11Web API安全措施(一)后端 - ASP.NET Core MVC

于 2025-02-20 22:21:49 发布
阅读量1.1k 收藏 21
点赞数 29
分类专栏: # ASP.NET Core Web API 文章标签: asp.net mvc 后端 .netcore c#
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_44458540/article/details/145560523
版权

文章目录

前言

Web API安全措施的主要流程:
在这里插入图片描述
角色主要有三类:应用程序、授权机构、资源(包含Web API)
安全措施的流程:注册信息、身份验证、创建Token、验证Token、授权

从图中可以看出,首先会在授权机构中进行身份信息注册(保存到数据库),然后应用程序将身份信息发送给授权机构。身份信息通过后,授权机构会返回Token给应用程序,应用程序请求资源时将Token一起发送,资源会通过授权机构验证Token,通过后会将资源返回给应用程序,从而实现Web API的安全。

以下是Web API安全措施的具体实现

一、注册信息

通过界面等方式将信息注册保存到数据库中,此处直接硬编码将信息写到程序里(省略注册的具体实现)。

定义程序类(代表数据库中保存的注册信息):

public class Apllication
{
    public int ApplicationId { get; set; }
    public string? ApplicationName { get; set; }
    public string? ClientId { get; set; }
    public string? Secret { get; set; }
    public string? Scopes { get; set; }
}

硬编码的注册信息:

public static class AppRepositry
{
    private static List<Apllication> _applications = new List<Apllication>()
    {
        new Apllication
        {
            ApplicationId = 1,
            ApplicationName = "Test",
            ClientId = "123",
            Secret = "admin",
            Scopes = "read,write"
        }
    };

    public static Apllication? GetApllicationByClientId(string clientId) 
    {
        return _applications.FirstOrDefault(x => x.ClientId == clientId);
    }

}

二、身份验证

应用程序向授权机构发送请求,验证id和密码是否正确,若正确则返回Token。
请求方法:

[HttpPost("auth")]
public IActionResult Authenticate([FromBody]AppCredential credential)
{
    var expiresAt = DateTime.UtcNow.AddMinutes(10);
    if (Authenticator.Authenticate(credential.ClientId, credential.Secret))
    {
        return Ok(new
        {
            access_token = Authenticator.CreateToken(credential.ClientId, expiresAt, configuration.GetValue<string>("SecretKey")),
            expires_at = expiresAt
        });
    }
    else
    {
        ModelState.AddModelError("Unauthorized", "You are not authorized.");
        var problemDetails = new ValidationProblemDetails(ModelState)
        {
            Status = StatusCodes.Status401Unauthorized
        };
        return new UnauthorizedObjectResult(problemDetails);
    }
}

验证:

public static bool Authenticate(string clientId, string secret)
{
    var app = AppRepositry.GetApllicationByClientId(clientId);
    if (app == null)  return false;

    return (app.ClientId == clientId && app.Secret == secret);
}

三、创建Token

在进行身份验证时,就会创建Token,可以进行自定义Token(需要将token保存到数据库中,和数据库进行交互),这里使用JWT(不需与数据库交互)。

3.1 安装依赖

在Nuget安装System.IdentityModel.Tokens.Jwt
在这里插入图片描述

3.2 代码实现

JWT由算法、负载、签证三部分组成。算法就是加密算法(使用secretKey),负载就是封装的键值对信息,签证就是加密后的标识(服务端用来比对是否篡改过前两部分信息)。

secretKey在配置文件appsettings.json中,程序通过IConfiguration直接获取
在这里插入图片描述

代码如下:

public static object CreateToken(string clientId, DateTime expiresAt, string strSecretKey)
{
    //算法
    //负载
    //签证

    var secretKey = Encoding.ASCII.GetBytes(strSecretKey);

    var app = AppRepositry.GetApllicationByClientId(clientId);
    var claims = new List<Claim>() {
        new Claim("AppName", app?.ApplicationName??string.Empty),
        new Claim("Read", (app?.Scopes??string.Empty).Contains("read")?"true":"false"),
        new Claim("Write", (app?.Scopes??string.Empty).Contains("write")?"true":"false")
    };

