,A-指的是Apache,m-指的是mysql或者marriDB,p-php.相 ...

  10. PP生产订单创建、下达、报工、收货、投料

    转自http://blog.sina.com.cn/s/blog_69fb8eb60102vpjd.html SAP 物料订单创建.下达.报工.收货与投料(ABAP代码) (2015-06-03 22 ...