asp.net web api 接口安全与角色控制

1 API接口验证与授权

JWT

JWT定义,它包含三部分:header,payload,signature;每一部分都是使用Base64编码的JSON字符串。之间以句号分隔。signature是”header.payload”经加密后的字符串。

采用JWT实现验证与授权检验机制,JWT格式为:

header :

{

"typ": "JWT",

"alg": "HS256"

}

payload:appid为GUID,timestamp为unix时间戳

{

"appid": GUID,

"timestamp": Unix time

}

Signature:使用HS256(HMAC SHA-256,SHA Secure Hash Algorithm,安全散列算法)对header和payload以‘.’连接的字符串进行签名。

JWT加密:采用RSA加密算法对其进行加密。

密钥发放

发放给客户端的参数:appId、appSecret、publicKey、privateKeyId。其中publicKey为RSA公钥,privateKeyId为服务端私钥Id。服务端或根据privateKeyId在缓存(本地或Redis等)中查找RSA私钥。

合成accessToken:header、payload与上述相同,签名密钥为appSecret。合成以后,使用publicKey对其进行加密。

合成headerJson:由accessToken和privateKeyId构成的Json字符串,然后将字符串用Base64编码方式编码。

验证流程

客户端将上述headerB64放入请求头,向服务端发起请求,服务端从请求头中拿到headerJson并解码headerJson,进而从中得到accessToken和privateKeyId,服务端根据privateKeyId找到privateKey,使用privateKey对accessToken解密,根据payload中的timestamp验证过期,若未过期,那么进行签名校验,验证通过授权用户端。

示例代码(关键性代码)

public abstract class BasicAuthenticationAttribute : Attribute, IAuthenticationFilter
    {

        public async Task AuthenticateAsync(HttpAuthenticationContext context, System.Threading.CancellationToken cancellationToken)
        {
            await Task.Factory.StartNew(()=>
            {
                //解析头信息,获得appid和timestamp
                var header = ...
                //如果未获得上述信息
                if (header == null)
                {
                    context.ErrorResult = new AuthenticationFailureResult(requestHeaderAnalysis.ExecStatus, context.Request);
                    return;
                }

                //从缓存中获得RSA私钥
string privateKey= ...
                if (String.IsNullOrWhiteSpace(privateKey))
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B07", "a001"), context.Request);
                    return;
                }

                //使用RSA私钥对AccessToken解密
                string accessToken = Decrypt(requestHeaderInfo.AccessToken, privateKey);
                if (String.IsNullOrWhiteSpace(accessToken))
                {//验证凭据是空,设置错误信息
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B05", "a001"), context.Request);
                    return;
                }

                //从AccessToken的payload中获得appKey和timestamp(时间戳)
                var payloadDict = JsonWebToken.DecodeToObject(accessToken);
                string appKey = Convert.ToString(payloadDict["appKey"]);
                string timestamp = Convert.ToString(payloadDict["timestamp"]);

                //在服务端数据库中,根据appKey查找appSecret
                ApiAccount apiAccount = GetApiAccount(appKey);
                if (apiAccount==null||string.IsNullOrWhiteSpace(apiAccount.AppSecret))
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B05", "a001"), context.Request);
                    return;
                }

                //验证是否超时,签名是否被篡改
                try
                {
                    //允许的时间段(小时转化为秒)
                    JsonWebToken.Validate(accessToken, apiAccount.AppSecret, (int)AppSettings.TokenTimeout.TotalSeconds);
                }
                catch (TokenExpiredException ex)
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B03", "a001"), context.Request);
                    return;
                }
                catch (SignatureVerificationException ex)
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B02", "a001"), context.Request);
                    return;
                }

            });
            //其他验证逻辑
            await AuthenticateHockAsync(context, cancellationToken);
        }

        //// <summary>
        /// 子类中重写
        /// 实现他验证逻辑
        /// </summary>
        protected abstract Task AuthenticateHockAsync(HttpAuthenticationContext context, System.Threading.CancellationToken cancellationToken);

        /// <summary>
        /// 设置principal
        /// </summary>
        public Task ChallengeAsync(HttpAuthenticationChallengeContext context, System.Threading.CancellationToken cancellationToken)
        {
            return Task.FromResult(0);
        }
        public bool AllowMultiple
        {
            get { return true; }
        }
    }

2 用户授权

某些数据只有用户登陆了才能够获得,并且不同的用户对数据的访问级别也不一样,为实现登陆验证与角色控制,采用以下方式。

在上述实现API接入权限验证的基础上,为headerJson增加一个字段:loginToken;和accessToken相似,loginToken也是JWT标准字符串,不同的是loginToken的payload部分,loginToken的payload结构为:

