查看: 1803|回复: 0

[ASP.NET教程] asp.net mvc webapi 实用的接口加密方法示例

发表于 2018-1-3 08:00:01

在很多项目中,因为webapi是对外开放的,这个时候,我们就要得考虑接口交换数据的安全性。

安全机制也比较多,如andriod与webapi 交换数据的时候,可以走双向证书方法,但是开发成本比较大,

今天我们不打算介绍这方面的知识,我们说说一个较简单也较常见的安全交换机制

在这里要提醒读者,目前所有的加密机制都不是绝对的安全

我们的目标是,任何用户或者软件获取到我们的webapi接口url后用来再次访问该地址都是无效的!

达到这种目标的话,我们必须要在url中增加一个时间戳,但是仅仅如此还是不够,用户可以修改我们的时间戳!

因此我们可以对时间戳 进行MD5加密,但是这样依然不够,用户可以直接对我们的时间戳md5的哦,因些需要引入一个绝对安全

的双方约定的key,并同时加入其它参数进行混淆!

注意:这个key要在app里和我们的webapi里各保存相同的一份!

于是我们约定公式: 加密结果=md5(时间戳+随机数+key+post或者get的参数)

下面我们开始通过上述公式写代码:

于由我的环境是asp.net mvc 的,所以重写一个加密类ApiSecurityFilter

1、获取参数

  1. if (request.Headers.Contains("timestamp"))
  2. timestamp = HttpUtility.UrlDecode(request.Headers.GetValues("timestamp").FirstOrDefault());
  3. if (request.Headers.Contains("nonce"))
  4. nonce = HttpUtility.UrlDecode(request.Headers.GetValues("nonce").FirstOrDefault());
  5. if (request.Headers.Contains("signature"))
  6. signature = HttpUtility.UrlDecode(request.Headers.GetValues("signature").FirstOrDefault());
  7. if (string.IsNullOrEmpty(timestamp) || string.IsNullOrEmpty(nonce) || string.IsNullOrEmpty(signature))
  8. throw new SecurityException();
复制代码

2、判断时间戳是否超过指定时间

  1. double ts = 0;
  2. bool timespanvalidate = double.TryParse(timestamp, out ts);
  3. bool falg = (DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0)).TotalMilliseconds - ts > 60 * 1000;
  4. if (falg || (!timespanvalidate))
  5. throw new SecurityException();
复制代码

3、POST/DELETE/UPDATE 三种方式提取参数

  1. case "POST":
  2. case "PUT":
  3. case "DELETE":
  4. Stream stream = HttpContext.Current.Request.InputStream;
  5. StreamReader streamReader = new StreamReader(stream);
  6. sortedParams = new SortedDictionary<string, string>(new JsonSerializer().Deserialize<Dictionary<string, string>>(new JsonTextReader(streamReader)));
  7. break;
复制代码

4、GET 方式提取参数

  1. case "GET":
  2. IDictionary<string, string> parameters = new Dictionary<string, string>();
  3. foreach (string key in HttpContext.Current.Request.QueryString)
  4. {
  5. if (!string.IsNullOrEmpty(key))
  6. {
  7. parameters.Add(key, HttpContext.Current.Request.QueryString[key]);
  8. }
  9. }
  10. sortedParams = new SortedDictionary<string, string>(parameters);
  11. break;
复制代码

5、排序上述参数并拼接,形成我们要参与md5的约定公式中的第四个参数

  1. StringBuilder query = new StringBuilder();
  2. if (sortedParams != null)
  3. {
  4. foreach (var sort in sortedParams.OrderBy(k => k.Key))
  5. {
  6. if (!string.IsNullOrEmpty(sort.Key))
  7. {
  8. query.Append(sort.Key).Append(sort.Value);
  9. }
  10. }
  11. data = query.ToString().Replace(" ", "");
  12. }
复制代码

6、开始约定公式计算结果并对比传过的结果是否一致

  1. var md5Staff = Seedwork.Utils.CharHelper.MD5(string.Concat(timestamp + nonce + staffId + data), 32);
  2. if (!md5Staff.Equals(signature))
  3. throw new SecurityException();
复制代码

完整的代码如下:

