webapi服务端对接app

小贝

目前移动端流行 ，本文章主要介绍本人（新手） 开发 与app对接服务端 进行分享 。不足之处请指正

与app对接 一般的站点接口 需映射外网（即外部网络可以直接访问该接口项目），那么 这就要考虑到项目的数据保密性和一些验证。

目前 我做的接口中所用到了 如下技术：

1：数据的加密/解密： 数据在传输过程中 需要进行加解密操作 才能有效的保护数据的安全性 （我的项目中采用.net framwork 自带的aes 加解密）

数据加密 可采用自定的加密方式（如 AES DES ）等 这里就不贴代码了。

2：签名验证：即 app端将数据进行 不可逆加密 然后 放在http请求的header中 ，服务端 获取到 数据 采用相同的不可逆加密方式进行获得 密文 ，将app的密文和服务端解析的密文进行匹配 （可在一定程度上保护数据不被篡改）

3：时间戳验证：app端 在http请求中 加入时间戳 数据 ，服务端获取时间戳 ，去验证 app的时间戳 与服务器端 设定的时间戳 ，防止重放攻击

4：登录时效验证：在每次登录时 产生一个唯一的token验证码 存储在数据库中 ，并将该 token返回至APP ，app每次请求数据 去验证 token是否 已过时，如果过时 重新登录

在 项目开发过程中 对于以上的验证 建议统一处理

1：在请求数据进入时 统一进行 参数的解密和验证

　　方法：统一解密 webapi 项目 可以继承类 MessageProcessingHandler 并重写 ProcessRequest 和 ProcessResponse 方法

　　在该ProcessRequest 方法中进行数据的解密

　　在该ProcessResponse 方法中进行数据的加密

2.数据验证 继承 类 DelegatingHandler ，并重写 SendAsync 方法 进行 数据的相关验证， 一般 如果验证 通过 结果直接 return base.SendAsync(request, token); 即 最终的效果为 将消息分发到 对应的接口中 进行处理

如果验证不通过 可 直接采用如下方式直接 返回信息

///

/// 返回客户端错误信息
///

/// http请求
/// 是否加密响应信息
/// 错误信息
///
/// 异步方式返回的错误消息
///
private Task GenerateErrorResponse(HttpRequestMessage request,
bool needEncrypt,
string errorMessage = "请求参数错误")
{
// 记录错误的请求日志
LogErrorRequest(request);

// 生成错误响应消息
var response = new HttpResponseMessage();
var error = JsonConvert.SerializeObject(new ApiResult() { Message = errorMessage });
response.Content = new StringContent(error, Encoding.GetEncoding("UTF-8"), "application/json");
response.StatusCode = System.Net.HttpStatusCode.OK;
if(needEncrypt)
response.Content.Headers.Add("toencrypt", "");

return Task.Factory.StartNew(() => response);
}

下面就到 代码 showTime: 以下 两个类创建之后 在 global 中注册即可

1. /// <summary>
2. /// 处理请求参数和响应消息的加解密
3. /// </summary>
4. public class MessageHandler : MessageProcessingHandler
5. {
6. #region Private Fields & Const
8. private readonly TelemetryClient _client;
10. #endregion
12. #region Constructor
14. /// <summary>
15. /// Constructor
16. /// </summary>
17. public MessageHandler()
18. {
19. _client = new TelemetryClient();
20. }
22. #endregion
25. #region Override Methods
27. /// <summary>
28. /// 处理request
29. /// 1、消息解密
30. /// </summary>
31. /// <param name="request">Http 请求</param>
32. /// <param name="cancellationToken">cancellation token</param>
33. /// <returns>处理后的http request</returns>
34. protected override HttpRequestMessage ProcessRequest(HttpRequestMessage request,
35. CancellationToken cancellationToken)
36. {
37. // 过滤swagger请求
38. if (request.RequestUri.Segments.Contains("swagger"))
39. return request;
41. try
42. {
43. var method = request.Method.Method.ToLowerInvariant();
44. if ("get" == method || "delete" == method)
45. {
46. if (request.RequestUri.Query.Length <= 0)
47. return request;
49. var encryptedStr = request.RequestUri.Query?.Substring(1, request.RequestUri.Query.Length - 1);
50. if (!string.IsNullOrEmpty(encryptedStr))
51. {
52. var parameters = HandlerUtility.AES128Decrypt(encryptedStr);
53. var url = $"{request.RequestUri.AbsoluteUri.Split('?')[0]}?{ parameters }";
54. request.RequestUri = new Uri($"{request.RequestUri.AbsoluteUri.Split('?')[0]}?{ parameters }");
55. }
56. }
57. else
58. {

