Api接口签名验证

通过特性来统一验证的入口,实现ActionFilterAttribute接口来进行接口的签名验证

    /// 
    /// 标准接口基类Controller
    /// 
    [SignVerification]
    public abstract class BaseApiController : Controller
    {
    }
    
    /// 
    /// 接口签名验证
    /// 
    public class SignVerificationAttribute : ActionFilterAttribute,IAuthenticationFilter
    {
    }

实现的思路为:

1.不同对接方的接口(插件)定义不同的验证key,不同的插件间不能混用验证key

2.不同的插件生成不同的partnerId,partnerKey。请求的Url中需要携带partnerId,通过partnerId作为key在redis中找到对应的插件验证信息(包括:partnerId,partnerKey等)

3.Url参数中必须包含partnerId,ts(时间戳),sign(加密签名)。ts时间戳的有效时间为5分钟,sign为(时间戳:formBody:partnerId:partnerKey)的MD5加密

4.如果通过partnerId可以找到对应的验证信息,再把(时间戳:formBody:partnerId:partnerKey)MD5加密后和sign比较确保请求没有被篡改

5.确保partnerId为当前插件而非其他插件的,因为redis是共用的,只是通过key去取值而已

签名方式

将时间戳和请求Form参数以及PartnerKey以冒号连接,如(时间戳:body:partnerId:PartnerKey)
将连接好的字符串进行MD5生成sign

Url参数

参数 说明 类型 必须 备注
pid partnerId string  
ts 时间戳(格式:yyyyMMddHHmmss) string 时间戳的有效时间为5分钟
sign MD5(时间戳:body:partnerId:pkey) string 参考签名方式

具体代码实现

    /// 
    /// 接口签名验证
    /// 
    public class SignVerificationAttribute : ActionFilterAttribute, IAuthenticationFilter
    {
        private readonly IDefaultUserService _defaultUserService;
        private readonly IInterfaceSignProvider _interfaceSignProvider;
        public SignVerificationAttribute()
        {
            _defaultUserService = ObjectContainer.GetService();
            _interfaceSignProvider = ObjectContainer.GetService();
        }

        public void OnAuthentication(AuthenticationContext filterContext)
        {
            var request = filterContext.HttpContext.Request;
            var partnerId = request.QueryString["pid"];
            var timeStamp = request.QueryString["ts"];
            var sign = request.QueryString["sign"];//获取Url参数
            var body = GetBodyText(request.InputStream);

            if (!ValidSign(filterContext,timeStamp, sign, body,partnerId,out IInterfaceSignInfo signInfo))//加密验证
            {
                filterContext.Result = new ApiResult {Success = false, ErrorMessage = "无效签名"};
                return;
            }

            var service = ObjectContainer.GetService();
            var userId = _defaultUserService.GetDefaultUserId(signInfo.LicNo);
            var identity = service.SignIn(userId, signInfo.LicNo, false, TimeSpan.FromMinutes(5), SessionType.WebApi);
            var newPrincipal = new GenericPrincipal(identity, new string[] { });
            filterContext.Principal = newPrincipal;
        }
        private static string GetBodyText(Stream stream)
        {
            using (var ms = new MemoryStream())
            {
                stream.CopyTo(ms);
                return Encoding.UTF8.GetString(ms.ToArray());
            }
        }

        private bool ValidSign(AuthenticationContext filterContext,string timeStamp, string sign, string body,string partnerId,out IInterfaceSignInfo signInfo)
        {
            signInfo = null;
            if (!string.IsNullOrEmpty(timeStamp) && !string.IsNullOrEmpty(sign)&& !string.IsNullOrEmpty(partnerId))
            {
                var cache = _interfaceSignProvider.GetInterfaceSignInfo(partnerId);//通过partnerId当key读取redis
                if (cache.Enabled)
                {
                    var areaName = filterContext.RouteData.DataTokens["area"]?.ToString().ToLower();//获取请求的area,即请求的是哪个插件
                    if (string.IsNullOrEmpty(areaName) || !cache.PluginCode.ToLower().StartsWith(areaName))
                    {
                        return false;//PluginCode需以areaName开头,否则意味着不是同一个插件(如:PluginCode=juwov1,areaName=JuWo)
                    }
                    if (DateTime.TryParseExact(timeStamp, "yyyyMMddHHmmss", CultureInfo.CurrentCulture.DateTimeFormat, DateTimeStyles.AllowWhiteSpaces, out var time) &&
                        (DateTime.Now - time).TotalMinutes <= 5)//时间戳有效期为5分钟
                    {
                        signInfo = cache;
                        var hashKey = EncryptHelper.Hash($"{timeStamp}:{body}:{partnerId}:{cache.PartnerKey}", "MD5").ToLowerInvariant();//MD5加密对比
                        return string.Equals(hashKey, sign);
                    }
                }
                
            }
            return false;
        }
public void OnAuthenticationChallenge(AuthenticationChallengeContext filterContext){}
    }

 

这样就实现了接口的签名验证了。但是还有一个问题是,如果同时存在多个不同的对接接口(插件)时,partnerId,PartnerKey应该是不一样的。即插件1和插件2的验证key是不能混用的。

可以通过路由来区分不同的插件,来选择进入不同的area,通过area来区分不同的插件验证key。

    public class JuWoAreaRegistration: AreaRegistration
    {
        public override void RegisterArea(AreaRegistrationContext context)
        {
            context.MapRoute(
                "JuWo_default",
                "api/JuWo/{controller}/{action}/{id}",
                new {action = "Index", id = UrlParameter.Optional},
                new[] {"iERP.Its.Web.Areas.JuWo.Controllers"}
            );
        }

        public override string AreaName => "JuWo";
    }

 在之前的ValidSign方法中,通过var areaName = filterContext.RouteData.DataTokens["area"]?.ToString().ToLower();来获取到当前请求的是哪个插件,在把url上获取到的partnerId与我们之前约定好的比较看是否能对应。

 

你可能感兴趣的:(Api接口签名验证)