webapi框架搭建-安全机制(一)
2021-02-20 14:18
前言
webapi接口是开放给外部使用的,包括接口的地址,传参的规范,还有返回结果的说明。正因为接口的开放性,使得接口的安全很重要。试想一下,用抓包工具(如fiddler),甚至浏览器获取到接口的规范后(甚至可以猜到接口的其它规范),如果接口没有做”安全“这一道防火墙,任何人都可以调用接口来获取及提交数据,这真是太可怕了。17年我负责一个气象类项目的开发,其中有些功能是我们无法完成但甲方要求必须有的功能,并给我们展示了实现该功能的一个产品。后面通过对此产品的fiddler抓包分析,了解了该产品是通过接口向apps端提供数据,而所有的接口竟然都没有加密,于是这个项目基于此功能的实现基本上都是通过调用该产品的接口实现,对我来说是省去了很大的开发成本,但对于那个产品的公司来说是损失了有价值的数据。
对于webapi方面的安全,可写的东西太多了,且asp.net webapi及asp.net core webapi在安全方面也有些差异。我只对”webapi框架搭建“项目里用到的技术做一些说明。后续的博客会对每一个技术的实现做详细的描述。
JWT技术
考虑http的无状态性,且又必须让服务器能区分每次的http请求是”谁“发出的,但又不想在http请求里携带很多信息(尽量每次的请求包比较小),我采用token技术。即将用户的基本信息,如用户id,用户的角色等进行加密,并附在http请求头里。服务器端只要对token进行解密后就能知道是谁发起的请求。之前我是自己生成token,规范token的加密/解密规则和token里存储的信息(如一个user实体的信息),后面发现这一技术已经有一个规则,那就是jwt。jwt参考如下网站:https://jwt.io/。
webapi安全
微软对webapi的安全拆分为authentication和authorization,authentication的职责是解决”用户是谁“的问题,而authorization的职责是解决”是否有权限“的问题。通过jwt技术,可以解决”用户是谁“的问题,通过”基于角色的权限控制“可以解决”是否有权限“的问题。后续的博客会详细说明。
安全的”切入点“
我们肯定不想在每个接口里都去写一段”安全代码“,而是用aop的思想,在整个http请求的生命周期中做为一个切面插入到生命周期的某个点上。所以先让我们了解下webapi的生命周期。如下图。
文章标题:webapi框架搭建-安全机制(一)
文章链接:http://soscw.com/index.php/essay/58013.html