使用過濾器對mvc api接口安全加密

阿新 • • 發佈：2018-01-23

display 控制 aspnet 示例 .com res 過度設計 sys req

asp.net api接口安全

安全要求：

b1.防偽裝攻擊（案例：在公共網絡環境中，第三方有意或惡意的調用我們的接口）

b2.防篡改攻擊（案例：在公共網絡環境中，請求頭/查詢字符串/內容在傳輸過程被修改）

b3.防重放攻擊（案例：在公共網絡環境中，請求被截獲，稍後被重放或多次重放）

b4.防數據信息泄漏（案例：截獲用戶登錄請求，截獲到賬號、密碼等）

設計原則

1.輕量級

2.適合於異構系統（跨操作系統、多語言簡易實現）

3.易於開發

4.易於測試

5.易於部署

6.滿足接口安全需求（滿足b1 b2 b3要求），無過度設計。

其它：接口安全要求b4部分，主要針對目前用戶中心的登錄接口

設計原則是：使用HTTPS安全協議或傳輸內容使用非對稱加密，目前我們采用的後者

適用範圍

1.所有寫操作接口（增、刪、改操作）

2.非公開的讀接口（如：涉密/敏感/隱私等信息）

api 接口安全驗證過濾器代碼

using System;
using System.Collections.Generic;
using System.IO;
using System.Text;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Filters;
using test.Models;
 
using TEST.Common;

namespace test.Filters
{
    /*
     * 第一步：登錄系統，獲取appkey
     * 第二步：http請求頭headers加入字段appid,sign,timestamp三個字段，appid：用戶名，sign：簽名值（後面詳細解說），timestamp：當前時間戳 ，如：2017/12/12 17:11:9 值為： 1513069869
     * 第三步：把業務請求的參數傳入到http消息體Body(x-www-form-urlencoded)
     * 第四步：計算sign值,對除簽名外的所有請求參數按 參數名+值 做的升序排列,value值無需編碼
     * 整個流程示例如下：
     *      appkey=D9U7YY5D7FF2748AED89E90HJ88881E6 (此參數不需要排序，而是加在文本開頭和結尾處)
     * headers參數如下
     *      appid=user1
     *      sign=???
     *      timestamp=1513069265
     * body參數如下
     *      par1=52.8
     *      par2=這是一個測試參數
     *      par3=852
     * 
     * 1）按 參數名+值 以升序排序，結果：appiduser1par152.8par2這是一個測試參數par3852timestamp1513069265
     * 2）在本文開頭和結尾加上登錄時獲取的appkey 結果為：D9U7YY5D7FF2748AED89E90HJ88881E6appiduser1par152.8par2這是一個測試參數par3852timestamp1513069265D9U7YY5D7FF2748AED89E90HJ88881E6
     * 3）對此文本進行md5 32位 大寫 加密，此時就是sign值  結果為：B44C81F3DF4D5E8A614C84977D33E8D2  
      
*/

    /// <summary>
    /// api接口加密身份驗證過濾器
    /// </summary>
    public class VerificationFilters : IAuthorizationFilter
    {
        /// <summary>
        /// 接口簽名驗證
        /// </summary>
        /// <param name="context"></param>
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            ModelResult modelResult = new ModelResult();
            //參數判斷
            if (!context.HttpContext.Request.Headers.ContainsKey("appid"))
            {
                modelResult.code = -1;
                modelResult.message = "缺少appid參數!";
                JsonResult json = new JsonResult(modelResult);
                context.Result = json;
            }
            else if (!context.HttpContext.Request.Headers.ContainsKey("sign"))
            {
                modelResult.code = -1;
                modelResult.message = "缺少sign參數!";
                JsonResult json = new JsonResult(modelResult);
                context.Result = json;
            }
            else if (!context.HttpContext.Request.Headers.ContainsKey("timestamp"))
            {
                modelResult.code = -1;
                modelResult.message = "缺少timestamp參數!";
                JsonResult json = new JsonResult(modelResult);
                context.Result = json;
            }
            else
            {
                string appid = context.HttpContext.Request.Headers["appid"];
                string sign = context.HttpContext.Request.Headers["sign"];
                string timestamp = context.HttpContext.Request.Headers["timestamp"];
                DateTime requestTime = DateTimeHelper.GetTime(timestamp);
                // 接口過期
                int apiExpiry = 20;
                if (requestTime.AddSeconds(apiExpiry) < DateTime.Now)
                {
                    modelResult.code = -3;
                    modelResult.message = "接口過期!";
                    JsonResult json = new JsonResult(modelResult);
                    context.Result = json;
                }
                else
                {
                    //從數據庫或緩存查找對應的appkey,
                    string appkey = "fdsafdsafdsafasdfasdf";

