当前位置：首页 > 编程日记 > 正文

php webapi验签,Asp.netCore3.0 WebApi从0到1手摸手教你写【5】增加接口参数签名验证...

编程日记 2024-06-14 22:50:00

通过前几个教程的学习，对webapi的编写基本上就可以入门了，可以做项目了，今天我们再给接口加个参数签名认证，之前的接口相当于赤果果的暴露在了网络上，只要知道接口地址、接口调用方式和传参就可以畅所欲为的调用接口了，这给我们写的webapi带来了很大的安全隐患，所以这篇教程是给webapi加上一层保护措施，可能算不上最优解决方案，但起码能起到一定的保护措施。

保护思路

1.接口调用采用POST的方式，可以屏蔽一部分小白，增加接口调用的难度。

2.接口调用参数增加签名字段，一可以防止数据被篡改，二还可以防止其它人非法调用我们的接口。

接口签名算法

签名生成的通用步骤如下：

第一步，设所有发送或者接收到的数据为集合M，将集合M内非空参数值的参数按照参数名ASCII码从小到大排序(字典序)，使用URL键值对的格式(即key1=value1&key2=value2…)拼接成字符串stringA。

特别注意以下重要规则：

◆ 参数名ASCII码从小到大排序(字典序)；

◆ 如果参数的值为空不参与签名；

◆ 参数名区分大小写；

◆ 验证调用返回或主动通知签名时，传送的sign参数不参与签名，将生成的签名与该sign值作校验。

第二步，在stringA最后拼接上key得到stringSignTemp字符串，并对stringSignTemp进行MD5运算，再将得到的字符串所有字符转换为大写，得到sign值signValue。

◆ key设置：将key设置在接口配置文件中，当key发生泄露时可第一时间通过修改配置文件来更改key值。

举例：

假设传送的参数如下：

a： aa

b： bb

c： cc

第一步：对参数按照key=value的格式，并按照参数名ASCII字典序排序如下：

stringA="a=aa&b=bb&c=cc";

第二步：拼接API密钥：

stringSignTemp=stringA+"&key=afwfsfwexwegw" //注：key为用户在配置文件中自行设置的

sign=MD5(stringSignTemp).toUpperCase()="9A0A8659F005D6984697E2CA0A9CF3B7" //注：MD5签名方式

代码部分

第一步，在配置文件增加签名的key

appsettings.json

{

"Logging": {

"LogLevel": {

"Default": "Information",

"Microsoft": "Warning",

"Microsoft.Hosting.Lifetime": "Information"

}

"AllowedHosts": "*",

//接口配置参数设置

"AppSettings": {

//数据库连接字符串

"xxxDB": "Server=ROBERT-PC\\SQLEXPRESS;User Id=xiaozhao;Password=xz123789;Database=XXX;",

//接口是否需要签名

"IsSign": "false",

//16位MD5签名key

"Md5Key": "5ShiCeShiAAAAAAA"

}

第二步，在Common增加SignMgr.cs类

using System;

using System.Collections.Generic;

using System.Linq;

using System.Text;

using XXX.Models;

namespace XXX.Common

{

///

/// 签名管理

///

public class SignMgr

{

///

/// 验证用户请求参数

///

/// 参数中需要包含sign字段，用来验证签名是否正确

///

public static bool ParamVerify(Object p)

{

//获取是否签名字段

string isSign = AppSettings.GetAppSeting("IsSign");

//获取MD5签名字段

string secretKey = AppSettings.GetAppSeting("Md5Key");

if (isSign == "false")

{

return true;

}

try

{

Type t = p.GetType();

var propertys = t.GetProperties();

string sign = "";

string temp = "";

var orderPropertys = propertys.OrderBy(p => p.Name); //ASCII码从小到大排序(字典序)

foreach (var item in orderPropertys)

{

string name = item.Name;

object oValue = item.GetValue(p);

string value = "";

if (oValue != null)//如果参数不为空则拼接参数

{

value = oValue.ToString();

//判断参数是否为sign，sign不参与签名

if (name != "sign")

{

temp += name + "=" + value + "&";

}

else

{

sign = value;

}

temp +="key=" +secretKey;

string md = Md5Encrypt.MD5(temp);

if (sign != "" && sign.ToUpper() == md.ToUpper())

{

//签名验证成功

return true;

}

else

{

//签名失败

return false;

}

catch (Exception ex)

{

//签名异常信息

return false;

}

第三步，验证

using System.Linq;

namespace XXX.Bo

{

public class UserBo

{

public static XXXContext db = new XXXContext();

///

/// 增加一个用户数据

///

public static Models.User.AddUserR AddUser(Models.User.AddUserP model)

