webapi接口安全验证
其实跟大多数网上的方法一样,在前端请求头里加token,后台通过拦截器处理token数据,然后两边对比,如果一样就能通过,不一样就返回无权限。
前端测试代码如下:
@{
ViewBag.Title = "TestApiAouth";
}
<h2>测试</h2>
<form id="form">
<div>
<label class="form-control">PIC:</label>
<input id="pic" type="file" name="pic" class="form-control" />
</div>
<div>
<button id="test" type="button">测试</button>
</div>
</form>
@section scripts{
<script src="~/Scripts/md5.js"></script>
<script>
$(function () {
$("#test").on("click", function () {
var id=$("#id").val();
var name = $("#name").val();
var add_arr = new Array();
add_arr.push("method=AddSkin");
add_arr.push("appcode=PHRASE");
add_arr.push("name=一叶孤舟");
add_arr.push("type=background");
add_arr.push("font_color=");
add_arr.push("price=7000");
add_arr.push("state=0");
add_arr.push("description=轻风无意助孤舟,任尔飘摇任尔游。");
add_arr.push("forever=1");
add_arr.push("sale_start=");
add_arr.push("sale_end=" );
add_arr.push("timestamp=" +parseInt(new Date().getTime() / ( * *)));
add_arr.sort();
var n_sign = add_arr.join('&');
var sign = hex_md5(encodeURIComponent(n_sign).toUpperCase());
var formData = new FormData();
formData.append('pic', document.querySelector('#pic').files[]);
formData.append('appcode', "PHRASE");
formData.append('name', "一叶孤舟");
formData.append('type', "background");
formData.append('font_color', "");
formData.append('price', "");
formData.append('state', "");
formData.append('description', "轻风无意助孤舟,任尔飘摇任尔游。");
formData.append('forever', "");
formData.append('sale_start', "");
formData.append('sale_end', "");
$.ajax({
url: "http://localhost:51650/api/AppletShop/AdminShop/AddSkin",
type: "post",
dataType: "json",
data: formData,
headers: { "sign": sign },
processData: false,
contentType: false,
success: function (data) {
if (data.success) {
alert(data.message);
}
},
error: function (data) {
alert(data);
}
});
});
});
</script>
}
好吧,先不吐槽我的加密字符串的加入方式。。。
如上,我们需要的是将参数加入到一个集合,然后排序,然后拼接成一个字符串,然后转码,然后MD5加密。里面的时间戳是表示这个sign是有时限的。
然后是拦截器的代码:
public override void OnActionExecuting(HttpActionContext actionContext)
{
//如果不需要检测直接返回
if (!isCheck)
return;
ApiResult resultMsg = new ApiResult();
List<string> list_params = new List<string>();
string action_name = actionContext.ActionDescriptor.ActionName;
list_params.Add("method=" + action_name);
//参数在queryparam上
var action_params = actionContext.ActionArguments;
foreach (var param in action_params)
{
list_params.Add(param.Key + "=" + param.Value);
}
var headers = actionContext.Request.Content.Headers; //如果是multipart/form-data请求
if (actionContext.Request.Content.IsMimeMultipartContent())
{
System.Collections.ObjectModel.Collection<HttpContent> formdata=new System.Collections.ObjectModel.Collection<HttpContent> ();
Task.Factory.StartNew(() => formdata = actionContext.Request.Content.ReadAsMultipartAsync().Result.Contents, CancellationToken.None, TaskCreationOptions.LongRunning, TaskScheduler.Default).Wait();
foreach (var form in formdata)
{
//文件不加入到加密字符串中
if (Util.isNotNull(form.Headers.ContentDisposition.FileName))
{
continue;
}
