WebApi與手機客戶端通信安全機制
最近公司有幾個項目需要開發手機客戶端,服務器端選用WebApi,那么如何保證手機客戶端在請求服務器端時數據不被篡改,如何保證一個http請求的失效機制,下面總結一下我們在項目中針對這兩個問題的解決方案。
基本思路如下:
用戶在成功登陸app客戶端之后,手機客戶端向服務器端發出的所有的http請求在請求頭(HttpHeader)上都會帶上下面三個參數:1、Uid(用戶ID),2、Ts(時間戳),3、Sign(簽名)。其中Ts是當前時間減去1970-1-1得到的10位的時間時間戳數字,Sign是接口中所有http請求參數與Uid、Ts經過MD5加密后得到的一個字符串。
具體實現如下(客戶端的實現,手機客戶端生成下面兩個參數的思路是一樣的):
1、Ts時間戳
Ts參數可以保證請求的時效性,在手機客戶端生成的Ts,在服務器端驗證一下,保證請求是在我們規定的時間段內,具體代碼如下:
(1)、生成Ts(C#)代碼如下,Andriod和IOS可以同理生成
/// <summary>
/// 獲取十位的時間戳
/// </summary>
/// <param name="dt"></param>
/// <returns></returns>
public string GenerateTimeStamp(DateTime dt)
{
// Default implementation of UNIX time of the current UTC time
TimeSpan ts = dt.ToUniversalTime() - new DateTime(1970, 1, 1, 0, 0, 0, 0);
return Convert.ToInt64(ts.TotalSeconds).ToString();
}
(2)、服務器端端驗證Ts代碼如下,我們規定從手機客戶端發到服務器端的請求有效期為5分鍾,時間戳參數是跟在Http請求頭中
//獲取請求頭信息
var requestHeader = HttpContext.Current.Request.Headers;
//10位時間戳
var Ts = requestHeader.Get("Ts");
//驗證Ts是否合法(請求時間有效時間為:加減5分鍾)
var ts = Ts;//10位時間戳
if (ts.Length != 10)
{
var resp = Request.CreateResponse<string>(HttpStatusCode.OK, "請求已過期", "application/json"); ;
throw new HttpResponseException(resp);
}
var tsDate = ComHelper.ConvertIntDateTime(ts.ToString());
if (tsDate > DateTime.Now.AddMinutes(5) || tsDate < DateTime.Now.AddMinutes(-5))
{
var resp = Request.CreateResponse<string>(HttpStatusCode.OK, "請求已過期", "application/json"); ;
throw new HttpResponseException(resp);
}
(3)、ComHelper公共類代碼如下
ComHelper
2、Sign簽名
(1)、sign的生成規則:服務器端接口中的所有參數+Uid+Ts,去除掉參數中值為空的參數后, 按照參數key值排序,用&鏈接,並全部轉化為小寫,然后用MD5加密,通過HttpHeader發送到服務器端接口。
生成Sign大代碼如下(C#),Android和IOS可以同理生成
假如手機客戶端請求的一個API接口為:http://weapi.com/order/getlist?StatusID=1&CarID=2&CityID=3&name=&key=222 sign=md5(carid=2&cityid=3&key=222&statusid=1&ts=0123456789&uid=110)
(2)、驗證客戶端的Sign,防止參數被修改
//請求簽名,客戶端生成的簽名
var Sign = requestHeader.Get("Sign");
//排序字典,按照key排序
SortedDictionary<string, string> postValue = null;
//獲取請求中所有的參數
postValue = ComHelper.GetRequestSortDic(true);
postValue.Add("Uid", Uid);//API賬戶名稱
postValue.Add("Ts", Ts);//10位時間戳
string APIPrivateKey = "2D7E7C96-DAC5-4526-96C3-C60CDEC4B120";//客戶端和手機端保持一致
//服務器端生成的Sign
string mysign = ComHelper.GetResponseMysign(postValue, APIPrivateKey);
if (!Sign.Equals(mysign, StringComparison.InvariantCultureIgnoreCase))
{
var resp = Request.CreateResponse<string>(HttpStatusCode.OK, "簽名錯誤", "application/json"); ;
throw new HttpResponseException(resp);
}
3、模擬測試
(1)C#模擬Http請求,代碼如下
//請求的API地址
string url = "http://localhost:51942/api/Values/Get?StatusID=1&CarID=2&CityID=3&name=&key=1233";
//生成Ts
string Ts = ComHelper.GenerateTimeStamp(DateTime.Now);
//SortedDictionary會自動按照key值排序
SortedDictionary<string, string> sortDic = new SortedDictionary<string, string>();
sortDic.Add("StatusID", "1");
sortDic.Add("CarID", "2");
sortDic.Add("CityID", "3");
sortDic.Add("name", "");
sortDic.Add("key", "1233");
sortDic.Add("Uid","110");
sortDic.Add("Ts", Ts);
string APIPrivateKey = "2D7E7C96-DAC5-4526-96C3-C60CDEC4B120";//客戶端和手機端保持一致,md5加密多使用了一個參數
//獲取Sign簽名
string Sign = ComHelper.GetResponseMysign(sortDic, APIPrivateKey);
//發送請求
System.Net.WebRequest wReq = System.Net.WebRequest.Create(url);
wReq.Headers.Add("Uid", "110");
wReq.Headers.Add("Ts", Ts);
wReq.Headers.Add("Sign", Sign);
System.Net.WebResponse wResp = wReq.GetResponse();
System.IO.Stream respStream = wResp.GetResponseStream();
using (System.IO.StreamReader reader = new System.IO.StreamReader(respStream, Encoding.UTF8))
{
string res= reader.ReadToEnd();
}
(2)服務器端驗證參數,參數驗證寫在BaseApiController.cs文件中,只要繼承該類的都可以驗證客戶端傳過來的參數
public class ValuesController : BaseApiController
{
// GET api/values
public IEnumerable<string> Get(string StatusID,string CarID,string CityID,string name, string key)
{
return new string[] { "value1", "value2" };
}
BaseApiController
大家可以加我的QQ:530439142,一起交流成長
WebApi與手機客戶端通信安全機制
Eric.Chen 2015-10-20 18:23 閱讀:758 評論:7
WebApi 服務監控
Eric.Chen 2015-01-22 11:28 閱讀:1553 評論:2
webAPI 自動生成幫助文檔
Eric.Chen 2014-08-22 10:50 閱讀:1256 評論:4
MVC4+WebApi+Redis Session共享練習(下)
Eric.Chen 2013-08-09 21:49 閱讀:2156 評論:1
MVC4+WebApi+Redis Session共享練習(上)
Eric.Chen 2013-08-08 20:41 閱讀:3992 評論:12