    var jwt = new JwtSecurityToken(
        signingCredentials: new SigningCredentials(
            new SymmetricSecurityKey(secretKey),
            SecurityAlgorithms.HmacSha256Signature),
        claims: claims,
        expires: expiresAt,
        notBefore: DateTime.UtcNow
        );

    return new JwtSecurityTokenHandler().WriteToken(jwt);
}

3.3 接口访问

直接使用id和密码访问认证接口,返回token
在这里插入图片描述

3.4 解析Token

打开https://jwt.io/网站,输入token信息,能看到负载信息。
在这里插入图片描述

四、验证Token

4.1 代码实现

验证Token代码如下:

public static bool VerifyToken(string token, string strSecretKey)
{
    if (string.IsNullOrWhiteSpace(token)) return false;

    var secretKey = Encoding.ASCII.GetBytes(strSecretKey);
    SecurityToken securityToken;

    try
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        tokenHandler.ValidateToken(token, new TokenValidationParameters()
        {
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(secretKey),
            ValidateLifetime = true,
            ValidateAudience = false,
            ValidateIssuer = false,
            ClockSkew = TimeSpan.Zero
        }, out securityToken);
    }
    catch (SecurityException)
    {
        return false;
    }
    catch (Exception)
    {
        throw;
    }

    return securityToken != null;
}

4.2 授权筛选器

使用授权筛选器应用Token验证

public class JwtTokenAuthFilterAttribute : Attribute, IAsyncAuthorizationFilter
{
    public async Task OnAuthorizationAsync(AuthorizationFilterContext filterContext)
    {
        if (!filterContext.HttpContext.Request.Headers.TryGetValue("Authorization", out var token))
        {
            filterContext.Result = new UnauthorizedResult();
            return;
        }

        var configuration = filterContext.HttpContext.RequestServices.GetService<IConfiguration>();

        if (!Authenticator.VerifyToken(token, configuration.GetValue<string>("SecretKey")))
        {
            filterContext.Result = new UnauthorizedResult();
        }
    }
}

使用属性特性启动授权筛选器
在这里插入图片描述

4.3 功能验证

使用Postman在header里加上Authorization: token(jwt有时间限制)
在这里插入图片描述

不加token
在这里插入图片描述

五、授权

从JWT中获取负载信息(claim),将属性特性标注到属性上,在授权筛选器中比较属性信息和负载信息从而实现权限控制。

5.1 新建属性类

新建声明权限类

[AttributeUsage(AttributeTargets.Method | AttributeTargets.Class, AllowMultiple = true )]
public class RequiredClaimAttribute : Attribute
{
    public string ClaimType { get; }
    public string ClaimValue { get; }

    public RequiredClaimAttribute(string claimType, string claimValue)
    {
        ClaimType = claimType;
        ClaimValue = claimValue;
    }
}

5.2 使用属性类

在控制器方法中声明权限属性值
在这里插入图片描述

5.3 判断权限

在授权筛选器中获取出属性特性中声明的权限,再从token里获取出负载信息里的权限,然后比较属性值。

public async Task OnAuthorizationAsync(AuthorizationFilterContext filterContext)
{
    if (!filterContext.HttpContext.Request.Headers.TryGetValue("Authorization", out var token))
    {
        filterContext.Result = new UnauthorizedResult();
        return;
    }

    var configuration = filterContext.HttpContext.RequestServices.GetService<IConfiguration>();

    var claims = Authenticator.VerifyToken(token, configuration.GetValue<string>("SecretKey"));
    if (claims == null) 
    {
        filterContext.Result = new UnauthorizedResult(); //401
    }
    else
    {
        var requiredClaims = filterContext.ActionDescriptor.EndpointMetadata.OfType<RequiredClaimAttribute>().ToList();