                    if (!string.IsNullOrEmpty(appkey))
                    {
                        modelResult.code = -4;
                        modelResult.message = "appid不存在!";
                        JsonResult json = new JsonResult(modelResult);
                        context.Result = json;
                        return;
                    }
                    //是否合法判斷
                    SortedDictionary<string, string> sortedDictionary = new SortedDictionary<string, string>();
                    sortedDictionary.Add("appid", appid);
                    sortedDictionary.Add("timestamp", timestamp);
                    //獲取post數據,並排序
                    Stream stream = context.HttpContext.Request.Body;
                    byte[] buffer = new byte[context.HttpContext.Request.ContentLength.Value];
                    stream.Read(buffer, 0, buffer.Length);
                    string content = Encoding.UTF8.GetString(buffer);
                    context.HttpContext.Request.Body = new MemoryStream(buffer);
                    if (!String.IsNullOrEmpty(content))
                    {
                        string postdata = System.Web.HttpUtility.UrlDecode(content);
                        string[] posts = postdata.Split(new char[] { ‘&‘ });
                        foreach (var item in posts)
                        {
                            string[] post = item.Split(new char[] { ‘=‘ });
                            sortedDictionary.Add(post[0], post[1]);
                        }
                    }
                    //拼接參數，並在開頭和結尾加上key
                    StringBuilder sb = new StringBuilder(appkey);
                    foreach (var item in sortedDictionary)
                    {
                        sb.Append(item.Key).Append(item.Value);
                    }
                    sb.Append(appkey);
                    if (sign != CryptographyHelper.Md5_Encryption(sb.ToString()))
                    {
                        modelResult.code = -2;
                        modelResult.message = "簽名不合法!";
                        JsonResult json = new JsonResult(modelResult);
                        context.Result = json;
                    }
                }
            }
        }
    }
}

View Code

使用方式

using Microsoft.AspNetCore.Mvc;
using test.Filters;

namespace TEST.Controllers
{
    [TypeFilter(typeof(VerificationFilters))]
    public class HomeController : Controller
    {
        //此接口就使用接口驗證過濾器，從控制器上繼承下來的        
        public IActionResult Index()
        {
            return Json("aa");
        }

        //此接口就使用接口驗證過濾器，在action頭標記了過濾器,可單獨作用於action
        [TypeFilter(typeof(VerificationFilters))]
        public IActionResult Index2()
        {
            return Json("aa");
        }        
    }
}

