在URL中实现简易的WebAPI验签

本文主要介绍一种与微信公众平台对接方式类似的,为 AspNetCore 提供的一种简易的 WebAPI 签名验证中间件。

本文相关源码和案例已开源,地址:https://github.com/sangyuxiaowu/SignAuthorization

原理说明

简易的 API url 签名验证中间件,通过简单的url参数验证请求是否合法。思路是按照微信公众平台的验证消息的确来自微信服务器[1]的方式来实现的。

访问 WebAPI 需要实现的 signature 签名流程也一样:.

1.将token、timestamp、nonce三个参数进行字典序排序2.将三个参数字符串拼接成一个字符串进行sha1加密3.开发者获得加密后的字符串可与 signature 对比

安装使用

添加包

使用包管理工具

Install-Package Sang.AspNetCore.SignAuthorization

或者 .NET CLI

dotnet add package Sang.AspNetCore.SignAuthorization

启用和配置

在 app.MapControllers(); 前启用这个中间件,并进行一些必要的配置。

app.UseSignAuthorization(opt => {    opt.sToken = "you-api-token";});

使用验证方式

在需要签名的地方添加 SignAuthorizeAttribute

Mini API:

app.MapGet("/weatherforecast", () =>{    // your code}).WithMetadata(new SignAuthorizeAttribute());

或者:

[HttpGet][SignAuthorize]public IEnumerable<WeatherForecast> Get(){    // your code}

配置说明

参数 default 说明
UnauthorizedBack {"success":false,"status":10000,"msg":"Unauthorized"} 验证失败后的 json 返回
sToken SignAuthorizationMiddleware API签名使用的token
WithPath false 签名时需要包含请求的路径,以 '/' 开头
Expire 5 签名过期时间(单位:秒)
nTimeStamp timestamp 时间戳的GET参数名
nNonce nonce 随机数的GET参数名
nSign signature 签名的GET参数名

对接访问

PHP example

$sToken = "you-api-token";$sReqTimeStamp = time();$sReqNonce = getNonce();$tmpArr = array($sToken, $sReqTimeStamp, $sReqNonce);sort($tmpArr, SORT_STRING);$sign = sha1(implode($tmpArr));$url = "http://localhost:5177/weatherforecast?timestamp=$sReqTimeStamp&nonce=$sReqNonce&signature=$sign";echo "$url\n";echo file_get_contents($url);
function getNonce(){    $str = '1234567890abcdefghijklmnopqrstuvwxyz';    $t1='';    for($i=0;$i<30;$i++){        $j=rand(0,35);        $t1 .= $str[$j];    }    return $t1;}

.Net example

var unixTimestamp = DateTimeOffset.Now.ToUnixTimeSeconds();var sNonce = Guid.NewGuid().ToString();
ArrayList AL = new ArrayList();AL.Add("you-api-token");AL.Add(unixTimestamp.ToString());AL.Add(sNonce);AL.Sort(StringComparer.Ordinal);
var raw = string.Join("", AL.ToArray());using System.Security.Cryptography.SHA1 sha1 = System.Security.Cryptography.SHA1.Create();byte[] encry = sha1.ComputeHash(Encoding.UTF8.GetBytes(raw));string sign = string.Join("", encry.Select(b => string.Format("{0:x2}", b)).ToArray()).ToLower();
var client = new HttpClient();string jsoninfo = await client.GetStringAsync($"http://localhost:5177/weatherforecast?timestamp={unixTimestamp}&nonce={sNonce}&signature={sign}");

使用案例

在开源仓库中,提供了两个 weatherforecast 的接入验证样例 TestWebMiniAPI 和 TestWebAPI,引入 nuget 包 Sang.AspNetCore.SignAuthorization 后,仅需要修改很少的部分就可以实现 API 访问的 URL 验签。

在URL中实现简易的WebAPI验签
案例