var key = form.Headers.ContentDisposition.Name.Replace("\"", "");
string val = form.ReadAsStringAsync().Result;
list_params.Add(key + "=" + val);
}
}
if (Util.isNotNull(headers.ContentType))
{
//各种请求类型(目前只支持下面三种和上面的formdata)
if (headers.ContentType.ToString() == "application/json")
{
var result = actionContext.Request.Content.ReadAsStringAsync().Result;
list_params.Add(result);
}
else if (headers.ContentType.ToString() == "text/plain; charset=UTF-8")
{
var result = actionContext.Request.Content.ReadAsStringAsync().Result;
list_params.Add(result);
}
else if (headers.ContentType.ToString() == "application/x-www-form-urlencoded")
{
var result = actionContext.Request.Content.ReadAsStringAsync().Result;
var _params = result.Split('&');
list_params.AddRange(_params);
}
} //加时间戳
long timespan_now = Util.GetTimestamp(DateTime.Now);
list_params.Add("timestamp=" + timespan_now / ( * *));
list_params.Sort(); //排序
//需要加密的字段
string sign_string = string.Join("&", list_params);
//从header中读取sign,timestamp.sign是方法名与方法参数的集合排序后通过&连接的字符串
string sign = SignToken.GetSignByHeader(actionContext.Request.Headers, "sign");
//string timestamp = SignToken.GetSignByHeader(actionContext.Request.Headers, "timestamp");
//判断请求头是否包含以下参数
if (string.IsNullOrEmpty(sign))
{
resultMsg = new ApiResult { success = false, status = Util.ApiStatusCode.InvalidParam, message = "请求头中缺少参数数据!" };
}
else
{
//服务端加密后的参数
string server_sign = Util.MD5Encrypt(HttpUtility.UrlEncode(sign_string).ToUpper()).ToLower();
if (server_sign != sign)
{
resultMsg = new ApiResult { success = false, status = Util.ApiStatusCode.Unauthorized, message = "签名或者密钥错误!" };
}
else
{
resultMsg.success = true;
} }
if (!resultMsg.success)
{
//如果验证不通过,则返回授权错误,并且写入错误原因
actionContext.Response = actionContext.Request.CreateResponse(resultMsg);
}
else
{ base.OnActionExecuting(actionContext);
}
}
我拦截器的处理方式是以获取参数为核心,不管你是什么请求方法(get,post,delete,put),只要你传了参数,然后我需要保证前后端的参数是一致的。这里就做了几个限制。
1.请求是Get是没问题,其他请求只支持 multipart/form-data,application/json,application/x-www-form-urlencoded,text/plain; charset=UTF-8,目前这些对我来说是够用了。然后每种方式传参方式咯有不同,前后端统一就可以了。
2.当有文件时,文件字段是不加入到加密字符中的
然后在调试过程中遇到过一个问题。在multipart/form-data情况下,actionContext.Request.Content.ReadAsMultipartAsync().Result.Contents会发生死锁,然后前端就一直等啊等,解决方法如上。
另外还有其他办法 https://stackoverflow.com/questions/15201255/request-content-readasmultipartasync-never-returns
webapi接口安全验证的更多相关文章
- ASP.NET MVC WebApi接口授权验证
对于很任何多开发者来说,不管是使用任何一种框架,或者是使用任何一种语言,都要使用面向接口编程.使用面向接口编程的时候,那么就会有很多的权限验证,用户验证等等. 特别是对于一些系统来说,别人想要对接你的 ...
- 使用ASP.NET Identity 实现WebAPI接口的Oauth身份验证
使用ASP.NET Identity 实现WebAPI接口的Oauth身份验证 目前WEB 前后端分离的开发模式比较流行,之前做过的几个小项目也都是前后分离的模式,后端使用asp.net weba ...
- ASP.NET Core WebApi基于JWT实现接口授权验证
一.ASP.Net Core WebApi JWT课程前言 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再 ...
- ASP.NET WEBAPI 的身份验证和授权
定义 身份验证(Authentication):确定用户是谁. 授权(Authorization):确定用户能做什么,不能做什么. 身份验证 WebApi 假定身份验证发生在宿主程序称中.对于 web ...
- 关于WEB Service&WCF&WebApi实现身份验证之WCF篇(2)
因前段时间工作变动(换了新工作)及工作较忙暂时中断了该系列文章,今天难得有点空闲时间,就继续总结WCF身份验证的其它方法.前面总结了三种方法(详见:关于WEB Service&WCF& ...
