2. 程式人生 > >ASP.NET Web API(三):安全驗證之使用摘要認證(digest authentication)

ASP.NET Web API(三):安全驗證之使用摘要認證(digest authentication)

阿新 發佈:2019-01-04

前一篇文章中,主要討論了使用HTTP基本認證的方法,因為HTTP基本認證的方式決定了它在安全性方面存在很大的問題,所以接下來看看另一種驗證的方式:digest authentication,即摘要認證。

系列文章列表

摘要認證原理

在基本認證的方式中,主要的安全問題來自於使用者資訊的明文傳輸,而在摘要認證中,主要通過一些手段避免了此問題,大大增加了安全性。

下圖為摘要驗證的驗證原理流程圖。

下面大致看一下這部分的驗證流程:

  1. 客戶端請求 /api/employees;
  2. 服務端返回401未驗證的狀態,並且在返回的資訊中包含了驗證方式Digest,realm的值,QOP(quality of protection
    )只設置成auth,nonce為一串隨機值,在下面的請求中會一直使用到,當過了存活期後服務端將重新整理生成一個新的nonce值;
  3. 客戶端接受到請求返回後,將username:realm:password進行HASH運算,假設運算後的值為HA1。又將請求的路徑/api/employees進行HASH運算,假設運算後的值為HA2。再將HA1:nonce:nc:cnonce:qop:HA2進行HASH運算,得到的值放在response中。這裡的cnonce為客戶端生成的nonce值,而nc用於統計,假設開始時為00000001,下次請求後就變成了00000002,不一定每次都加1,但是後面請求中的nc值肯定大於前一次請求中的nc值。
  4. 服務端收到請求後將驗證nonce是否過期,如果過期,那麼直接返回401,即第二步的狀態。如果沒有過期,那麼比較nc值,如果比前一次nc值小或者前一次根本沒有儲存的nc值,那麼也將直接返回401狀態。如果前面的驗證都通過,那麼服務端也將按照步驟3中計算最終HASH值的步驟計算出HASH值與客戶端的進行比較,然後比較客戶端提交過來的HASH值與服務端計算出來的HASH進行比較,不匹配返回401,匹配獲取請求的資料並返回狀態200。

摘要驗證主要就是通過上面的HASH比較的步驟避免掉了基本驗證中的安全性問題。

需要注意的是,如果需要IIS支援摘要驗證,需要把IIS摘要驗證的特性勾上。

摘要驗證的實現

在理解了摘要驗證的原理之後,只需要用程式碼實現即可。

判斷nonce是否過期的方法。

 1         public static bool IsValid(string nonce, string nonceCount)
 2         {
 3             Tuple<int, DateTime> cachedNonce = null;
 4             nonces.TryGetValue(nonce, out cachedNonce);
 5 
 6             if (cachedNonce != null) // nonce is found
 7             {
 8                 // nonce count is greater than the one in record
 9                 if (Int32.Parse(nonceCount) > cachedNonce.Item1)
10                 {
11                     // nonce has not expired yet
12                     if (cachedNonce.Item2 > DateTime.Now)
13                     {
14                         // update the dictionary to reflect the nonce count just received in this request
15                         nonces[nonce] = new Tuple<int, DateTime>(Int32.Parse(nonceCount),
16                                                                                                             cachedNonce.Item2);
17 
18                         // Every thing looks ok - server nonce is fresh and nonce count seems to be 
19                         // incremented. Does not look like replay.
20                         return true;
21                     }
22                 }
23             }
24 
25             return false;
26         }
判斷nonce是否過期的程式碼

