通过特性来统一验证的入口,实现ActionFilterAttribute接口来进行接口的签名验证
/// <summary>
/// 标准接口基类Controller
/// </summary>
[SignVerification]
public abstract class BaseApiController : Controller
{
}
/// <summary>
/// 接口签名验证
/// </summary>
public class SignVerificationAttribute : ActionFilterAttribute,IAuthenticationFilter
{
}
实现的思路为:
1.不同对接方的接口(插件)定义不同的验证key,不同的插件间不能混用验证key
2.不同的插件生成不同的partnerId,partnerKey。请求的Url中需要携带partnerId,通过partnerId作为key在redis中找到对应的插件验证信息(包括:partnerId,partnerKey等)
3.Url参数中必须包含partnerId,ts(时间戳),sign(加密签名)。ts时间戳的有效时间为5分钟,sign为(时间戳:formBody:partnerId:partnerKey)的MD5加密
4.如果通过partnerId可以找到对应的验证信息,再把(时间戳:formBody:partnerId:partnerKey)MD5加密后和sign比较确保请求没有被篡改
5.确保partnerId为当前插件而非其他插件的,因为redis是共用的,只是通过key去取值而已
签名方式
将时间戳和请求Form参数以及PartnerKey以冒号连接,如(时间戳:body:partnerId:PartnerKey)
将连接好的字符串进行MD5生成sign
Url参数
| 参数 | 说明 | 类型 | 必须 | 备注 |
|---|---|---|---|---|
| pid | partnerId | string | 是 | |
| ts | 时间戳(格式:yyyyMMddHHmmss) | string | 是 | 时间戳的有效时间为5分钟 |
| sign | MD5(时间戳:body:partnerId:pkey) | string | 是 | 参考签名方式 |
具体代码实现
/// <summary>
/// 接口签名验证
/// </summary>
public class SignVerificationAttribute : ActionFilterAttribute, IAuthenticationFilter
{
private readonly IDefaultUserService _defaultUserService;
private readonly IInterfaceSignProvider _interfaceSignProvider;
public SignVerificationAttribute()
{
_defaultUserService = ObjectContainer.GetService<IDefaultUserService>();
_interfaceSignProvider = ObjectContainer.GetService<IInterfaceSignProvider>();
}
public void OnAuthentication(AuthenticationContext filterContext)
{
var request = filterContext.HttpContext.Request;
var partnerId = request.QueryString["pid"];
var timeStamp = request.QueryString["ts"];
var sign = request.QueryString["sign"];//获取Url参数
var body = GetBodyText(request.InputStream);
if (!ValidSign(filterContext,timeStamp, sign, body,partnerId,out IInterfaceSignInfo signInfo))//加密验证
{
filterContext.Result = new ApiResult {Success = false, ErrorMessage = "无效签名"};
return;
}
var service = ObjectContainer.GetService<IAuthenticationService>();
var userId = _defaultUserService.GetDefaultUserId(signInfo.LicNo);
var identity = service.SignIn(userId, signInfo.LicNo, false, TimeSpan.FromMinutes(5), SessionType.WebApi);
var newPrincipal = new GenericPrincipal(identity, new string[] { });
filterContext.Principal = newPrincipal;
}
private static string GetBodyText(Stream stream)
{
using (var ms = new MemoryStream())
{
stream.CopyTo(ms);
return Encoding.UTF8.GetString(ms.ToArray());
}
}
private bool ValidSign(AuthenticationContext filterContext,string timeStamp, string sign, string body,string partnerId,out IInterfaceSignInfo signInfo)
{
signInfo = null;
if (!string.IsNullOrEmpty(timeStamp) && !string.IsNullOrEmpty(sign)&& !string.IsNullOrEmpty(partnerId))
{
var cache = _interfaceSignProvider.GetInterfaceSignInfo(partnerId);//通过partnerId当key读取redis
if (cache.Enabled)
{
var areaName = filterContext.RouteData.DataTokens["area"]?.ToString().ToLower();//获取请求的area,即请求的是哪个插件
if (string.IsNullOrEmpty(areaName) || !cache.PluginCode.ToLower().StartsWith(areaName))
{
return false;//PluginCode需以areaName开头,否则意味着不是同一个插件(如:PluginCode=juwov1,areaName=JuWo)
}
if (DateTime.TryParseExact(timeStamp, "yyyyMMddHHmmss", CultureInfo.CurrentCulture.DateTimeFormat, DateTimeStyles.AllowWhiteSpaces, out var time) &&
(DateTime.Now - time).TotalMinutes <= 5)//时间戳有效期为5分钟
{
signInfo = cache;
var hashKey = EncryptHelper.Hash($"{timeStamp}:{body}:{partnerId}:{cache.PartnerKey}", "MD5").ToLowerInvariant();//MD5加密对比
return string.Equals(hashKey, sign);
}
}
}
return false;
}
public void OnAuthenticationChallenge(AuthenticationChallengeContext filterContext){}
}
这样就实现了接口的签名验证了。但是还有一个问题是,如果同时存在多个不同的对接接口(插件)时,partnerId,PartnerKey应该是不一样的。即插件1和插件2的验证key是不能混用的。
可以通过路由来区分不同的插件,来选择进入不同的area,通过area来区分不同的插件验证key。
public class JuWoAreaRegistration: AreaRegistration
{
public override void RegisterArea(AreaRegistrationContext context)
{
context.MapRoute(
"JuWo_default",
"api/JuWo/{controller}/{action}/{id}",
new {action = "Index", id = UrlParameter.Optional},
new[] {"iERP.Its.Web.Areas.JuWo.Controllers"}
);
}
public override string AreaName => "JuWo";
}
在之前的ValidSign方法中,通过var areaName = filterContext.RouteData.DataTokens["area"]?.ToString().ToLower();来获取到当前请求的是哪个插件,在把url上获取到的partnerId与我们之前约定好的比较看是否能对应。