View Code

調用檢證接口示例

/// <summary>
        /// 
        /// </summary>
        /// <param name="appid">身份碼</param>
        /// <param name="appkey">驗證碼</param>
        /// <param name="timestamp">時間</param>
        /// <param name="role">角色</param>
        /// <param name="identity">設備碼</param>
        /// <param name="version">版本</param>
        /// <param name="data">數據</param>
        /// <returns></returns>
        [HttpPost]
        public IActionResult api(string appid, string appkey, int timestamp, int role, int identity, string version, string data)
        {
            if (timestamp == 0)
            {
                timestamp = DateTimeHelper.ConvertDateTimeInt(DateTime.Now);
            }
            SortedDictionary<string, string> sortedDictionary = new SortedDictionary<string, string>();
            sortedDictionary.Add("appid", appid);
            sortedDictionary.Add("timestamp", timestamp.ToString());
            sortedDictionary.Add("role", role.ToString());
            sortedDictionary.Add("identity", identity.ToString());
            sortedDictionary.Add("version", version);
            string val = "";
            try
            {
                string[] dataitem = data.Split("\r\n");
                foreach (var item in dataitem)
                {
                    string[] tmp = item.Split(‘=‘);
                    sortedDictionary.Add(tmp[0], tmp[1]);
                }
            }
            catch (Exception)
            {
                val = "data數據格式有問題!";
                ViewBag.Data = val;
                return View();
            }
            StringBuilder sb = new StringBuilder(appkey);
            foreach (var p in sortedDictionary)
                sb.Append(p.Key).Append(p.Value);
            sb.Append(appkey);
            string sign = CryptographyHelper.Md5_Encryption(sb.ToString());
            val = $" appid:{appid}\r\n sign:{sign}\r\n timestamp:{timestamp}\r\n {data}";
            ViewBag.Data = val;
            return View();
        }

View Code

源碼下載地址 https://files.cnblogs.com/files/fengmazi/test.rar

技術在於分享,大家共同進步

使用過濾器對mvc api接口安全加密

display 控制 aspnet 示例 .com res 過度設計 sys req asp.net api接口安全安全要求： b1.防偽裝攻擊（案例：在公共網絡環境中，第三方有意或惡意的調用我們的接口） b2.防篡改攻擊（案例：在公共網絡環境中，請求頭/查詢字

asp.net web api 接口安全與角色控制

unix時間戳客戶 unix時間 space nal gui 接口安全不同的 ict 1 API接口驗證與授權 JWT JWT定義，它包含三部分：header，payload，signature；每一部分都是使用Base64編碼的JSON字符串。之間以句號分隔。sign

PHP開發api接口安全驗證

ech urn 地址 8.0 exit add nsf 驗證隨機生成 php的api接口在實際工作中，使用PHP寫api接口是經常做的，PHP寫好接口後，前臺就可以通過鏈接獲取接口提供的數據，而返回的數據一般分為兩種情況，xml和json,在這個過程中，服務器並不知道，

WEBAPI使用過濾器對API接口進行驗證

anon log req code oid 是否 func parameter html 用戶登錄控制器：[ActionFilter]自定義過濾器用戶信息：var userData = new JObject(); userData.A

Api接口通用安全策略及實現-OSS.Core

參數 num 我會信息簽名算法活躍度 webapi 參與　　這篇文章一直說寫，遲遲沒有動手，這兩天看到一些應用接口數據被別人爬蟲、短信接口被人高頻率請求攻擊等案列，感覺簡單概述分享一下接口安全驗證還是有必要的。畢竟當下基本都以客戶端應用為主，如果前期疏忽，發布之後

django-rest-swagger對API接口註釋

port self. auth bubuko all 註意 image url sch Swagger是一個API開發者的工具框架，用於生成、描述、調用和可視化RESTful風格的Web服務。總體目標是使客戶端和文件系統服務器以同樣的速度來更新，方法，參數和模型緊密集成到服

API 接口認證與傳輸數據加密

目的 style 整數 req ngs 小數 params content 場景應用場景 cmdb 這類項目的資產入庫等操作，當agent 與server 端通過api 進行數據交互時，為了安全采取了兩項安全措施：1、server 端需要對agent 端進行身份驗證（避

Spring Boot Security 整合 OAuth2 設計安全API接口服務

count extend 說明 3-9 服務 inno lang wired matches 簡介 OAuth是一個關於授權（authorization）的開放網絡標準，在全世界得到廣泛應用，目前的版本是2.0版。本文重點講解Spring Boot項目對OAuth2進行的實

身份證歸屬地查詢免費api接口代碼

stat print instance private auth content dom c99 first 描寫敘述：依據身份證編號查詢歸屬地信息。身份證實體類： package org.wx.xhelper.model; /** * 身份證實體類 * @

C++傳智筆記（6）：socket客戶端發送報文接受報文的api接口

內存泄露 rcp 分配內存 strcpy light cpp tac 第三方 _file__ #define _CRT_SECURE_NO_WARNINGS #include "stdio.h" #include "stdlib.h" #include "string.