        // 403
        if (requiredClaims != null && !requiredClaims.All(rc=>claims.Any(c=>c.Type.ToLower()==rc.ClaimType.ToLower() &&
        c.Value.ToLower()==rc.ClaimValue.ToLower())))
        {
            filterContext.Result = new StatusCodeResult(403);
        }
    }
}
Web API 入门指南
m0_74131821的博客
04-06 697
本篇文章主要围绕着Web API安全性来展开,介绍安全的基本概念,常见安全隐患、相关的防御技巧以及Web API提供的安全机制
ASP.NET Core MVC中使用SQL参数化防注入实战教程
最新发布
caifox的博客
04-12 954
MVC(Model-View-Controller)架构是种软件设计模式,它将应用程序分为三个主要部分:模型(Model)、视图(View)和控制器(Controller)。模型负责处理应用程序的业务逻辑和数据访问,视图负责展示用户界面,控制器则负责处理用户的输入并协调模型和视图之间的交互。这种分离使得应用程序的各个部分更加独立,便于开发和维护。
WebApi接口安全性 接口权限调用、参数防篡改防止恶意调用
Unknowncheats的博客
05-14 1975
背景介绍 最近使用WebApi开发套对外接口,主要是数据的外送以及结果回传,接口没什么难度,采用WebApi+EF的架构简单创建个模板工程,使用template生成WebApi接口,去掉put、delete等操作,修改下就可以上线。这些都不在话下,反正网上大堆教程,随便找那个step by step做下来就可以了。 然后发布上线后,接口是放在外网,面临两个问题: 如何保证接口的调用的合法性 如何保证接口及数据的安全性 其实这两个问题是相互结合的,先保证合法,然后在合法基础上保证请求...
.net WebAPI访问授权机制及流程设计(header token+redis)
四点的博客
10-21 1449
背景: 1.需要在.net5 WebAPI中添加访问授权机制,即实现在登录时颁发用户凭证,后续需要通过凭证访问其他接口,如果凭证不合法,不能正常访问接口; 2.网站嵌入到winform客户端中,利用winform可以获取客户端的mac地址的权限,将mac地址作为权限中的部分,即将mac地址和账号绑定来实现账号只能在指定客户端电脑上使用; 3.为了防止在登录后获取token后在其他客户端上使用,利用IP绑定token; 实现: 首先在登录成功后,将客户端的IP作为加密key,username(登录
.NET Core下的API网关:实现高效、安全的微服务通信
dotNET跨平台
03-17 595
随着微服务架构的流行,API网关在微服务通信中扮演着越来越重要的角色。作为微服务架构中的关键组件,API网关负责处理客户端请求,并路由到相应的微服务,同时还具备安全、监控和限流等功能。在.NET Core框架下,我们可以轻松构建高效、安全API网关,以满足复杂微服务架构的需求。本文将介绍在.NET Core下实现API网关的关键技术和最佳实践。API网关概述API网关是微服务架构中的前端服务...
WebAPI安全问题和常用解决方案有哪些
分享DotNet技术和日常开发笔记,DotNet,Python为主。
03-15 682
解决方案:使用安全的认证机制(如 OAuth、JWT,API 密钥认证)、实现适当的授权策略,确保只有经过身份验证的用户能够访问受保护的资源。通过综合考虑以上安全问题并实施相应的解决方案,可以提高 Web API安全性,保护用户数据和系统安全。解决方案:对所有用户输入数据进行验证、过滤和转义,避免恶意输入引发安全问题。解决方案:对敏感数据进行加密处理,确保数据在存储和传输过程中是安全的。问题:未正确限制 API 的访问权限,导致未经授权的用户访问敏感数据。问题:数据在传输过程中被窃取或篡改。
Net实战商用源码---ASP.NET漂亮大气企业网站源码 快速建站.net企业网站源码.rar
03-28
ASP.NET种由微软开发的服务器端Web应用程序框架,用于构建动态、数据驱动的Web应用程序。这个"Net实战商用源码---ASP.NET漂亮大气企业网站源码 快速建站.net企业网站源码.rar"文件包提供了完整的源代码,旨在...
探索ASP.NET Core MVC 6版:云应用开发新趋势
《Pro ASP.NET Core MVC, 第六版》是本由Adam Freeman撰写的专业书籍,旨在指导开发者利用微软最新的ASP.NET Core MVC框架创建适应云端的Web应用程序。ASP.NET Core MVC是微软提出的Web应用开发架构,它融合了...