{

var r = new Models.User.AddUserR();

if (Common.SignMgr.ParamVerify(model))//验证用户参数签名是否合法

{

Models.XXXEntities.User userSearch = (from u in db.User where u.Phone == model.phone select u).FirstOrDefault();

if (userSearch == null)

{

Models.XXXEntities.User user = new Models.XXXEntities.User();

user.Phone = model.phone;

user.Password = model.password;

user.NickName = model.nickName;

user.State = model.state;

db.User.Add(user);

int i = db.SaveChanges();

if (i > 0)

{

r.code = 1;

r.message = "数据插入成功";

}

else

{

r.code = 0;

r.message = "数据插入成功";

}

else

{

r.code = 0;

r.message = "手机号已经存在";

}

else

{

r.code = 0;

r.message = "签名失败";

}

return r;

}

完

项目已经上传github，看自行下载。

NetCore3.0-WebApi

求赞

创作不易，喜欢的请给个免费的赞吧！

https://www.dkcj.cn/info/10736.html

点击TableView任一行跳转详情页面会跳转两次的解决办法

在做TableView跳转的时候，发现实际上生成了两个detail view。我 navigate back 的时候，也是先看到一次detail view，然后才回到tableView的。这是因为：performSegue(withIdentifier: , sender: ) 和 prepare(for segue: , sender:…

编程日记2024/06/14 22:40:00

dos环境下mysql的访问_MYSQL dos环境下使用

有很多朋友虽然安装好了mysql但却不知如何使用它。在这篇文章中我们就从连接MYSQL、修改密码、增加用户等方面来学习一些MYSQL的常用命令。一、连接MYSQL。格式： mysql -h主机地址 -u用户名 －p用户密码1、例1：连接到本机上的MYSQL。首先在打开…

编程日记2024/06/14 22:30:00

jemeter监听器的使用

打开jemeter，新建线程组，添加http请求，在请求下添加监听器： 一、添加一个jpgc - PerfMon Metrics Collector监听器： 服务器性能监测控件，包括CPU,memory（内存）,networkＩ/…

编程日记2024/06/14 22:20:00

java 抛异常给上级_java异常处理机制(示例代码)

Exception 类的层次java中所有的异常类是从 java.lang.Exception 类继承的子类。而Exception 类是 Throwable (可抛出的)类的子类。除了Exception类外，Throwable还有一个子类Error 。Java 程序通常不捕获错误。错误一般发生在严重故障时，它们在Java程序处…

编程日记2024/06/14 22:10:00

前端开发之JavaScript基础篇一

主要内容： 1、JavaScript介绍 2、JavaScript的引入方法和输出及注释 3、javaScript变量和命名规则 4、五种基本数据类型 5、运算符 6、字符串处理 7、数据类型转换一、JavaScript介绍 1、JavaScript是什么？　　　　 javaScript是一种web前端的描述语言&…

编程日记2024/06/14 22:00:00

v9php 碎片信息,phpcms v9碎片管理及调用技巧分享

今天在这里将分享下Phpcms V9碎片管理及调用技巧。这是关于模板数据自定义、方便客户在后台管理数据调用的一个技巧。在给客户定制模板的时候，往往会涉及到的一个问题就是：有些数据(图片文字，比如LOGO、侧栏的联系方式、首页的幻灯片切换Bann…

编程日记2024/06/14 21:50:00

iterm2 主题_【超级实用】Iterm2 + ohmyzsh 打造强大的终端编辑器

作者：AndrewHR 地址：http://mrw.so/4D1n7B最终的效果图如下所示：使用iterm2配合oh-my-zsh的命令行，拥有语法高亮、命令自动补全、自动提示符、显示git仓库状态等功能整个配置流程1、安装iterm2首先我们下载的 iterm2 这个软件&…

编程日记2024/06/14 21:40:00

main方法为什么是静态的

main函数其实也是所在类的一个方法，就比如一个类是test，那么该类的main其实就是test.main(String[] args)，众所周知如果一个方法不是静态的，则要先实例化该类，比如要这样 test tnew test(); 然后才能调用 test.main();…

编程日记2024/06/14 21:30:00

java类为什么要建两个class_ClassLoader的几个概念、类和对象的解释

首先，转载一篇文章，个人认为是看到过了讲得最清楚的 XD当JVM(Java虚拟机)启动时，会形成由三个类加载器组成的初始类加载器层次结构：bootstrap classloader|extension classloader|system classloaderbootstrap classloader &#…

编程日记2024/06/14 21:20:00

第四章 python的turtle库的运用

我们可以尝试用python的自带turtle库绘制一条蟒蛇首先我们设计一下蟒蛇的基本形状我们先把这段蟒蛇绘制的实例代码贴出来，各位可以在自己的本地运行一下看看效果，然后我们再继续分析代码： 1 #PythonDraw.py2 import turtle3 turtle.setup(6…