{

"identifyingCode": GUID,

"account":userAccount

"timestamp": Unix time

}

其中:identifyingCode值为GUID,account为用户账号,timestamp是UNIX时间戳。

客户端不生成loginToken,在客户端合成accessToken后,调用服务端的登陆方法,成功登陆后获得loginToken。

 

服务端验证流程

客户端调用登陆方法的同时,如果登陆成功,服务端会将登陆信息存储到缓存中,主要的就是loginToken,根据业务需要可以增加其他信息。每一个loginToken对应了一个键值,这里使用useAccount,即用户账号作为键值。服务端获得loginToken后,根据privateKeyId(headerJson字段之一)获得privateKey对loginToken解密,根据payload中的timestamp验证是否过期,然后验证签名是否正确,接着根据account找到上次登陆时服务端缓存中存储的loginToken,比较本次loginToken中的identifyingCode是否与上次一样,不一样表明,其在另一台设备登陆过。

单设备登陆:

某些情形下,不允许多设备同时使用同一账号登陆或多人同时使用同一账号,上述方法采用loginToken中添加identifyingCode字段来控制多设备同时使用同一账号的情形。

示例代码(关键性代码)

public class LoginAuthenticationAttribute : BasicAuthenticationAttribute
    {
        protected override async Task AuthenticateHockAsync(HttpAuthenticationContext context, System.Threading.CancellationToken cancellationToken)
        {
            await Task.Factory.StartNew(() =>
            {
                //解析头信息,获得appid和timestamp
                var header = ...
                //如果未获得上述信息
                if (header == null)
                {
                    context.ErrorResult = new AuthenticationFailureResult(...);
                    return;
                }

                //获得LoginToken
                if (String.IsNullOrWhiteSpace(requestHeaderInfo.LoginToken))
                { //验证凭据是空,设置错误信息
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B01", "a002"), context.Request);
                    return;
                }

                //从loginToken的payload中获得account,timestamp(时间戳)
                var payloadDict = JsonWebToken.DecodeToObject(requestHeaderInfo.LoginToken);
                string identifyingCode = Convert.ToString(payloadDict["identifyingCode"]);
                string account = Convert.ToString(payloadDict["account"]);
                string timestamp = Convert.ToString(payloadDict["timestamp"]);
                //从缓存中获得LoginToken
                LoginInfoDAL loginInfoDAL = new LoginInfoDAL(AppSettings.TokenTimeout);
                LoginCacheModel loginInfo = loginInfoDAL.GetLoginInfo(account);
                if (loginInfo == null)
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("C13", "a002"), context.Request);
                    return;
                }

                //比较客户端传入LoginToken和缓存中的LoginToken的userId
                var payloadDictCache = JsonWebToken.DecodeToObject(loginInfo.LoginToken);
                string identifyingCodeCache = Convert.ToString(payloadDictCache["identifyingCode"]);

                if (identifyingCodeCache != identifyingCode)
                {//不相等,提示在另一台设备登陆
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("C08", "a002"), context.Request);
                    return;
                }

                //得到密钥
                TokenKeyDAL tokenKeyDAL = new TokenKeyDAL(AppSettings.TokenTimeout);
                string loginTokenKey = tokenKeyDAL.GetTokenKey(account);
                if (string.IsNullOrWhiteSpace(loginTokenKey))
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B04","a002"), context.Request);
                    return;
                }

                //验证是否超时,LoginToken是否被篡改
                try
                {
                    //允许的时间段(小时转化为秒)
                    int allowSpan = (int)AppSettings.TokenTimeout.TotalSeconds;
                    JsonWebToken.Validate(requestHeaderInfo.LoginToken, loginTokenKey, allowSpan);
                }
                catch (TokenExpiredException ex)
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B03", "a002"), context.Request);
                }
                catch (SignatureVerificationException ex)
                {
                    context.ErrorResult = new AuthenticationFailureResult(StatusCodeManager.GetStatusInfo("B02", "a002"), context.Request);
                }
            });
        }
    }
时间: 2024-10-15 10:49:26

asp.net web api 接口安全与角色控制的相关文章

如何让你的 Asp.Net Web Api 接口,拥抱支持跨域访问。

由于 web api 项目通常是被做成了一个独立站点,来提供数据,在做web api 项目的时候,不免前端会遇到跨域访问接口的问题. 刚开始没做任何处理,用jsonp的方式调用 web api 接口,总是报一个错误,如下: 如果你想用JSONP来获得跨域的数据,WebAPI本身是不支持javascript的callback的,它返回的JSON是这样的: {"YourSignature":"嫁人要嫁程序员,钱多话少死得早"} 然而,JSONP请求期望得到这样的JSON

