最新文章 (全部类别)
.NETCore WebApi阻止接口重复调用(请求并发操作)
VS2022消除编译警告
“SymmetricAlgorithm.Create(string)”已过时:“Cryptographic factory methods accepting an algorithm name are obsolete. Use the parameterless Create factory method on the algorithm type instead
SHA256Managed/SHA512Managed已过时:Derived cryptographic types are obsolete. Use the Create method on the base type instead
MD5CryptoServiceProvider已过时:Derived cryptographic types are obsolete. Use the Create method on the base type instead
C#使用HttpClient获取IP地址位置和网络信息
判断IP是否是外网IP、内网IP
C#使用HttpClient获取公网IP
WebRequest.Create(string)已过时:WebRequest, HttpWebRequest, ServicePoint, and WebClient are obsolete. Use HttpClient instead
C#根据第三方提供的IP查询服务获取公网外网IP地址
html/dom/js/javascript开发记录
调试ASP.NETCore Web站点 - 清理IISExpress缓存数据(js,css)
EFCore+Oracle根据不同的Schema连接数据库
主程序集成CSFramework.EF 数据库框架(.NET7版本)
CSFramework.EF数据库框架简介(.NET8+EFCore)
迁移ECS服务器:导致ORACLE监听服务启动不了解决方案
SQLite数据库
VS2022编译报错:Visual Studio 容器工具需要 Docker Desktop
.NET 9 预览版+C#13新功能
EFCore禁用实体跟踪
WebApi开发框架V3.0 (.NETCore+EFCore) 增加AppSettings全局参数类
C#获取应用程序所有依赖的程序集
LINQ Expression 多条件复合条件组合(And/Or)
CSFrameworkV6客户案例 - MHR - 宁德时代制造人力资源系统
CS软件授权注册系统V3 - 发布证书
C/S软件授权注册系统V3.0(Winform+WebApi+.NET8+EFCore版本)
CS软件授权注册系统V3 - 购买方式
CS软件授权注册系统V3 - 试用版下载
CS软件授权注册系统-客户登记(制作证书)
C/S软件授权注册系统V3.0 - 管理员工具
CSFrameworkV6旗舰版开发框架 - 集成软件授权认证系统
CSFramework.Authentication 软件证书管理系统 - 制作软件客户授权证书
CSFramework.Authentication 软件证书管理系统 - MAC地址管理
CSFramework.Authentication 软件授权证书管理系统
Login/Logout接口调用dalUser的Login/Logout方法
C# Newtonsoft.Json.Linq.JObject 转对象
CSFramework.Authentication 软件授权认证系统 - 软件测试报告
C/S架构软件开发平台 - 旗舰版V6.0 - 底层框架迭代开发
C/S架构软件开发平台 - 旗舰版V6.1新功能 - 增加软件授权认证模块
C/S架构软件开发平台 - 旗舰版CSFrameworkV6 Bug修改记录
CS软件授权注册系统V3 - 开发手册 - 软件集成与用户注册
CS软件授权注册系统-模拟MES/ERP用户注册软件
CS软件授权注册系统-发布/部署WebApi服务器(IIS+.NET8+ASP.NETCore)
CS软件授权注册系统-VS2022调试WebApi接口
.NETCore Console控制台程序使用ILogger日志
CS软件授权注册系统-WebApi服务器介绍
ASP.NETCore集成Swagger添加Authorize按钮Bearer授权
CS软件授权注册系统-WebApi服务器配置
.NETCore WebApi发布到IIS服务器无法打开swagger
.NET8/ .NETCore /ASP.NETCore 部署WebApi到IIS服务器需要安装的运行环境
.net敏捷开发,创造卓越

WebApi框架数据安全、信息安全与接口安全六大机制


  WebApi框架数据安全、信息安全与接口安全六大机制WebApi框架数据安全、信息安全与接口安全六大机制



WebApi框架数据安全、信息安全与接口安全六大机制


贴图图片-webapi信息安全机制




一、Token机制


Token:令牌,访问接口的身份标识。

每次登录系统生成一个标识,存储在Api_UserToken表。 有过期特征,若要维持Token不过期,要保持访问接口活动状态。因此访问接口时会刷新当前用户的活动时间,重置初始状态。类似心跳机制。

Token过期:web.config设置,TokenExpireMinutes参数(默认值5分钟)。

若api_user表的TokenExpires=null, 则取web.config的TokenExpiresMinutes参数。

应用:手机APP程序、Web系统, 基于C/S架构的WCF服务。

Web端或移动端,访问接口要传递令牌参数。



WebApi Token相关参考文章:


