最近公司有幾個項目需要開發手機客戶端,服務器端選用WebApi,那麼如何保證手機客戶端在請求服務器端時數據不被篡改,如何保證一個http請求的失效機制,下面總結一下我們在項目中針對這兩個問題的解決方案。
基本思路如下:
用戶在成功登陸app客戶端之後,手機客戶端向服務器端發出的所有的http請求在請求頭(HttpHeader)上都會帶上下面三個參數:1、Uid(用戶ID),2、Ts(時間戳),3、Sign(簽名)。其中Ts是當前時間減去1970-1-1得到的10位的時間時間戳數字,Sign是接口中所有http請求參數與Uid、Ts經過MD5加密後得到的一個字符串。
具體實現如下(客戶端的實現,手機客戶端生成下面兩個參數的思路是一樣的):
1、Ts時間戳
Ts參數可以保證請求的時效性,在手機客戶端生成的Ts,在服務器端驗證一下,保證請求是在我們規定的時間段內,具體代碼如下:
(1)、生成Ts(C#)代碼如下,Andriod和IOS可以同理生成
/// <summary> /// 獲取十位的時間戳 /// </summary> /// <param name="dt"></param> /// <returns></returns> public string GenerateTimeStamp(DateTime dt) { // Default implementation of UNIX time of the current UTC time TimeSpan ts = dt.ToUniversalTime() - new DateTime(1970, 1, 1, 0, 0, 0, 0); return Convert.ToInt64(ts.TotalSeconds).ToString(); }
(2)、服務器端端驗證Ts代碼如下,我們規定從手機客戶端發到服務器端的請求有效期爲5分鐘,時間戳參數是跟在Http請求頭中
//獲取請求頭信息 var requestHeader = HttpContext.Current.Request.Headers; //10位時間戳 var Ts = requestHeader.Get("Ts"); //驗證Ts是否合法(請求時間有效時間爲:加減5分鐘) var ts = Ts;//10位時間戳 if (ts.Length != 10) { var resp = Request.CreateResponse<string>(HttpStatusCode.OK, "請求已過期", "application/json"); ; throw new HttpResponseException(resp); } var tsDate = ComHelper.ConvertIntDateTime(ts.ToString()); if (tsDate > DateTime.Now.AddMinutes(5) || tsDate < DateTime.Now.AddMinutes(-5)) { var resp = Request.CreateResponse<string>(HttpStatusCode.OK, "請求已過期", "application/json"); ; throw new HttpResponseException(resp); }
(3)、ComHelper公共類代碼如下
ComHelper
2、Sign簽名
(1)、sign的生成規則:服務器端接口中的所有參數+Uid+Ts,去除掉參數中值爲空的參數後, 按照參數key值排序,用&鏈接,並全部轉化爲小寫,然後用MD5加密,通過HttpHeader發送到服務器端接口。
生成Sign大代碼如下(C#),Android和IOS可以同理生成
假如手機客戶端請求的一個API接口爲:http://weapi.com/order/getlist?StatusID=1&CarID=2&CityID=3&name=&key=222 sign=md5(carid=2&cityid=3&key=222&statusid=1&ts=0123456789&uid=110)
(2)、驗證客戶端的Sign,防止參數被修改
//請求籤名,客戶端生成的簽名 var Sign = requestHeader.Get("Sign"); //排序字典,按照key排序 SortedDictionary<string, string> postValue = null; //獲取請求中所有的參數 postValue = ComHelper.GetRequestSortDic(true); postValue.Add("Uid", Uid);//API賬戶名稱 postValue.Add("Ts", Ts);//10位時間戳 string APIPrivateKey = "2D7E7C96-DAC5-4526-96C3-C60CDEC4B120";//客戶端和手機端保持一致 //服務器端生成的Sign string mysign = ComHelper.GetResponseMysign(postValue, APIPrivateKey); if (!Sign.Equals(mysign, StringComparison.InvariantCultureIgnoreCase)) { var resp = Request.CreateResponse<string>(HttpStatusCode.OK, "簽名錯誤", "application/json"); ; throw new HttpResponseException(resp); }
3、模擬測試
(1)C#模擬Http請求,代碼如下
//請求的API地址 string url = "http://localhost:51942/api/Values/Get?StatusID=1&CarID=2&CityID=3&name=&key=1233"; //生成Ts string Ts = ComHelper.GenerateTimeStamp(DateTime.Now); //SortedDictionary會自動按照key值排序 SortedDictionary<string, string> sortDic = new SortedDictionary<string, string>(); sortDic.Add("StatusID", "1"); sortDic.Add("CarID", "2"); sortDic.Add("CityID", "3"); sortDic.Add("name", ""); sortDic.Add("key", "1233"); sortDic.Add("Uid","110"); sortDic.Add("Ts", Ts); string APIPrivateKey = "2D7E7C96-DAC5-4526-96C3-C60CDEC4B120";//客戶端和手機端保持一致,md5加密多使用了一個參數 //獲取Sign簽名 string Sign = ComHelper.GetResponseMysign(sortDic, APIPrivateKey); //發送請求 System.Net.WebRequest wReq = System.Net.WebRequest.Create(url); wReq.Headers.Add("Uid", "110"); wReq.Headers.Add("Ts", Ts); wReq.Headers.Add("Sign", Sign); System.Net.WebResponse wResp = wReq.GetResponse(); System.IO.Stream respStream = wResp.GetResponseStream(); using (System.IO.StreamReader reader = new System.IO.StreamReader(respStream, Encoding.UTF8)) { string res= reader.ReadToEnd(); }
(2)服務器端驗證參數,參數驗證寫在BaseApiController.cs文件中,只要繼承該類的都可以驗證客戶端傳過來的參數
public class ValuesController : BaseApiController { // GET api/values public IEnumerable<string> Get(string StatusID,string CarID,string CityID,string name, string key) { return new string[] { "value1", "value2" }; }