利用JMeter的beanshell進行接口的加密處理

ces 發送請求 href value 一次 ava 自動化測試 code 計劃最近項目中在做http協議的接口測試，其中接口請求報文數據有個字段值需要用到加密後的簽名，即出於網絡傳輸過程中，對數據安全的考慮，要對請求的數據進行特定的處理（加密），再進行請求。

支護寶api接口開發

ppa target key 工作 exceptio pem文件 code att 服務支付寶的接口和微信的DEMO和文檔真心太難看懂了，亂七八糟，都不知道去哪裏找自己要的東西，最近幾天我們公司需要做類似的開發，我作為先鋒，率先解決Java集成支付寶支付和微信支付接口

利用Metaweblog技術的API接口同步到多個博客網站（詳細）

other pla 呵呵博客 ice nload -1 china 簡單很早就有這個想法：自己有時候會用到多個博客，有些博客在一個網站上寫完之後，要同步到其他博客網站，自己只能復制粘貼，感覺特別沒意思，復制粘貼的麻木了。一直在想有哪些技術能實現一次寫博，多站同步。最近網

微信小程序API接口

delete func data- nec soft 服務 res data ole 微信小程序API接口 wx.request(OBJECT) wx.request發起的是 HTTPS 請求。 OBJECT參數說明： url->開發者服務器接口地址->St

[面向對象雜談]接口與多態

定義變量 img 面向對象編程 oop 陌生繼承工作中學 mage 人總是很忙的，但是一個人就是一個人，不存在分身術。假設有個人王大柱，他是光明中學的校長，還是光明村的村委會成員，同時還是他兒子的父親。那麽我們可以這麽想：王大柱是一個類的具體的實現對象，這類名叫“

Saltstack的API接口與調用方式

ebs ports 主動 get api -a 網上函數出了 saltstack看起來是成為一個大規模自己主動化運維和雲計算管理的一個框架,類似於SDK,並非像puppet僅僅成為一個工具.基於良好設計的API和清楚的思路,讓salt的二次開發變得非常easy.寫

各開放平臺API接口通用 SDK 前言

源代碼管理開始安全簽名開放平臺用戶下使用請求參數以及 XML 最近兩年一直在做API接口相關的工作，在平時工作中以及網上看到很多剛接觸API接口調用的新人一開始會感到很不適應，包括自己剛開始做API接口調用的相關工作時，也是比較抓狂的，所有寫一序列

python之面向對象（接口和抽象類）

抽取高層 per 常常 typeerror app 具體細節同仁接口一、接口什麽是接口繼承有兩種用途： 1：繼承基類的方法，並且做出自己的改變或者擴展（代碼重用）。 2：聲明某個子類兼容於某基類，定義一個接口類Interface，接口類中定義了一些接口名（就是函

違章查詢免費api接口代碼

實體類禁止 ngx dsm req tostring tail pop urn 能夠依據城市+車牌號+發動機號查詢違章信息列表。違章實體類 package org.wx.xhelper.model; /** * 違章實體類 *

征信接口之淘寶API接口

淘寶接口小貸公司對用戶征信數據的把控只能依賴傳統的央行征信這一單一維度，當需要驗證用戶購買力、住址穩定性、工作單位地址等特征時，往往會很無力。貸款用戶的淘寶數據包含了貸款人的消費能力、收貨地址穩定性等特征，在已有的技術方案上，要獲取淘寶數據需自行研發爬蟲，將碰到以下困難：1 淘寶登錄機制的破解，具體表現在破解

使用過濾器對mvc api接口安全加密

安全要求：

設計原則

適用範圍

相關推薦