.NET Core MVC中的WebUpload完整上传解决方案
ASP.NET Core MVC.NET Core的组成部分之,它提供了个用于构建Web应用程序的模型-视图-控制器(Model-View-Controller, MVC)框架。ASP.NET Core MVC具备众多特性,如内置的依赖注入、Razor视图引擎、中间件组件...
ASP.NET Core MVC构建棋盘游戏管理应用
ASP.NET Core MVC是微软开发的个用于构建Web应用程序的框架,它基于.NET Core平台,是个开源、跨平台的框架。MVC代表模型(Model)、视图(View)和控制器(Controller),它是个设计模式,用于将应用程序分为这三类...
web安全措施.你写的WEB API接口如何预防黑客攻击_webservice接口实例
12-25
web安全措施.你写的WEB API接口如何预防黑客攻击 现在WEB开发都是动静分离 后端编写API接口 那如何防止黑客攻击你的HTTP API接口呢
webapi-security:web API开放接口设计解决方案
07-24
开放接口设计-解决方案 安全设计(防窃取,防篡改,防泄漏) Java和JavaScrip互通验签及加解密(SM3, AES, 3DES) 多版本管理支持 . 简单验签加密组件 1. 介绍说明 * BASE64 严格地说,属于编码格式,而非加密算法;双向加密(可解密) 使用场景:任意序列的8位字节描述为种不易被人直接识别的形式如:空格等,转化成任何国际语言都能识别的64个可见字符 * MD5(Message Digest algorithm 5,信息摘要算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * SHA(Secure Hash Algorithm,安全散列算法),单向加密; 使用场景:用来校验数据在传输过程中是否被修改 * HMAC(Hash Message Authentication Code,散列消息鉴别码)单向加密;
Axis的安全访问机制
12-05
J2EE Web 服务中的Handler技术特点非常像Servlet技术中的Filter Web服务中的Handler通常也提供下的功能: 对客户端进行认证、授权; 把用户的访问写入系统日志; 对请求的SOAP消息进行加密,解密; 为Web Services对象做缓存。
WebApi安全性 使用TOKEN+签名验证
Curtain的博客
08-16 1772
原文地址:WebApi 使用TOKEN+签名验证 、不进行验证的方式 api查询接口: 客户端调用:http://api.XXX.com/getproduct?id=value1 如上,这种方式简单粗暴,在浏览器直接输入"http://api.XXX.com/getproduct?id=value1",即可获取产品列表信息了,但是这样的方式会存在很严重的安全性问题,没有进行任何的验证
Hmac.WebApi安全ASP.NET Core Web API认证解决方案
gitblog_00009的博客
03-16 1136
Hmac.WebApi安全ASP.NET Core Web API认证解决方案 去发现同类优质开源项目:https://gitcode.com/ 项目简介 是个开源的ASP.NET Core库,它提供了种简单而强大的方法来保护您的Web API免受未经授权的访问。这个库实现了基于HMAC(哈希消息认证码)的安全机制,可以确保请求的完整性和来源。 功能与用途 Hmac.WebApi可以帮助...
WebAPi接口安全之公钥私钥加密
xnxqwzy的博客
02-26 1316
随着各种设备的兴起,WebApi作为服务也越来越流行。而在无任何保护措施的情况下接口完全暴露在外面,将导致被恶意请求。最近项目的项目中由于提供给APP的接口未对接口进行时间防范导致短信接口被怒对造成定的损失,临时的措施导致PC和app的防止措施不样导致后来前端调用相当痛苦,选型过oauth,https,当然都被上级未通过,那就只能自己写了,就很,ԾㅂԾ,。下面就此次的方式做次记录。最终的效果:传输过程中都是密文,别人拿到请求串不能更改请求参数,通过接口过期时间防止同请求串直被调用。
Dotnet Core Public API安全实践
dotNET跨平台
08-13 352
公开API安全,其实更重要。 API安全作为个Dotnet Core的老司机,写API时,能兼顾到API安全,这是种优雅。 通常,我们会用认证来保证API安全,无敌的Au...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值