ASP.NET WEB API 初探

本文初步介绍如何简单创建一个ASP.NET Web Api 程序. Web Api 顾名思义就是一个Api接口,客户端可调用此接口进行业务操作.此类应用与 ASP.NET  web服务(即使用扩展名.asmx的web服务文件)有一定的相似之处,又有大不同, ASP.NET Web Api 主要是基于ASP.NET MVC 框架. 废话少说,现在开始. 我用的开发工具是Visul studio 2015. 1. 创建ASP.NET Web Api 项目. 改项目名称为DRMWebAPI,可得如下项

用ASP.NET Web API技术开发HTTP接口(一)

开发工具 Visual Studio 2013 SQL Server 2008 R2 准备工作 启动Visual Studio 2013,新建一个ASP.NET Web应用程序,命名为SimpleAPI.选择Empty模板,并勾选"Web API",无身份验证,不添加单元测试. 准备用SQL Server数据库来存储数据,因此要安装下Entity Framework框架,免去写繁琐SQL语句的麻烦.打开工具->程序包管理器控制台输入以下命令安装. Install-Package

ASP.NET Web Api 2 接口API文档美化之Swagger

使用第三方提供的swgger ui 可有效提高 web api 接口列表的阅读性,并且可以在页面中测试服务接口. 但本人在查阅大量资料并进行编码测试后,发现大部分的swagger实例并不能有效运行.例如如下两个网址:http://www.cnblogs.com/caodaiming/p/4156476.html 和 http://bitoftech.net/2014/08/25/asp-net-web-api-documentation-using-swagger/.经过本人的一番折腾,最终发现

对一个前端使用AngularJS后端使用ASP.NET Web API项目的理解(1)

chsakell分享了一个前端使用AngularJS,后端使用ASP.NET Web API的项目. 源码: https://github.com/chsakell/spa-webapi-angularjs文章:http://chsakell.com/2015/08/23/building-single-page-applications-using-web-api-and-angularjs-free-e-book/ 这里记录下对此项目的理解.分为如下几篇: ● 对一个前端使用AngularJ

ASP.NET Web API 安全筛选器

原文:https://msdn.microsoft.com/zh-cn/magazine/dn781361.aspx 身份验证和授权是应用程序安全的基础.身份验证通过验证提供的凭据来确定用户身份,而授权则决定是否允许用户执行请求的操作.安全的 Web API 身份验证基于确定的身份请求和授权用户请求的资源访问. 您可以在 ASP.NET Web API 中使用 ASP.NET Web API 管道中提供的扩展点,以及使用由主机提供的选项来实现身份验证.对于 ASP.NET Web API 的第一

Asp.net Web Api 设计

目录 Asp.net Web Api 设计[持续更新] 第一部分 基础知识 第一章 因特网.万维网和HTTP协议 1.1 Web体系结构 第二章 Web Api 2.1 什么是Web Api 2.6 Web Api 指南 第三章 Asp.Net Web Api Asp.net Web Api 设计[持续更新] 第一部分 基础知识 第一章 因特网.万维网和HTTP协议 1.1 Web体系结构 Web体系有三个核心概念:资源 .URL和表示.一个资源由一个URI进行标识,而HTTP客户端使用URI就

微信小程序的Web API接口设计及常见接口实现

微信小程序给我们提供了一个很好的开发平台,可以用于展现各种数据和实现丰富的功能,通过小程序的请求Web API 平台获取JSON数据后,可以在小程序界面上进行数据的动态展示.在数据的关键 一环中,我们设计和编写Web API平台是非常重要的,通过这个我们可以实现数据的集中控制和管理,本篇随笔介绍基于Asp.NET MVC的Web API接口层的设计和常见接口代码的展示,以便展示我们常规Web API接口层的接口代码设计.参数的处理等内容. 1.Web API整体性的架构设计 我们整体性的架构设计

ASP.NET Web API 2基于令牌的身份验证

基于令牌的认证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户. WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几个好处:可扩展性.松散耦合.移动终端调用比较简单等等,别人都用上了,你还有理由不用吗? 下面我们花个20分钟的时间来实现一个简单的WEB API token认证: Step 1: 新建一个空的WEB API项目,项目名称就设置为