编程日记2024/06/14 21:10:00

oracle导入索引b报错,impdp导入索引很慢

impdp用NETWORK_LINK从远程库导入到本地库，导入表的速度还正常，导入索引的速度特别慢。2个小时才导1300个索引。使用imp的格式：impdp vebackup/abc DIRECTORYDATABAK_DIR NETWORK_LINKprimarydb_link SCHEMASveasms TABLE_EXISTS_ACTIONREPLA…

编程日记2024/06/14 21:00:00

新的mysql如何使用_如何使用新的MySQL更新日志

使用新的MySQL更新日志的方法未必人人都会，下面就教您如何使用新的MySQL更新日志的方法，希望对您能够有所帮助。如果你只使用一使用新的MySQL更新日志的方法未必人人都会，下面就教您如何使用新的MySQL更新日志的方法，希望对您能够…

编程日记2024/06/14 20:50:00

find_in_set

在查询表中数据用 ‘,’隔开的记录时如图所示用like 查询auth 字段中含A5是查不出来的如图所示用find_in_set 可以查询出 auth字段含 ‘A5’的记录如图所示用法介绍： find_in_set 可以查询出字段内容以英文逗号隔开的记录 find_in_set(匹配值,字段名)转载于:h…

编程日记2024/06/14 20:40:00

一堆棋子java代码编程_网易2018校招内推编程题-堆棋子-C++实现

0 1 3 10解法暴力枚举所有可能的点。如图所示，黑点为输入点。所需遍历的点为红线的交点，红圈表示。当时自己写的是遍历了外围红线所构成的封闭矩形里面所有的点了，只有60%的AC率，原因超时。看了康学长的代码，才知道有些…

编程日记2024/06/14 20:30:00

linux free命令详解和使用实例(查看内存使用率)

free命令可以显示Linux系统中空闲的、已用的物理内存及swap内存,及被内核使用的buffer。在Linux系统监控的工具中，free命令是最经常使用的命令之一1．命令格式： free [参数] 2．命令功能： free 命令显示系统使用和空闲的…

编程日记2024/06/14 20:20:00

awk linux 获取端口号_Linux提权后获取敏感信息命令

如果不能执行的可能是不同类型的linux。系统版本?cat /etc/issuecat /etc/*-releasecat /etc/lsb-releasecat /etc/redhat-release内核版本？cat /proc/versionuname -auname -mrsrpm -q kerneldmesg | grep Linuxls /boot | grep vmlinuz环境变量？cat /…

编程日记2024/06/14 20:10:00

lemp-------3多站点访问，，访问控制，，虚拟目录

基于ip vi /etc/nginx/nginx.conf server { listen 192.168.1.142:80; server_name localhost; access_log logs/host.access.log main; location / { root /web2; index index.html index.htm index.php; } error_page 500 502 503 504 /50x.html; location /50x.html { root…

编程日记2024/06/14 20:00:00

php webapi验签,Asp.netCore3.0 WebApi从0到1手摸手教你写【5】增加接口参数签名验证...

相关文章：

点击TableView任一行跳转详情页面会跳转两次的解决办法

dos环境下mysql的访问_MYSQL dos环境下使用

jemeter监听器的使用

java 抛异常给上级_java异常处理机制(示例代码)

前端开发之JavaScript基础篇一

v9php 碎片信息,phpcms v9碎片管理及调用技巧分享

iterm2 主题_【超级实用】Iterm2 + ohmyzsh 打造强大的终端编辑器

main方法为什么是静态的

java类为什么要建两个class_ClassLoader的几个概念、类和对象的解释

第四章 python的turtle库的运用

oracle导入索引b报错,impdp导入索引很慢

新的mysql如何使用_如何使用新的MySQL更新日志

find_in_set

一堆棋子java代码编程_网易2018校招内推编程题-堆棋子-C++实现

linux free命令详解和使用实例(查看内存使用率)

awk linux 获取端口号_Linux提权后获取敏感信息命令

lemp-------3多站点访问，，访问控制，，虚拟目录

oracle统计id出现次数,oracle 统计sql

java避免使用orderby_java – Spring安全配置@Order不是唯一的例外

es 启动问题

imrot matlab,Matlabtuxiangpipei

mysql 5.7 full_MySQL5.7默认打开ONLY_FULL_GROUP_BY 解决方案

通过web sql实现增删查改

java发送苹果消息慢_Spring-boot JMS 发送消息慢的解决方法

快速幂 + 矩阵快速幂

【Ctsc2011】幸福路径

mysql 去重con_python 爬虫实现增量去重和定时爬取实例

oracle数据导出方法,oracle多种导入导出数据方法

java 枚举转byte_如何在java中将一个枚举转换为另一个枚举？

BZOJ4566: [Haoi2016]找相同字符