2. 程式人生 > >WebAPi介面安全之公鑰私鑰加密

WebAPi介面安全之公鑰私鑰加密

阿新 發佈:2019-02-05

WebAPi使用公鑰私鑰加密介紹和使用

隨著各種裝置的興起,WebApi作為服務也越來越流行。而在無任何保護措施的情況下介面完全暴露在外面,將導致被惡意請求。最近專案的專案中由於提供給APP的介面未對介面進行時間防範導致簡訊介面被怒對造成一定的損失,臨時的措施導致PC和app的防止措施不一樣導致後來前端呼叫相當痛苦,選型過oauth,https,當然都被上級未通過,那就只能自己寫了,就很,,ԾㅂԾ,,。下面就此次的方式做一次記錄。最終的效果:傳輸過程中都是密文,別人拿到請求串不能更改請求引數,通過介面過期時間防止同一請求串一直被呼叫。

   第一步重寫MessageProcessingHandler中的ProcessRequest和ProcessResponse

無論是APi還是Mvc請求管道都提供了我們很好的去擴充套件,本次說的是api,其實mvc大概意思也是差不多的。我們現在主要寫出大致流程

從圖中可以看出我們需要在MessageProcessingHandlder上做處理。我們繼承MessageProcessingHandlder重寫ProcessRequest和ProcessResponse方法,從方法名可以看出一個是針對請求值處理,一個是針對返回值處理程式碼如下:

public class CustomerMessageProcesssingHandler : MessageProcessingHandler
    {
        protected override HttpRequestMessage ProcessRequest(HttpRequestMessage request, CancellationToken cancellationToken)
        {
            var contentType = request.Content.Headers.ContentType;

            if (!request.Headers.Contains("platformtype"))
            {
                return request;
            }
            //根據平臺編號獲得對應私鑰
            string privateKey = Encoding.UTF8.GetString(Convert.FromBase64String(ConfigurationManager.AppSettings["PlatformPrivateKey_" + request.Headers.GetValues("platformtype").FirstOrDefault()]));
            if (request.Method == HttpMethod.Post)
            {
                // 讀取請求body中的資料
                string baseContent = request.Content.ReadAsStringAsync().Result;
                // 獲取加密的資訊
                // 相容 body: 加密資料  和 body: sign=加密資料
                baseContent = Regex.Match(baseContent, "(sign=)*(?<sign>[\\S]+)").Groups[2].Value;
                // 用加密物件解密資料
                baseContent = CommonHelper.RSADecrypt(privateKey, baseContent);
                // 將解密後的BODY資料 重置
                request.Content = new StringContent(baseContent);
                //此contentType必須最後設定 否則會變成預設值
                request.Content.Headers.ContentType = contentType;
            }
            if (request.Method == HttpMethod.Get)
            {
                string baseQuery = request.RequestUri.Query;
                // 讀取請求 url query資料
                baseQuery = baseQuery.Substring(1);
                baseQuery = Regex.Match(baseQuery, "(sign=)*(?<sign>[\\S]+)").Groups[2].Value;
                baseQuery = CommonHelper.RSADecrypt(privateKey, baseQuery);
                // 將解密後的 URL 重置URL請求
                request.RequestUri = new Uri($"{request.RequestUri.AbsoluteUri.Split('?')[0]}?{baseQuery}");
            }
            return request;
        }
        protected override HttpResponseMessage ProcessResponse(HttpResponseMessage response, CancellationToken cancellationToken)
        {
            return response;
        }
    }

上面的程式碼大部分已經有註釋了,但這裡說明三點第一:platformtype用來針對不同的平臺設定不同的公鑰和私鑰;第二:在post方法中ContentType一定要最後設定,否則會成為預設值,這個問題會導致webapi不能進行正確的引數繫結;第三:有人可能會問這裡ProcessResponse是不是可以不用重寫?答案是必須重寫如果不想對結果操作直接返回就如上當然你也可以在此對返回值進行加密,但是個人認為意義不大,看具體情況因為大部分資料加密後前端還是需要解密然後展示所以此處不做任何處理。在這一步我們已經對前端請求的加密串在handler中處理成明文重新賦值給HttpRequestMessage。