基于Web前端用户调用CSFramework.WebApi服务端登录登出接口实现


CSFramework.WebApi令牌管理器(Token Provider)实现添加、删除、刷新令牌过期控制


CSFramework.WebApi后端服务器框架:客户端调用WebApi接口方式(签名+Token令牌)


CSFramework.WebApi开发框架模拟Web用户端登录、调用WebApi接口增删改查数据


CSFramework.WebApi后端框架Token令牌工作机制以及Token刷新原理


WebApi开发框架:Token生成、Token缓存原理、Token验证、令牌机制与原理



二、ApiKey(公钥)Secret Key(私钥)


ApiKey(公钥)开发者编号

给应用程序开发者分配的公钥(用户身份证,唯一标识, 明文传输), 提供给:平台的合作伙伴、供应商、客户等。

比如我们的WebApi服务器,要开放接口给客户使用,分配给喜鹊科技一个Apikey:

公钥:5A02D19B-0397-497E-87EF-B4C8263F741E

私钥:6A02D19B-0397-497E-87EF-B4C826366666


安全机制:当用户访问接口时,最先判断ApiKey是否在WebApi服务器存在!!!

HTTPPOST: act.aspx?apikey=5A02D19B-0397-497E-87EF-B4C8263F741E

SecreKey(私钥):用于数字签名,MD5加密。
私钥的特点:WebAPI接口不传输参数,公钥和私钥是1对1,一个公钥配对一个私钥。



ApiKey表(Api_UserKeys表)


贴图图片-api_user




三、平台用户表(Api_User)


贴图图片-api_user表


平台用户表用于管理和维护系统登录账号,登录用户。根据手机号、密码、登录时间等信息以及用户登录登出时间可以分析用户行为。

通过Status状态可以锁定用户禁止登录。

TokenExpires:Token过期时间(minutes), 15分、7天,15天,月,用不过期。


四、数据签名、加密

WebApi接口的数字签名(Data Sign)机制

WebApi接口的数字签名用于接口数据安全以及用户认证防篡改。

防篡改,顾名思义就是防止有人恶意篡改请求数据以达到恶意攻击的目的。

基本原理:

将要请求的数据加上ApiKey(公钥)、SecreKey(私钥),按规则组织成一个字符串,获取对应的MD5摘要,然后将该摘要及公钥同时作为请求的参数一起传递(私钥禁止传递)给WebApi服务器。

基本流程:

1. 客户端数字签名(MD5数据加密)

格式:partner=公钥&orderNo=业务数据&sign=MD5签名
格式:partner=3122131212&orderNo=1234567&sign=EBFE84D02E8E40952899EE5CDFE5404C
签名算法:MD5(partner+orderNo+私钥), MD5三个参数的值。


2. 服务端签名校验(解密)

首先通过请求的ApiKey获取对应的私钥,然后通过上述签名算法计算MD5值,
对比请求的sign参数与计算结果是否一致,若不一致,数据被篡改。


JSON Code:

{
Apikey: 5A02D19B-
0397-497E-87EF-B4C8263F741E
Data:“我要获取数据”
Sign: 8dfa959cd5db1ead40a29c56cfe176ec

}


//来源:C/S框架网 | www.csframework.com | QQ:
23404761



五、接口限流(Throttling)


限流:Throttling, 针对用户访问接口的频率进行控制,如限制同一个IP每秒种对XX接口访问3次。

结合路由器的ddos+WebApi的限流,确保服务器及应用程序安全。

Throttling是三方插件(dll)。



参考文章:

WebApi接口安全机制:API接口限流防止恶意访问 ThrottlingHandler消息处理机制




六、黑、白名单用户



黑名单:sys_IP_Blacklist

客户端请求(Request)会带有终端信息,比如:IP,操作系统,时间。

WebApi后台判断当前IP是否在黑名单存在,黑名单用户拒绝访问接口。

判断黑名单的优先级最高!!!


