&

C# 中Web API 實現(xiàn)安全性方法簡介

admin

2024年8月1日 22:16 本文熱度 950

前言

隨著互聯(lián)網(wǎng)的普及和發(fā)展,Web應(yīng)用程序的數(shù)量也越來越多,信息在互聯(lián)網(wǎng)上自由流動，保護其安全勢在必行。Web API 安全在保護數(shù)據(jù)和確保只有授權(quán)用戶和系統(tǒng)才能訪問和操作資源方面發(fā)揮著至關(guān)重要的作用。本文將探索Web API安全性的重要性，并介紹.NET 附帶的幾個實現(xiàn)Web API 安全性功能和工具。

安全威脅

通過 Web API 使各種應(yīng)用程序或服務(wù)之間的通信與交互得以實現(xiàn)。調(diào)用端通過調(diào)用暴露的接口，請求和交換數(shù)據(jù)或執(zhí)行操作。然而，在沒有使用任何安全防護措施下，那么這些 Web API 將很容易受到安全威脅，例如：

未經(jīng)授權(quán)的訪問： 用戶可能會嘗試訪問敏感數(shù)據(jù)或執(zhí)行未經(jīng)授權(quán)的操作。
導(dǎo)致數(shù)據(jù)泄露： 未經(jīng)授權(quán)訪問數(shù)據(jù)可能會導(dǎo)致數(shù)據(jù)泄露。
拒絕服務(wù)（DoS）攻擊： 攻擊者通過發(fā)送大量請求來壓倒服務(wù)，導(dǎo)致其變慢或無響應(yīng)。
篡改數(shù)據(jù)： 在傳輸過程中被攔截或修改數(shù)據(jù)。

功能或工具

.NET 附帶了一些可以更輕松地在Web API中實現(xiàn)安全性的功能和工具。下面只是簡單介紹，不涉及具體的實現(xiàn)，如何實現(xiàn)及示例關(guān)注后續(xù)。

1、身份驗證和授權(quán)

身份驗證是驗證用戶或系統(tǒng)身份的過程，而授權(quán)定義了允許用戶或系統(tǒng)執(zhí)行的操作。使用 ASP.NET Core Identity和IdentityServer等庫提供身份驗證和授權(quán)的內(nèi)置支持。

// 在 Controller 方法中添加角色驗證標記[Authorize(Roles = "Admin")]public IActionResult Approval(){  // 實現(xiàn)具體邏輯}

2、JWT 機制

JWT 是 JSON Web Token 簡稱，是通過JSON形式作為Web應(yīng)用中的令牌，對信息進行編碼來保護Web API。完成數(shù)據(jù)傳輸過程中的加密、簽名等相關(guān)處理。.NET 使用 Microsoft.AspNetCore.Authentication.JwtBearer等庫簡化了JWT的生成和驗證。

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options =>{    options.TokenValidationParameters = new TokenValidationParameters    {        // 是否驗證Issuer        ValidateIssuer = true,        // 是否驗證Audience        ValidateAudience = true,        // 是否驗證失效時間        ValidateLifetime = true,        // 是否驗證SecurityKey        ValidateIssuerSigningKey = true,        // 發(fā)行人Issuer        ValidIssuer = "Jwt-Issuer",        // 訂閱人Audience        ValidAudience = "Jwt-Audience",        //  SecurityKey        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("Jwt-Secretkey")),        //過期時間容錯值，解決服務(wù)器端時間不同步問題（秒）        ClockSkew = TimeSpan.FromSeconds(30),         RequireExpirationTime = true    };});

3、CORS（跨域資源共享）

CORS 是配置哪些資源允許訪問您的API。.NET 提供中間件來配置CORS設(shè)置和控制跨源請求。

services.AddCors(options =>{    options.AddPolicy("AllowSpecificOrigin", builder =>    {        builder.WithOrigins("https://weixin.qq.com")            .AllowAnyHeader()            .AllowAnyMethod();    });});

4、HTTPS和傳輸安全

強制執(zhí)行HTTPS可確保客戶端和API之間傳輸?shù)臄?shù)據(jù)被加密。NET 可以輕松啟用HTTPS的配置基于證書的安全性。

public static IHostBuilder CreateHostBuilder(string[] args) =>  Host.CreateDefaultBuilder(args)  .ConfigureWebHostDefaults(webBuilder =>  {    webBuilder.UseStartup<Startup>();    webBuilder.UseKestrel(options =>    {      options.Listen(IPAddress.Any, 5001, listenOptions =>      {          listenOptions.UseHttps("certificate.pfx", "password");      });    });});

5、輸入驗證

在應(yīng)用程序與數(shù)據(jù)庫交互時，應(yīng)始終驗證用戶輸入數(shù)據(jù)，并使用參數(shù)化方式執(zhí)行相關(guān)命令。防止SQL注入和XSS攻擊，這一點至關(guān)重要。

using (SqlConnection sqlConnection = new SqlConnection(connectionString)){    // 創(chuàng)建sql命令對象    SqlCommand sqlCommand = sqlConnection.CreateCommand();    sqlCommand.CommandType = CommandType.Text;    // sql語句    sqlCommand.CommandText = "select usercode,username from  users where  username = @Username";    // 添加參數(shù)    sqlCommand.Parameters.Add(new SqlParameter("@Username","admin"));    // 構(gòu)造SqlDataAdapter    SqlDataAdapter sqlDataAdapter = new SqlDataAdapter();    // 與sql命令對象綁定，這個必不可少    sqlDataAdapter.SelectCommand = sqlCommand;    // 創(chuàng)建數(shù)據(jù)集對像    DataSet dataSet = new DataSet();    // 填充數(shù)據(jù)。    sqlDataAdapter.Fill(dataSet, "user");    // 關(guān)閉連接    sqlConnection.Close();}

6、速率限制與IP白名單

實施限制Web API的速率以防止被濫用，并可考慮使用IP白名單限制對可信來源的訪問。.NET 可以使用 AspNetCoreRateLimit 等庫來實現(xiàn)速率限制。

services.ConfigureRateLimiting(options =>{    options.Limit = 100;    options.Period = TimeSpan.FromMinutes(1);});

小結(jié)

以上是.NET 內(nèi)置提供的實現(xiàn)Web API 功能或工具，我們可以了解其原理及實現(xiàn)方式。然后使用它們保護 Web API 安全。如有不到之處,請多多包涵。

該文章在 2024/8/2 18:24:50 編輯過

關(guān)鍵字查詢

相關(guān)文章

正在查詢...

點晴ERP是一款針對中小制造業(yè)的專業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國內(nèi)大量中小企業(yè)的青睞。

點晴PMS碼頭管理系統(tǒng)主要針對港口碼頭集裝箱與散貨日常運作、調(diào)度、堆場、車隊、財務(wù)費用、相關(guān)報表等業(yè)務(wù)管理，結(jié)合碼頭的業(yè)務(wù)特點，圍繞調(diào)度、堆場作業(yè)而開發(fā)的。集技術(shù)的先進性、管理的有效性于一體，是物流碼頭及其他港口類企業(yè)的高效ERP管理信息系統(tǒng)。

點晴WMS倉儲管理系統(tǒng)提供了貨物產(chǎn)品管理,銷售管理,采購管理,倉儲管理,倉庫管理,保質(zhì)期管理,貨位管理,庫位管理,生產(chǎn)管理,WMS管理系統(tǒng),標簽打印,條形碼,二維碼管理,批號管理軟件。

點晴免費OA是一款軟件和通用服務(wù)都免費，不限功能、不限時間、不限用戶的免費OA協(xié)同辦公管理系統(tǒng)。