  第二步重寫AuthorizeAttribute中OnAuthorization和HandleUnauthorizedRequest


上圖是Api中Filter的請求順序,我們在第一個Filter上處理,程式碼如下: 
public class CustomRequestAuthorizeAttribute : AuthorizeAttribute
    {

        public override void OnAuthorization(HttpActionContext actionContext)
        {
            //action具有[AllowAnonymous]特性不參與驗證
            if (actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>().Any(x => x is AllowAnonymousAttribute))
            {
                base.OnAuthorization(actionContext);
                return;
            }
            var request = actionContext.Request;
            string method = request.Method.Method, timeStamp = string.Empty, expireyTime = ConfigurationManager.AppSettings["UrlExpireTime"], timeSign = string.Empty, platformType = string.Empty;
            if (!request.Headers.Contains("timesign") || !request.Headers.Contains("platformtype") || !request.Headers.Contains("timestamp") || !request.Headers.Contains("expiretime"))
            {
                HandleUnauthorizedRequest(actionContext);
                return;
            }
            platformType = request.Headers.GetValues("platformtype").FirstOrDefault();
            timeSign = request.Headers.GetValues("timesign").FirstOrDefault();
            timeStamp = request.Headers.GetValues("timestamp").FirstOrDefault();
            var tempExpireyTime = request.Headers.GetValues("expiretime").FirstOrDefault();
            string privateKey = Encoding.UTF8.GetString(Convert.FromBase64String(ConfigurationManager.AppSettings[$"PlatformPrivateKey_{platformType}"]));
            if (!SignValidate(tempExpireyTime, privateKey, timeStamp, timeSign))
            {
                HandleUnauthorizedRequest(actionContext);
                return;
            }
            if (tempExpireyTime != "0")
            {
                expireyTime = tempExpireyTime;
            }
            //判斷timespan是否有效
            double ts2 = ConvertHelper.ToDouble((DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0)).TotalMilliseconds, 2), ts = ts2 - ConvertHelper.ToDouble(timeStamp);
            bool falg = ts > int.Parse(expireyTime) * 1000;
            if (falg)
            {
                HandleUnauthorizedRequest(actionContext);
                return;
            }
            base.IsAuthorized(actionContext);
        }
        protected override void HandleUnauthorizedRequest(HttpActionContext filterContext)
        {
            base.HandleUnauthorizedRequest(filterContext);

            var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage();
            response.StatusCode = HttpStatusCode.Forbidden;
            var content = new
            {
                BusinessStatus = -10403,
                StatusMessage = "服務端拒絕訪問"
            };
            response.Content = new StringContent(JsonConvert.SerializeObject(content), Encoding.UTF8, "application/json");
        }
        private bool SignValidate(string expiryTime, string privateKey, string timestamp, string sign)
        {
            bool isValidate = false;
            var tempSign = CommonHelper.RSADecrypt(privateKey, sign);
            if (CommonHelper.EncryptSHA256($"expiretime{expiryTime}" + $"timestamp{timestamp}") == tempSign)
            {
                isValidate = true;
            }
            return isValidate;
        }
    }

請求頭部增加引數expiretime使用此引數作為本次介面的過期時間如果沒有則表示使用平臺預設的介面時間,是我們可以針對不同的介面設定不同的過期時間;timestamp請求時間戳來防止別人拿到介面後一直呼叫timesign是過期時間和時間戳通過hash然後在通過公鑰加密的串來防止別人修改前兩個引數。重寫HandleUnauthorizedRequest來設定返回內容。

至此整個驗證過程就結束了,我們在使用過程中可以建立BaseApi將特性標記上讓其他APi繼承,當然我們的介面中可能有的action不需要驗證看OnAuthorization第一行程式碼 增加相應的特性跳過此驗證。在整個過程中其實我們已經使用了兩種加密方式。一是本文中的CustomerMessageProcesssingHandler;另外一種就是timestamp+QueryString然後hash 在公鑰加密 這樣就不需要CustomerMessageProcesssingHandler其實就是本文中的頭部加密方式。

補充:園友建議增加請求端例項,確實是昨天有所遺漏。趁不忙補充上:

本次以HttpClient呼叫方式為例,展示Get,Post請求加密到執行的相應的action的過程;首先看一下Get請求如下:

可以看到我們的請求串url已經是密文,頭部時間sign也是密文,除非別人拿到我們的私鑰不然是不能修改其引數的。然後請求到達我們的CustomerMessageProcesssingHandler中我們看下Get中得到的引數是:

這是我們得到的前端傳過來的querystring的引數他的值就是我們前端加密後傳過來的下一步我們解密應該要得到未加密之前的引數也就是客戶端中id=1同時重新給requesturi賦值;

結果中我們可以看到id=1已被正確解密得到。接下來進入我們的CustomRequestAuthorizeAttribute

在這一步我們進行對timeSign的解密對請求只進行hash對比然後驗證時間戳是否在過期時間內最終我們到達相應的action:

這樣整個請求也就完成了Post跟Get區別不大重要的在於拿到傳遞引數的地方不一樣這裡我只貼一下呼叫的程式碼過程同上:

public static void PostTestByModel() {

            HttpClient http = new HttpClient();
            var timestamp = (DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, 0)).TotalMilliseconds;
            var expiretime = "600";
            var timesign = RSAEncrypt(publicKey, EncryptSHA256($"expiretime{expiretime}timestamp{timestamp}"));
            var codeValue = RSAEncrypt(publicKey, JsonConvert.SerializeObject(new Tenmp { Id = 1, Name = "cl" }));
            http.DefaultRequestHeaders.Add("platformtype", "Web");
            http.DefaultRequestHeaders.Add("timesign", $"{timesign}");
            http.DefaultRequestHeaders.Add("timestamp", $"{string.Format("{0:N2}", timestamp.ToString()) }");
            http.DefaultRequestHeaders.Add("expiretime", expiretime);
            var url1 = string.Format($"{host}api/Values/PostTestByModel");
            HttpContent content = new StringContent(codeValue);
            MediaTypeHeaderValue typeHeader = new MediaTypeHeaderValue("application/json");
            typeHeader.CharSet = "UTF-8";
            content.Headers.ContentType = typeHeader;
            var response1 = http.PostAsync(url1, content).Result;
        }

最後當驗證不通過得到的返回值:

這也就是重寫HandleUnauthorizedRequest的目的 當然你也可以不重寫此方法那麼返回的就是401 英文的未通過驗證。

轉自:http://www.cnblogs.com/clly/p/7384008.html

相關推薦

WebAPi介面安全加密

WebAPi使用公鑰私鑰加密介紹和使用 隨著各種裝置的興起,WebApi作為服務也越來越流行。而在無任何保護措施的情況下介面完全暴露在外面,將導致被惡意請求。最近專案的專案中由於提供給APP的介面未對介面進行時間防範導致簡訊介面被怒對造成一定的損失,臨時的措施導致PC和ap

網絡數據傳輸安全

加密算法 加密解密過程數據在互聯網上傳輸過程中存在三個隱患:安全性:數據在傳輸過程中內容可能泄露。完整性:數據在傳輸過程中可能被篡改。身份認證:接受數據的一方很難確認發送者的身份。針對這三種隱患科研人員設計了多種對數據加密的算法,著名的算法有如下幾種:單項加密法:此方法不可解密,很好的解決了數據的完整性,它的

支付寶支付接入(安全基礎 - 生成

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

JavaSE--【轉】網絡安全證書、密、密庫等名詞解釋

detail 發的 都是 base64 request 服務器 win art ive 轉載:http://www.cnblogs.com/alanfang/p/5600449.html 那些證書相關的名詞解釋(SSL,X.509,PEM,DER,CRT,CER,KEY,

object 加密 generator graph args sys exc rate inpu import sun.misc.BASE64Decoder;import sun.misc.BASE64Encoder; import java.io.FileInputStr

蘋果證書和加密

調試 git 開發證書 真機 sign 密鑰 csdn ios開發證書 spa 今天看了點關於公私鑰加密的內容,趕快記下省的忘記了。 這裏有幾個概念:公鑰,私鑰,加密,認證,認證中心(CA),數字證書。 公鑰和私鑰是屬於非對稱性加密,公鑰和私鑰是完全不同的,但是相互對應的。

加密 解密

get 加密 word bsp AR 密碼 https 私鑰 密碼學 密碼學掃盲:加密、認證、公鑰、私鑰 哪個用來加密哪個用來解密?加密 解密 公鑰 私鑰

Windows下生成 以及 配置 Filezilla中的 SFTP的

href gpo .html 公鑰私鑰 www. googl ssh -s HA Win下需要使用到 PuTTYgen.exe來生成公鑰私鑰,可以參考youtube的這篇文章: 為 SFTP 保管箱生成 Secure Shell (SSH) 密鑰對 PuTTYgen.