  1. public class ApiSecurityFilter : ActionFilterAttribute
  2. {
  3. public override void OnActionExecuting(HttpActionContext actionContext)
  4. {
  5. var request = actionContext.Request;
  6. var method = request.Method.Method;
  7. var staffId = "^***********************************$";
  8. string timestamp = string.Empty, nonce = string.Empty, signature = string.Empty;
  9. if (request.Headers.Contains("timestamp"))
  10. timestamp = request.Headers.GetValues("timestamp").FirstOrDefault();
  11. if (request.Headers.Contains("nonce"))
  12. nonce = request.Headers.GetValues("nonce").FirstOrDefault();
  13. if (request.Headers.Contains("signature"))
  14. signature = request.Headers.GetValues("signature").FirstOrDefault();
  15. if (string.IsNullOrEmpty(timestamp) || string.IsNullOrEmpty(nonce) || string.IsNullOrEmpty(signature))
  16. throw new SecurityException();
  17. double ts = 0;
  18. bool timespanvalidate = double.TryParse(timestamp, out ts);
  19. bool falg = (DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0)).TotalMilliseconds - ts > 60 * 1000;
  20. if (falg || (!timespanvalidate))
  21. throw new SecurityException("timeSpanValidate");
  22. var data = string.Empty;
  23. IDictionary<string, string> sortedParams = null;
  24. switch (method.ToUpper())
  25. {
  26. case "POST":
  27. case "PUT":
  28. case "DELETE":
  29. Stream stream = HttpContext.Current.Request.InputStream;
  30. StreamReader streamReader = new StreamReader(stream);
  31. sortedParams = new SortedDictionary<string, string>(new JsonSerializer().Deserialize<Dictionary<string, string>>(new JsonTextReader(streamReader)));
  32. break;
  33. case "GET":
  34. IDictionary<string, string> parameters = new Dictionary<string, string>();
  35. foreach (string key in HttpContext.Current.Request.QueryString)
  36. {
  37. if (!string.IsNullOrEmpty(key))
  38. {
  39. parameters.Add(key, HttpContext.Current.Request.QueryString[key]);
  40. }
  41. }
  42. sortedParams = new SortedDictionary<string, string>(parameters);
  43. break;
  44. default:
  45. throw new SecurityException("defaultOptions");
  46. }
  47. StringBuilder query = new StringBuilder();
  48. if (sortedParams != null)
  49. {
  50. foreach (var sort in sortedParams.OrderBy(k => k.Key))
  51. {
  52. if (!string.IsNullOrEmpty(sort.Key))
  53. {
  54. query.Append(sort.Key).Append(sort.Value);
  55. }
  56. }
  57. data = query.ToString().Replace(" ", "");
  58. }
  59. var md5Staff = Seedwork.Utils.CharHelper.MD5(string.Concat(timestamp + nonce + staffId + data), 32);
  60. if (!md5Staff.Equals(signature))
  61. throw new SecurityException("md5Staff");
  62. base.OnActionExecuting(actionContext);
  63. }
  64. public override void OnActionExecuted(HttpActionExecutedContext actionExecutedContext)
  65. {
  66. base.OnActionExecuted(actionExecutedContext);
  67. }
  68. }
复制代码

7、最后在asp.net mvc 里加入配置上述类

  1. public static class WebApiConfig
  2. {
  3. public static void Register(HttpConfiguration config)
  4. {
  5. // Web API configuration and services
  6. config.Filters.Add(new ApiSecurityFilter());
  7. config.Filters.Add(new ApiHandleErrorAttribute());
  8. // Web API routes
  9. config.MapHttpAttributeRoutes();
  10. config.Routes.MapHttpRoute(
  11. name: "DefaultApi",
  12. routeTemplate: "api/{controller}/{id}",
  13. defaults: new { id = RouteParameter.Optional }
  14. );
  15. }
  16. }
复制代码

8、添加写入日志类

  1. public class ApiHandleErrorAttribute: ExceptionFilterAttribute
  2. {
  3. /// <summary>
  4. /// add by laiyunba
  5. /// </summary>
  6. /// <param name="filterContext">context oop</param>
  7. public override void OnException(HttpActionExecutedContext filterContext)
  8. {
  9. LoggerFactory.CreateLog().LogError(Messages.error_unmanagederror, filterContext.Exception);
  10. }
  11. }
复制代码

9、利用微信小程序测试接口

  1. var data = {
  2. UserName: username,
  3. Password: password,
  4. Action: 'Mobile',
  5. Sms: ''
  6. };
  7. var timestamp = util.gettimestamp();
  8. var nonce = util.getnonce();
  9. if (username && password) {
  10. wx.request({
  11. url: rootUrl + '/api/login',
  12. method: "POST",
  13. data: data,
  14. header: {
  15. 'content-type': 'application/json',
  16. 'timestamp': timestamp,
  17. 'nonce': nonce,
  18. 'signature': util.getMD5Staff(data, timestamp, nonce)
  19. },
  20. success: function (res) {
  21. if (res.data) {
复制代码

1)其中getMD5Staff函数:

  1. function getMD5Staff(queryData, timestamp, nonce) {
  2. var staffId = getstaffId();//保存的key与webapi同步
  3. var data = dictionaryOrderWithData(queryData);
  4. return md5.md5(timestamp + nonce + staffId + data);
  5. }
复制代码

2)dictionaryOrderWithData函数:

  1. function dictionaryOrderWithData(dic) {
  2. //eg {x:2,y:3,z:1}
  3. var result = "";
  4. var sdic = Object.keys(dic).sort(function (a, b) { return a.localeCompare(b) });
  5. var value = "";
  6. for (var ki in sdic) {
  7. if (dic[sdic[ki]] == null) {
  8. value = ""
  9. }
  10. else {
  11. value = dic[sdic[ki]];
  12. }
  13. result += sdic[ki] + value;
  14. }
  15. return result.replace(/\s/g, "");
  16. }
复制代码