复制代码

1. /// <summary>
2. /// Message handler to validate and decrypt request parameter
3. /// </summary>
4. public class AuthenticationHandler : DelegatingHandler
5. {
6. #region Private Fields
8. private readonly TelemetryClient _client;
10. #endregion
12. #region Constructor
14. /// <summary>
15. /// Constructor
16. /// </summary>
17. public AuthenticationHandler()
18. {
19. _client = new TelemetryClient();
20. }
22. #endregion
24. #region Override Methods
26. /// <summary>
27. /// 验证请求参数
28. /// </summary>
29. /// <param name="request">http请求</param>
30. /// <param name="token">cancellation token</param>
31. /// <returns>
32. /// HttpResponseMessage
33. /// </returns>
34. protected override Task<HttpResponseMessage> SendAsync(HttpRequestMessage request,
35. CancellationToken token)
36. {
39. try
40. {
41. // 检查时间戳
42. if (!CheckTimestamp(request.Headers))
43. return GenerateErrorResponse(request, true);
45. // 检查签名
46. var parameters = GetParameters(request);
47. if (!CheckSignature(request.Headers, parameters))
48. return GenerateErrorResponse(request, true);
49. }
50. catch (Exception ex)
51. {
53. return GenerateErrorResponse(request, true, "请求失败！");
54. }
56. return base.SendAsync(request, token);
57. }
59. #endregion
61. #region Private Methods
64. /// <summary>
65. /// 获取请求参数
66. /// </summary>
67. /// <param name="request">http 请求</param>
68. /// <returns>请求参数</returns>
69. private static string GetParameters(HttpRequestMessage request)
70. {
71. if (request == null)
72. return string.Empty;
74. string parameters = null;
75. if ("get".Equals(request.Method.Method, StringComparison.InvariantCultureIgnoreCase) ||
76. "delete".Equals(request.Method.Method, StringComparison.InvariantCultureIgnoreCase))
77. {
78. if (!string.IsNullOrEmpty(request.RequestUri.OriginalString) &&
79. request.RequestUri.OriginalString.Length > 1)
80. {
81. var urlArray = request.RequestUri.OriginalString.Split('?');
82. if (urlArray != null && urlArray.Length > 1)
83. parameters = urlArray[1];
84. }
85. }
86. else
87. {
88. // post/put/delete
89. parameters = request.Content.ReadAsStringAsync().Result;
90. }
92. return parameters;
93. }
95. /// <summary>
96. /// 返回客户端错误信息
97. /// </summary>
98. /// <param name="request">http请求</param>
99. /// <param name="needEncrypt">是否加密响应信息</param>
100. /// <param name="errorMessage">错误信息</param>
101. /// <returns>
102. /// 异步方式返回的错误消息
103. /// </returns>
104. private Task<HttpResponseMessage> GenerateErrorResponse(HttpRequestMessage request,
105. bool needEncrypt,
106. string errorMessage = "请求参数错误")
107. {
108. // 记录错误的请求日志
109. LogErrorRequest(request);
111. // 生成错误响应消息
112. var response = new HttpResponseMessage();
113. var error = JsonConvert.SerializeObject(new ApiResult() { Message = errorMessage });
114. response.Content = new StringContent(error, Encoding.GetEncoding("UTF-8"), "application/json");
115. response.StatusCode = System.Net.HttpStatusCode.OK;
116. if(needEncrypt)
117. response.Content.Headers.Add("toencrypt", "");
119. return Task<HttpResponseMessage>.Factory.StartNew(() => response);
120. }
122. /// <summary>
123. /// 验证错误的请求记录日志
124. /// </summary>
125. /// <param name="request">http请求</param>
126. private void LogErrorRequest(HttpRequestMessage request)
