ASP.NET MVC OR WebAPI的接口安全怎么實現

這篇文章主要講解了“ASP.NET MVC OR WebAPI的接口安全怎么實現”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“ASP.NET MVC OR WebAPI的接口安全怎么實現”吧！

　　當我們開發一款App的時候，App需要跟后臺服務進行通信獲取或者提交數據。

　　如果我們沒有完善的安全機制則很容易被別用心的人偽造請求而篡改數據。

　　所以我們需要使用某種安全機制來保證請求的合法。現在最常用的辦法是給每個http請求添加一個簽名，服務端來驗證簽名的合法性，如果簽名合法則執行響應的操作，如果簽名非法則直接拒絕請求。

　　簽名算法

　　簽名算法一般都使用Hash散列算法，常用的有MD5，SHA系列算法。這些算法可以根據不同的輸入，計算出不同的結果，而且碰撞的概率很低。

　　簽名算法跟加密算法不是一回事。很多同學都會說使用MD5加密一下，其實這是錯誤的。簽名算法不能恢復原來的數據，因為它本身并不包含原來數據的信息。

　　而加密方法不同，加密方法是可以根據加密結果重新推算出原來的數據的。

　　HMAC SHA作為一種更加安全的簽名算法，使用一個Key來影響簽名的結果。這樣同樣的輸入配合不同的Key可以得出不同的簽名，更加安全。

　　public static string HmacSHA256(string secretKey,string plain)

　　{

　　var keyBytes = Encoding.UTF8.GetBytes(secretKey);

　　var plainBytes = Encoding.UTF8.GetBytes(plain);

　　using (var hmacsha256 = new HMACSHA256(keyBytes))

　　{

　　var sb = new StringBuilder();

　　var hashValue = hmacsha256.ComputeHash(plainBytes);

　　foreach (byte x in hashValue)

　　{

　　sb.Append(String.Format("{0:x2}", x));

　　}

　　return sb.ToString();

　　}

　　}

　　簽名的參數

　　有了簽名算法，那么我們簽名的內容哪里來呢?

　　一般我們使用http請求的queryString然后加上時間戳還有隨機數來作為簽名的參數。

　　public static string MakeSignPlain(SortedDictionary queryString,string time,string random )

　　{

　　var sb = new StringBuilder();

　　foreach (var keyValue in queryString)

　　{

　　sb.AppendFormat("{0}={1}&", keyValue.Key, keyValue.Value);

　　}

　　if (sb.Length>1)

　　{

　　sb.Remove(sb.Length - 1, 1);

　　}

　　sb.Append(time);

　　sb.Append(random);

　　return sb.ToString().ToUpper();

　　}

　　驗證簽名

　　驗證簽名就是簡單的比較服務端生產的簽名跟客戶端生產的簽名是否一直。

　　要注意的一點是最好驗證下時間戳，跟服務端時間比較前后不能相差5分鐘。這也是一個簡單的防Replay Attack的手段。

　　public static bool Valid(string requestSign,string signPlain,string time, string secretKey)

　　{

　　if (string.IsNullOrEmpty(time)||string.IsNullOrEmpty(requestSign)||string.IsNullOrEmpty(signPlain))

　　{

　　return false;

　　}

　　//is in range

　　var now = DateTime.Now;

　　long requestTime =0;

　　if (long.TryParse(time,out requestTime))

　　{

　　var max = now.AddMinutes(5).ToString("yyyyMMddHHmmss");

　　var min = now.AddMinutes(-5).ToString("yyyyMMddHHmmss");

　　if (!(long.Parse(max) >= requestTime && long.Parse(min) <= requestTime))

　　{

　　return false;

　　}

　　}

　　else

　　{

　　return false;

　　}

　　//hashmac

　　var sign = Encryption.HmacSHA256(secretKey, signPlain);

　　return requestSign.Equals(sign, StringComparison.CurrentCultureIgnoreCase);

　　}

　　ApiController基類

　　有了上面這些鋪墊我們就可以在基類完成簽名的驗證了。客戶端需要把上面提到的時間戳，隨機數，簽名和客戶端的ID放入http請求的headers里面。

　　我們在基類的OnActionExecuting里取出這些數據組合成簽名的參數，然后根據客戶端ID獲取簽名的Key，然后使用同樣的簽名算法計算簽名。并且比較客戶端的簽名跟服務端的簽名是否一致。

　　預防Replay Attack

　　預防重放***主要有兩點：

　　校驗時間戳的范圍

　　時間戳跟服務器時間相差在一個合理的范圍內視為合法。

　　緩存簽名

　　每次請求都去判斷下簽名是否出現過。如果出現過則視為非法請求。

　　因為有時間戳跟隨機數的存在，所以理論上每次請求的簽名是不可能重復的。

　　客戶端調用

　　這里演示一下C#簽名并且調用http接口的代碼

　　[TestMethod()]

　　public void GetUserTest()

　　{

　　string url = "http://localhost:8090/api/test/GetUser";

　　string userId = "A39891D4-6CEF-4538-A562-3A422CA9C17A";

　　string appId = "100001";

　　string secretKey = "M/vkPOWXgBa7GnRd73t7j+jsKfbZtb+f";

　　string rumdon = Guid.NewGuid().ToString();

　　string time = DateTime.Now.ToString("yyyyMMddHHmmss");

　　//make signture plain text

　　var sortDict = new SortedDictionary()

　　{

　　{"userId",userId }

　　};

　　var signPlain = new StringBuilder();

　　foreach (var keyValue in sortDict)

　　{

　　signPlain.AppendFormat("{0}={1}&", keyValue.Key, keyValue.Value);

　　}

　　if (signPlain.Length > 1)

　　{

　　//remove last &

　　signPlain.Remove(signPlain.Length - 1, 1);

　　}

　　signPlain.Append(time);

　　signPlain.Append(random);

　　Console.WriteLine("sign plain:{0}", signPlain.ToString().ToUpper());

　　//make sign

　　var sign = Encryption.HmacSHA256(secretKey, signPlain.ToString().ToUpper());

　　Console.WriteLine("sign:{0}", sign);

　　string requestUrl = string.Format("{0}?{1}={2}", url, "userId", userId);

　　HttpWebRequest request = (HttpWebRequest)WebRequest.Create(requestUrl);

　　request.Method = "GET";

　　//add headers

　　request.Headers.Add("time", time);

　　request.Headers.Add("appId", appId);

　　request.Headers.Add("random", random);

　　request.Headers.Add("sign", sign);

　　//

　　//start request

　　try

　　{

　　using (HttpWebResponse response = (HttpWebResponse)request.GetResponse())

　　{

　　var responseStream = response.GetResponseStream();

　　if (responseStream != null)

　　{

　　using (StreamReader reader = new StreamReader(responseStream))

　　{

　　var content = reader.ReadToEnd();

　　Console.WriteLine(content);

　　}

　　}

　　}

　　}

　　catch (WebException ex)

　　{

　　using (HttpWebResponse response = (HttpWebResponse)ex.Response)

　　{

　　var responseStream = response.GetResponseStream();

　　if (responseStream != null)

　　{

　　using (StreamReader reader = new StreamReader(responseStream))

　　{

　　var content = reader.ReadToEnd();

　　Console.WriteLine(content);

　　}

　　}

　　}

　　}

　　}

感謝各位的閱讀，以上就是“ASP.NET MVC OR WebAPI的接口安全怎么實現”的內容了，經過本文的學習后，相信大家對ASP.NET MVC OR WebAPI的接口安全怎么實現這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！