白名单:sys_IP_Whitelist

优先通道用户,享有特权用户。如:后台系统有5级安全检查,若是白名单用户只需3级检查即可。




C/S框架网|原创精神.创造价值.打造精品

扫一扫加微信
C/S框架网作者微信 C/S框架网|原创作品.质量保障.竭诚为您服务

版权声明:本文为开发框架文库发布内容,转载请附上原文出处连接
C/S框架网
上一篇:什么是ASP.NET WebApi控制器(APIController)?
下一篇:CSFramework WebApi开发框架日志管理(系统日志、接口日志)
评论列表

发表评论

评论内容
昵称:
关联文章

WebApi框架数据安全信息安全接口安全机制
WebApi接口安全机制:API接口限流防止恶意访问 ThrottlingHandler消息处理机制
CSFramework.WebApi系统安全保障机制
WebApi接口安全之用户认证防篡改数字签名(Data Sign)机制
【原创】WebApi开发框架:Token生成、Token缓存原理、Token验证、令牌机制原理
CSFramework.WebApi服务端处理流程机制
数字签名(Data Sign)+存取令牌(Access Token)双重安全请求WebApi接口
CSFramework.WebApiV3.WebApi系统安全
CSFramework.WebApiV3.WebApi系统安全
CSFramework.WebApi开发框架模拟Web用户端登录、调用WebApi接口增删改查数据
CSFramework.WebApi后端框架Token令牌工作机制以及Token刷新原理
WebApi架构详解,WebApi接口搭建部署WebApi服务器
WebApi后端框架Token身份认证,Api接口Token验证
C#源代码安全缺陷提高源代码质量解决方案
AspNet WebAPI后端框架消息处理机制(配置属性HttpConfiguration.MessageHandlers)
Demo调用WebApi接口 - CSFramework.WebApi后端开发框架
C#SQL客户端处理文本数据通用接口
C#.NET WEBAPI 接口设计调用
软件开发设计 - MIS-管理信息系统(客户负荷管理系统数据库设计)
WebApi开发框架接口模版代码

热门标签
软件著作权登记证书 .NET .NET Reactor .NET5 .NET6 .NET7 .NET8 .NET9 .NETFramework APP AspNetCore AuthV3 Auth-软件授权注册系统 Axios B/S B/S开发框架 B/S框架 BSFramework Bug Bug记录 C#加密解密 C#源码 C/S CHATGPT CMS系统 CodeGenerator CSFramework.DB CSFramework.EF CSFramework.License CSFrameworkV1学习版 CSFrameworkV2标准版 CSFrameworkV3高级版 CSFrameworkV4企业版 CSFrameworkV5旗舰版 CSFrameworkV6.0 CSFrameworkV6.1 CSFrameworkV6旗舰版 DAL数据访问层 Database datalock DbFramework Demo教学 Demo实例 Demo下载 DevExpress教程 Docker Desktop DOM ECS服务器 EFCore EF框架 Element-UI EntityFramework ERP ES6 Excel FastReport GIT HR IDatabase IIS JavaScript LINQ MES MiniFramework MIS MySql NavBarControl NETCore Node.JS NPM OMS Oracle资料 ORM PaaS POS Promise API PSD RedGet Redis RSA SAP Schema SEO SEO文章 SQL SQLConnector SQLite SqlServer Swagger TMS系统 Token令牌 VS2022 VSCode VS升级 VUE WCF WebApi WebApi NETCore WebApi框架 WEB开发框架 Windows服务 Winform 开发框架 Winform 开发平台 WinFramework Workflow工作流 Workflow流程引擎 XtraReport 安装环境 版本区别 报表 备份还原 踩坑日记 操作手册 达梦数据库 代码生成器 迭代开发记录 功能介绍 国际化 基础资料窗体 架构设计 角色权限 开发sce 开发工具 开发技巧 开发教程 开发框架 开发平台 开发指南 客户案例 快速搭站系统 快速开发平台 框架升级 毛衫行业ERP 秘钥 密钥 权限设计 软件报价 软件测试报告 软件加壳 软件简介 软件开发框架 软件开发平台 软件开发文档 软件授权 软件授权注册系统 软件体系架构 软件下载 软件著作权登记证书 软著证书 三层架构 设计模式 生成代码 实用小技巧 视频下载 收钱音箱 数据锁 数据同步 微信小程序 未解决问题 文档下载 喜鹊ERP 喜鹊软件 系统对接 详细设计说明书 新功能 信创 行政区域数据库 需求分析 疑难杂症 蝇量级框架 蝇量框架 用户管理 用户开发手册 用户控件 在线支付 纸箱ERP 智能语音收款机 自定义窗体 自定义组件 自动升级程序
联系我们
联系电话:13923396219(微信同号)
电子邮箱:23404761@qq.com
站长微信二维码
微信二维码