實現利用免密碼登錄Linux服務器

ssh-key author linux服務器 oot dir 密鑰 公鑰私鑰 私鑰 keygen 原理 客戶端生成公鑰私鑰,把公鑰拷貝給linux服務器,用自己的私鑰連接服務器。實現如下: 如果是兩臺Linux服用器A和B,A來實現免密碼登錄B A執行ssh-key

的原理

問題解答: 第一公鑰私鑰:兩者對應  私鑰可以找到對應公鑰  公鑰是交給其他伺服器使用用來動態加鹽的. 第二私鑰可以得到公鑰,因為同一系統的動態加鹽的演算法是相同的所以得到公鑰就意味著可以逆 序根據被加密的可以得到加密前的東西.因為兩者是提前約定好的(也就是公鑰好比使用者名稱私鑰

git 多套的配置以及使用

git 多套公、私鑰的配置以及使用 git 多套公私鑰的配置以及使用 業務使用場景 步驟 檢查是否已存在相應的ssh key 生成新的ssh key並新增至ss

ssh認證原理

ssh公鑰認證的原理 所謂的公鑰認證,實際上是使用一對加密字串,一個稱為公鑰(public key),任何人都可以看到其內容,用於加密;另一個稱為私鑰(private key),只有擁有者才能看到,用於解密。通過公鑰加密過的密文使用私鑰可以輕鬆解密,但根據公鑰來猜測私鑰卻十分困難。 ss

PHP 格式化(pem檔案)

<?php header("Content-Type: text/html; charset=utf-8"); $filename = dirname(__FILE__)."/payPublicKey.pem";//生成的公鑰或私鑰檔案 @chmod($filename, 0

java RSA 生成

/** * 引進的包都是Java自帶的jar包 * 祕鑰相關包 * base64 編解碼 * 這裡只用到了編碼 */ import java.security.Key; import java.security.KeyPair; import java.security.KeyPair

探究數字證書 在IdentityServer4中和ADFS+Sharepoint中的使用

#Linux系統生成證書:(推薦使用) sudo yum install openssl (CentOS) #生成私鑰檔案 openssl genrsa -out idsrv4.key 2048 #建立證書籤名請求檔案 CSR(Certificate Signing Request),用於

非對稱加密演算法RSA的模數和指數提取方法

生成非對稱加密演算法RSA公鑰、私鑰的方法: 1. 通過OpenSSL庫生成,可參考  https://github.com/fengbingchun/OpenSSL_Test/blob/master/demo/OpenSSL_Test/funset.cpp  中的Gen

八、//Public Key Hash/P2PKH

在前面第2課,我們粗略引入了比特幣網路中賬號的概念。在此課,我將對賬號相關的幾個概念,做更深入的闡釋,這部分也是整個區塊鏈技術的基礎。 一、公/私鑰 公/私鑰的基本思路是

AI學習吧-、沙箱環境

公鑰私鑰 公鑰、私鑰 可以互相解密 應用:數字簽名和加密資料 數字簽名:使用私鑰加密,公鑰解密 加密資料:使用公鑰加密,私鑰解密洩密時:當有人拿走了你的公鑰,你可以到CI證書中心,使用你的私鑰和公鑰辦理認證證書,以後可以在你的資料里加上這個證書,別人拿到了你的資料,使用正式中心的公鑰解密,拿到

ssh 認證原理

通常,通過ssh登入遠端伺服器時,使用密碼認證,分別輸入使用者名稱和密碼,兩者滿足一定規則就可以登入。但是密碼認證有以下的缺點: 使用者無法設定空密碼(即使系統允許空密碼,也會十分危險) 密碼容易被人偷窺或猜到 伺服器上的一個帳戶若要給多人使用,則必須讓所有使用者都知道密碼,導致

個人理解的

一、A發給B一段資訊,資訊內容為a,如果要保證這段資訊不被別人獲悉,應該做如下操作: 1、A用自己的私鑰加密資料,加密後變為b,然後再用B的公鑰加密,獲得c; 2、B獲得資訊c後,用自己的私鑰解密,獲得資訊b,再用A的公鑰解密,獲得資訊a; 二、為什麼必須要這樣 1、為什麼要A用自己的私鑰加