10、测试日志

  1. LaiyunbaApp Error: 2 : 2017-10-18 09:15:25 Unmanaged error in aplication, the exception information is Exception:System.Security.SecurityException: 安全性错误。
  2. 在 DistributedServices.MainBoundedContext.FilterAttribute.ApiSecurityFilter.OnActionExecuting(HttpActionContext actionContext)
  3. 在 System.Web.Http.Filters.ActionFilterAttribute.OnActionExecutingAsync(HttpActionContext actionContext, CancellationToken cancellationToken)
  4. --- 引发异常的上一位置中堆栈跟踪的末尾 ---
  5. 在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
  6. 在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
  7. 在 System.Web.Http.Filters.ActionFilterAttribute.<ExecuteActionFilterAsyncCore>d__0.MoveNext()
  8. --- 引发异常的上一位置中堆栈跟踪的末尾 ---
  9. 在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
  10. 在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
  11. 在 System.Web.Http.Controllers.ActionFilterResult.<ExecuteAsync>d__2.MoveNext()
  12. --- 引发异常的上一位置中堆栈跟踪的末尾 ---
  13. 在 System.Runtime.CompilerServices.TaskAwaiter.ThrowForNonSuccess(Task task)
  14. 在 System.Runtime.CompilerServices.TaskAwaiter.HandleNonSuccessAndDebuggerNotification(Task task)
  15. 在 System.Web.Http.Controllers.ExceptionFilterResult.<ExecuteAsync>d__0.MoveNext()
  16. 失败的程序集的区域是:
  17. MyComputer
  18. LogicalOperationStack=2017-10-18 09:15:25
  19. 2017-10-18 09:15:25 DateTime=2017-10-18T01:15:25.1000017Z
  20. 2017-10-18 09:15:25 Callstack= 在 System.Environment.GetStackTrace(Exception e, Boolean needFileInfo)
  21. 在 System.Environment.get_StackTrace()
  22. 在 System.Diagnostics.TraceEventCache.get_Callstack()
  23. 在 System.Diagnostics.TraceListener.WriteFooter(TraceEventCache eventCache)
  24. 在 System.Diagnostics.TraceSource.TraceEvent(TraceEventType eventType, Int32 id, String message)
  25. 在 Infrastructure.Crosscutting.NetFramework.Logging.TraceSourceLog.TraceInternal(TraceEventType eventType, String message)
  26. 在 Infrastructure.Crosscutting.NetFramework.Logging.TraceSourceLog.LogError(String message, Exception exception, Object[] args)
  27. 在 System.Web.Http.Filters.ExceptionFilterAttribute.OnExceptionAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)
  28. 在 System.Web.Http.Filters.ExceptionFilterAttribute.<ExecuteExceptionFilterAsyncCore>d__0.MoveNext()
  29. 在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder.Start[TStateMachine](TStateMachine& stateMachine)
  30. 在 System.Web.Http.Filters.ExceptionFilterAttribute.ExecuteExceptionFilterAsyncCore(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)
  31. 在 System.Web.Http.Filters.ExceptionFilterAttribute.System.Web.Http.Filters.IExceptionFilter.ExecuteExceptionFilterAsync(HttpActionExecutedContext actionExecutedContext, CancellationToken cancellationToken)
  32. 在 System.Web.Http.Controllers.ExceptionFilterResult.<ExecuteAsync>d__0.MoveNext()
  33. 在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder`1.Start[TStateMachine](TStateMachine& stateMachine)
  34. 在 System.Web.Http.Controllers.ExceptionFilterResult.ExecuteAsync(CancellationToken cancellationToken)
  35. 在 System.Web.Http.ApiController.ExecuteAsync(HttpControllerContext controllerContext, CancellationToken cancellationToken)
  36. 在 System.Web.Http.Dispatcher.HttpControllerDispatcher.<SendAsync>d__1.MoveNext()
  37. 在 System.Runtime.CompilerServices.AsyncTaskMethodBuilder`1.Start[TStateMachine](TStateMachine& stateMachine)
  38. 在 System.Web.Http.Dispatcher.HttpControllerDispatcher.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
  39. 在 System.Net.Http.HttpMessageInvoker.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
  40. 在 System.Web.Http.Dispatcher.HttpRoutingDispatcher.SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
复制代码

至此,webapi加密工作已经全部完成,上述异常是直接访问url报的错误,必须在app环境下才可以正常访问。

总结:webapi加密机密很多,像微信小程序,用户很难拿到客户端app的源码,想知道我们的key也是无从说起。当然,我们也得定期更新app版本。

像app for andriod or ios 可以使用双向证书,或者使用我们上述的方式,然后加固app,防止不怀好意的人破解得到key,当然不管如何,我们首先要走的都是https协议!

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持程序员之家。



回复

使用道具 举报