下面為摘要驗證實現的核心方法

 1 namespace DigestAuthentication
 2 {
 3     public class AuthenticationHandler : DelegatingHandler
 4     {
 5         protected async override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request, CancellationToken cancellationToken)
 6         {
 7             try
 8             {
 9                 var headers = request.Headers;
10                 if (headers.Authorization != null)
11                 {
12                     Header header = new Header(request.Headers.Authorization.Parameter,
13                                                                                                                       request.Method.Method);
14 
15                     if (Nonce.IsValid(header.Nonce, header.NounceCounter))
16                     {
17                         // Just assuming password is same as username for the purpose of illustration
18                         string password = header.UserName;
19 
20                         string ha1 = String.Format("{0}:{1}:{2}", header.UserName, header.Realm,
21                                                                                                                              password).ToMD5Hash();
22 
23                         string ha2 = String.Format("{0}:{1}", header.Method, header.Uri).ToMD5Hash();
24 
25                         string computedResponse = String
26                                       .Format("{0}:{1}:{2}:{3}:{4}:{5}",
27                                             ha1, header.Nonce, header.NounceCounter,
28                                                                                          header.Cnonce, "auth", ha2).ToMD5Hash();
29 
30                         if (String.CompareOrdinal(header.Response, computedResponse) == 0)
31                         {
32                             // digest computed matches the value sent by client in the response field.
33                             // Looks like an authentic client! Create a principal.
34                             var claims = new List<Claim>
35                             {
36                                             new Claim(ClaimTypes.Name, header.UserName),
37                                             new Claim(ClaimTypes.AuthenticationMethod, AuthenticationMethods.Password)
38                             };
39 
40                             var principal = new ClaimsPrincipal(new[] { new ClaimsIdentity(claims, "Digest") });
41 
42                             Thread.CurrentPrincipal = principal;
43 
44                             if (HttpContext.Current != null)
45                                 HttpContext.Current.User = principal;
46                         }
47                     }
48                 }
49 
50                 var response = await base.SendAsync(request, cancellationToken);
51 
52                 if (response.StatusCode == HttpStatusCode.Unauthorized)
53                 {
54                     response.Headers.WwwAuthenticate.Add(new AuthenticationHeaderValue("Digest",
55                                                                                      Header.UnauthorizedResponseHeader.ToString()));
56                 }
57 
58                 return response;
59             }
60             catch (Exception)
61             {
62                 var response = request.CreateResponse(HttpStatusCode.Unauthorized);
63                 response.Headers.WwwAuthenticate.Add(new AuthenticationHeaderValue("Digest",
64                                                                                        Header.UnauthorizedResponseHeader.ToString()));
65 
66                 return response;
67             }
68         }
69     }
70 
71 }
摘要驗證實現的核心方法

實現完成後,使用摘要驗證只需要在對應的方法加上[Authorize]屬性標籤即可。

摘要驗證的優缺點

摘要驗證很好地解決了使用基本驗證所擔心的安全性問題。

但是永遠沒有絕對的安全,當用戶使用字典進行窮舉破解時,還是會存在一些被破解的隱患。

原始碼下載

編輯器裡怎麼找不到上傳檔案的地方了?我上傳到了百度網盤裡。

原始碼下載

相關推薦

ASP.NET Web API安全驗證使用摘要認證(digest authentication)

在前一篇文章中,主要討論了使用HTTP基本認證的方法,因為HTTP基本認證的方式決定了它在安全性方面存在很大的問題,所以接下來看看另一種驗證的方式:digest authentication,即摘要認證。 系列文章列表 摘要認證原理 在基本認證的方式中,主要的安全問題來自於使用者資訊的明文傳輸,而

ASP.NET Web API安全驗證使用HTTP基本認證

在前一篇文章ASP.NET Web API(一):使用初探,GET和POST資料中,我們初步接觸了微軟的REST API: Web API。 我們在接觸了Web API的後就立馬發現了有安全驗證的需求,所以這篇文章我們先來討論下安全驗證一個最簡單的方法:使用HTTP基本

探秘如何操作 ASP.NET Web API

asp ajax請求 log pic margin div 判斷 out turn 經過我三篇文章的解惑,webapi我相信大家沒有問題了! 先創建了一個UserModel public class UserModel { public string UserI

Asp.Net Web API

default exceptio 服務器 路由 回復 事情 http響應 images art 創建一個Web API項目 第一步,創建以下項目 當然,你也可以創建一個Web API項目,利用 Web API模板,Web API模板使用 ASP.Net MVC提供AP

ASP.NET Core系列啟動類Startup

前面講了ASP.NET Core 的專案結構,檢視完整的ASP.NET Core系列文章:https://www.cnblogs.com/zhangweizhong/category/1477144.html ASP.NET Core 裡面一個比較重要的就是Startup.cs 類,包括載入配置,

ASP.NET Web API與Owin OAuth使用Access Toke呼叫受保護的API

在前一篇博文中,我們使用OAuth的Client Credential Grant授權方式,在服務端通過CNBlogsAuthorizationServerProvider(Authorization Server的一個實現)成功發放了Access Token,並在客戶

使用 ASP.NET Core MVC 創建 Web API

image web 應用 示例 fire kit font 應用程序 html 運行 原文:使用 ASP.NET Core MVC 創建 Web API(三)使用 ASP.NET Core MVC 創建 Web API 使用 ASP.NET Core MVC 創建 Web

使用PrefView監測.NET程式效能分組

在上一篇部落格中,我們通過Perfview幫助檔案中自帶的程式碼來簡單使用了Perfview,瞭解了基本操作。現在來看看Perfview中的分組操作(Grouping)。分組功能都旨將記錄到的各種函式呼叫堆疊以指定的規則進行分組,幫助你組織和找到更關心的資料。 為什麼需要分組  在實際使用中,P