127. {
128. if (request == null)
129. return;
131. // 记录请求参数
132. var method = request.Method.Method.ToLowerInvariant();
133. if ("get" == method || "delete" == method)
134. {
135. //记录下相关日志 以备查看
136. }
137. else
138. {
139. request.Content.ReadAsStreamAsync().Result.Seek(0, SeekOrigin.Begin);
140. var body = request.Content.ReadAsStringAsync().Result;
142. }
145. }
147. /// <summary>
148. /// 验证时间戳
149. /// </summary>
150. /// <param name="headers">请求头信息</param>
151. /// <returns>
152. /// true表示验证成功
153. /// false表示验证失败
154. /// </returns>
155. private static bool CheckTimestamp(HttpRequestHeaders headers)
156. {
157. if (headers == null)
158. return false;
160. long timestamp = 0;
161. if (headers.Contains("timestamp"))
162. long.TryParse(headers.GetValues("timestamp").FirstOrDefault(), out timestamp);
164. // 请求URL的有效期为15分钟，防止重放攻击
165. return GetTotalMillisecondsSince1970() - timestamp < 15 * 60 * 1000;
166. }
168. /// <summary>
169. /// 验证签名
170. /// </summary>
171. /// <param name="headers">请求头信息</param>
172. /// <param name="parameters">
173. /// 解密后的请求参数
174. /// 对于get/delete请求，parameter为querystring
175. /// 对于post/put/patch, paramters为json字符串
176. /// </param>
177. /// <returns>
178. /// true 表示验证成功
179. /// false表示验证失败
180. /// </returns>
181. private static bool CheckSignature(HttpRequestHeaders headers, string parameters)
182. {
183. if (headers == null ||
184. !headers.Contains("sign") ||
185. !headers.Contains("timestamp") ||
186. !headers.Contains("random"))
187. return false;
189. // 客户端传过来的签名
190. var sign = headers.GetValues("sign")?.FirstOrDefault();
192. // 服务器重新计算签名
193. string computedSign = null;
194. var timestamp = headers.GetValues("timestamp")?.FirstOrDefault();
195. var random = headers.GetValues("random")?.FirstOrDefault();
196. computedSign = HandlerUtility.SHA256Encode(parameters + timestamp + random);
198. // 签名不一致，参数被篡改
199. var base64Sign = sign.Replace("$", "+").Replace("*", "=");
200. return string.Equals(base64Sign, computedSign, StringComparison.InvariantCulture);
201. }
204. #endregion
205. }

复制代码

　　

1. // post/put/patch var encryptedStr = request.Content.ReadAsStringAsync().Result; if (!string.IsNullOrEmpty(encryptedStr)) { var parameters = HandlerUtility.AES128Decrypt(encryptedStr);//加解密自定义方法 request.Content = new StringContent(parameters); request.Content.Headers.ContentLength = parameters.Length; request.Content.Headers.ContentType = new MediaTypeHeaderValue("application/json"); } } } catch (Exception ex) { _client.TrackException(ex); } return request; } /// <summary> /// 处理response /// 1、消息加密 /// </summary> /// <param name="response">明文响应消息</param> /// <param name="cancellationToken">cancelation token</param> /// <returns>密文响应消息</returns> protected override HttpResponseMessage ProcessResponse(HttpResponseMessage response, CancellationToken cancellationToken) { if (response.Content != null) { var contentType = response.Content.Headers.GetValues("content-type").FirstOrDefault(); if (response.Content.Headers.Contains("toencrypt")) { var plaintext = response.Content.ReadAsStringAsync().Result; response.Content = new StringContent(HandlerUtility.AES128Encrypt(plaintext)); response.Content.Headers.Remove("toencrypt"); } } return response; } #endregion }

复制代码