- WebApi接口访问异常问题。尝试创建“testController”类型的控制器时出错。请确保控制器具有无参数公共构造函数
本来运行的好好的webAPI 接口突然报了个 :“尝试创建“testController”类型的控制器时出错.请确保控制器具有无参数公共构造函数” 错误.耗了半宿最终解决了, 原因: api控制器中引 ...
- WebAPI接口安全校验
通过网上查看相关WebAPI接口验证的方法,整理了一下,直接上代码,功能不复杂,有问题留言, //--------------------------------------------------- ...
- WebApi接口安全性 接口权限调用、参数防篡改防止恶意调用
背景介绍 最近使用WebApi开发一套对外接口,主要是数据的外送以及结果回传,接口没什么难度,采用WebApi+EF的架构简单创建一个模板工程,使用template生成一套WebApi接口,去掉put ...
- 跟我一起学.NetCore之熟悉的接口权限验证不能少(Jwt)
前言 权限管控对于一个系统来说是非常重要的,最熟悉不过的是菜单权限和数据权限,上一节通过Jwt实现了认证,接下来用它实现接口权限的验证,为什么不是菜单权限呢?对于前后端分离而言,称其为接口权限感觉比较 ...
随机推荐
- python-Debug、函数装饰器
Debug操作: 程序出问题的时候可以用debug来看一下代码运行轨迹,然后找找问题在哪里 1.先给即将debug的代码打上断点: 2.打完断点之后右键点击debug: 3.然后依次点击开始按钮让 ...
- 变量 + 数据类型(数字 + 字符串)(day03整理)
目录 一.上节课回顾 四 编程语言分类 (一) 机器语言 (二)汇编语言 (三) 高级语言 (四) 网络瓶颈效应 五.执行python程序两种方式 (一) 交互式(jupytre) (二) 命令行式( ...
- InitializingBean,spring 初始化bean
springframework的提供接口,InitializingBean接口为bean提供了初始化方法的方式,它只包括afterPropertiesSet方法,凡是继承该接口的类,在初始化bean的 ...
- OptimalSolution(2)--二叉树问题(2)BST、BBT、BSBT
一.判断二叉树是否为平衡二叉树(时间复杂度O(N)) 平衡二叉树就是:要么是一棵空树,要么任何一个节点的左右子树高度差的绝对值不超过1. 解法:整个过程为二叉树的后序遍历.对任何一个节点node来说, ...
- 第二十七章 system v消息队列(三)
消息队列实现回射客户/服务器 msg_srv.c #include <stdio.h> #include <stdlib.h> #include <unistd.h> ...
- 聊聊 Vue 中 provide/inject 的应用
众所周知,在组件式开发中,最大的痛点就在于组件之间的通信.在 Vue 中,Vue 提供了各种各样的组件通信方式,从基础的 props/$emit 到用于兄弟组件通信的 EventBus,再到用于全局数 ...
- OPTIONS 请求引发的分析
阅读提纲: 为什么会出现 OPTIONS 请求? 什么情况下会出现 OPTIONS 请求? OPTIONS 请求会发送什么内容? 跨域前端访问后端时,所有的 Ajax HTTP 请求都会先发送一个 O ...
- 前端与算法 leetcode 283. 移动零
目录 # 前端与算法 leetcode 283. 移动零 题目描述 概要 提示 解析 解法一:暴力法 解法二:双指针法 算法 传入[0,1,0,3,12]的运行结果 执行结果 GitHub仓库 # 前 ...
- 『题解』Coderforces352A Jeff and Digits
更好的阅读体验 Portal Portal1: Codeforces Portal2: Luogu Description Jeff's got n cards, each card contains ...
- Mybatis中多表关联时,怎么利用association优雅写resultMap来映射vo
前言 有好一阵没碰mybatis了,这次的项目基于性能考虑,选了mybatis,写着写着,发现有下面的需求,比如两表联查,取其中各一部分字段,怎么更方便地用vo来接,这里犯了难: 我想的是,因为这个s ...