南宁网站设计公司,企业邮箱注册申请126,网页设计与制作网站教程,能看实物的地图软件本文主要介绍一种与微信公众平台对接方式类似的#xff0c;为 AspNetCore 提供的一种简易的 WebAPI 签名验证中间件。本文相关源码和案例已开源#xff0c;地址#xff1a;https://github.com/sangyuxiaowu/SignAuthorization原理说明简易的 API url 签名验证中间件#xf…本文主要介绍一种与微信公众平台对接方式类似的为 AspNetCore 提供的一种简易的 WebAPI 签名验证中间件。本文相关源码和案例已开源地址https://github.com/sangyuxiaowu/SignAuthorization原理说明简易的 API url 签名验证中间件通过简单的url参数验证请求是否合法。思路是按照微信公众平台的验证消息的确来自微信服务器[1]的方式来实现的。访问 WebAPI 需要实现的 signature 签名流程也一样1.将token、timestamp、nonce三个参数进行字典序排序2.将三个参数字符串拼接成一个字符串进行sha1加密3.开发者获得加密后的字符串可与 signature 对比安装使用添加包使用包管理工具Install-Package Sang.AspNetCore.SignAuthorization或者 .NET CLIdotnet add package Sang.AspNetCore.SignAuthorization启用和配置在 app.MapControllers(); 前启用这个中间件并进行一些必要的配置。app.UseSignAuthorization(opt {opt.sToken you-api-token;
});使用验证方式在需要签名的地方添加 SignAuthorizeAttribute。Mini APIapp.MapGet(/weatherforecast, ()
{// your code
}).WithMetadata(new SignAuthorizeAttribute());或者[HttpGet]
[SignAuthorize]
public IEnumerableWeatherForecast Get()
{// your code
}配置说明参数default说明UnauthorizedBack{success:false,status:10000,msg:Unauthorized}验证失败后的 json 返回sTokenSignAuthorizationMiddlewareAPI签名使用的tokenWithPathfalse签名时需要包含请求的路径以 / 开头Expire5签名过期时间单位:秒nTimeStamptimestamp时间戳的GET参数名nNoncenonce随机数的GET参数名nSignsignature签名的GET参数名对接访问PHP example$sToken you-api-token;
$sReqTimeStamp time();
$sReqNonce getNonce();
$tmpArr array($sToken, $sReqTimeStamp, $sReqNonce);
sort($tmpArr, SORT_STRING);
$sign sha1(implode($tmpArr));
$url http://localhost:5177/weatherforecast?timestamp$sReqTimeStampnonce$sReqNoncesignature$sign;
echo $url\n;
echo file_get_contents($url);function getNonce(){$str 1234567890abcdefghijklmnopqrstuvwxyz;$t1;for($i0;$i30;$i){$jrand(0,35);$t1 . $str[$j];}return $t1;
}.Net examplevar unixTimestamp DateTimeOffset.Now.ToUnixTimeSeconds();
var sNonce Guid.NewGuid().ToString();ArrayList AL new ArrayList();
AL.Add(you-api-token);
AL.Add(unixTimestamp.ToString());
AL.Add(sNonce);
AL.Sort(StringComparer.Ordinal);var raw string.Join(, AL.ToArray());
using System.Security.Cryptography.SHA1 sha1 System.Security.Cryptography.SHA1.Create();
byte[] encry sha1.ComputeHash(Encoding.UTF8.GetBytes(raw));
string sign string.Join(, encry.Select(b string.Format({0:x2}, b)).ToArray()).ToLower();var client new HttpClient();
string jsoninfo await client.GetStringAsync($http://localhost:5177/weatherforecast?timestamp{unixTimestamp}nonce{sNonce}signature{sign});使用案例在开源仓库中提供了两个 weatherforecast 的接入验证样例 TestWebMiniAPI 和 TestWebAPI引入 nuget 包 Sang.AspNetCore.SignAuthorization 后仅需要修改很少的部分就可以实现 API 访问的 URL 验签。案例References[1] 验证消息的确来自微信服务器: https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Access_Overview.html#%E7%AC%AC%E4%BA%8C%E6%AD%A5%EF%BC%9A%E9%AA%8C%E8%AF%81%E6%B6%88%E6%81%AF%E7%9A%84%E7%A1%AE%E6%9D%A5%E8%87%AA%E5%BE%AE%E4%BF%A1%E6%9C%8D%E5%8A%A1%E5%99%A8