ASP.NET MVC 學習-- MVC中的資料夾

MVC 程式設計模型 MVC 是用於構建 web 應用程式的一種框架,使用 MVC (Model View Controller) 設計: Model(模型)表示應用程式核心(比如資料庫記錄列表) View(檢視)對資料(資料庫記錄)進行顯示 Controller(控

Django編寫RESTful API基於類的檢視

歡迎訪問我的個人網站:www.comingnext.cn 前言 在上一篇文章中,主要講的是請求和響應,專案裡面views.py中的檢視函式都是基於函式的,並且我們介紹了@api_view這個很有用的裝飾器。同時,我們還介紹了APIView這個類,但是還沒使用它。在這篇文章中

Asp.NET Web API 2系列(一)初識Web API及手動搭建基本框架

 1.導言 隨著Web技術的發展,現在各種框架,前端的,後端的,數不勝數。全棧工程師的壓力越來越大。 PC端,pad端,移動端App(安卓/IOS)的發展,使得前後端一體的開發模式十分笨重。因此,前後端分離是web發展的趨勢,其中,RESTful API是目前前後端分離的最佳實踐,ASP

Asp.NET Web API 2系列(二)靈活多樣的路由配置

1. 導言 路由系統是請求訊息進入ASP.NET Web API訊息處理管道的第一道屏障,其根本目的在於利用註冊的路由對請求的URL進行解析以確定目標HTTPController和Action的名稱,以及與目標Action方法某個引數進行繫結的路由變數。 WebService和WCF的協議都是soap協議

ASP.NET Core系列建立第一個.Net Core 專案

前面講過 .NET Core簡介及開發環境安裝,本章會講一講ASP.NET Core 2.0的專案結構,檢視完整的ASP.NET Core系列文章:https://www.cnblogs.com/zhangweizhong/category/1477144.html   新建專案 新建專案,

ASP.NET Web API 2系列(四)基於JWT的token身份認證方案

## 1.引言 通過前邊的系列教程,我們可以掌握WebAPI的初步運用,但是此時的API介面任何人都可以訪問,這顯然不是我們想要的,這時就需要控制對它的訪問,也就是WebAPI的許可權驗證。驗證方式非常多,本文就重點介紹一種常用的驗證方式:基於JWT的token身份認證方案。 ## 2.前期回顧 [Web A

微服務 SpringBoot 2.0啟動剖析@SpringBootApplication

我原以為就一個註解,背後竟然還有3個 —— Java面試必修 引言 前面兩章我們先後認識了SpringBoot和它的極簡配置,為新手入門的學習降低了門檻,會基本的使用後,接下來我們將進一步認識SpringBoot,它為何能做到服務秒開,就來跟隨我一起分析SpringBoot執行啟動的原理吧。 啟動原理分2

android 電容屏驅動除錯驅動程式分析篇

關鍵詞:android  電容屏 tp 工作佇列 中斷 坐點計算  電容屏主要引數 平臺資訊: 核心:linux2.6/linux3.0 系統:android/android4.0  平臺:S5PV310(samsung exynos 4210)  作者:xubin3417

Python併發程式設計網路程式設計粘包現象

目錄 一、什麼是粘包 須知:只有TCP有粘包現象,UDP永遠不會粘包 粘包不一定會發生 如果發生了:1.可能是在客戶端已經粘了       2.客戶端沒有粘,可能是在服務端粘了 首先需要掌握一個socket收發訊息的原理 應用

程式設計師網路安全系列資料加密對稱加密演算法

系列目錄: 前文回顧 假如,明明和麗麗相互不認識,明明想給麗麗寫一封情書,讓隔壁老王送去 如何保證隔壁老王不能看到情書內容?(保密性) 如何保證隔壁老王不修改情書的內容?(完整性) 如何保證隔壁老王不冒充明明?(身份認證) 如何保證明明不能否認情書是自己寫的?(來源的不可否認) 上一節,我們使用了Ha

ASP.NET學習筆記——一般處理程式圖片上傳

簡單圖片上傳功能 目標:實現從本地磁碟讀取圖片檔案,展示到瀏覽器頁面。 步驟: (1). 首先建立一個用於上傳圖片的HTML模板,命名為ImageUpload.html: <!DOCTYPE html> <html> <h

Flume快速入門File Channel寫Event

       有了前兩篇博文的基礎,相信大家對Flume Agent的內部結構已經有了個初步的瞭解,現在我們來詳細介紹最常用的檔案通道——File Channel,本篇部落格主要介紹Eevnt是如何完成寫到File Channel這一操作的。        Channel是聯絡Source和Sink的橋