本文主要介紹一種與微信公眾平臺對接方式類似的,為 AspNetCore 提供的一種簡易的 WebAPI 簽名驗證中間件。
本文相關源碼和案例已開源,地址:https://github.com/sangyuxiaowu/SignAuthorization
原理說明
簡易的 API url 簽名驗證中間件,通過簡單的url參數驗證請求是否合法。思路是按照微信公眾平臺的驗證消息的確來自微信服務器[1]的方式來實現的。
訪問 WebAPI 需要實現的 signature 簽名流程也一樣:
1.將token、timestamp、nonce三個參數進行字典序排序2.將三個參數字符串拼接成一個字符串進行sha1加密3.開發者獲得加密后的字符串可與 signature 對比
安裝使用
添加包
使用包管理工具
Install-Package Sang.AspNetCore.SignAuthorization或者 .NET CLI
dotnet add package Sang.AspNetCore.SignAuthorization啟用和配置
在?app.MapControllers();?前啟用這個中間件,并進行一些必要的配置。
app.UseSignAuthorization(opt => {opt.sToken = "you-api-token";
});使用驗證方式
在需要簽名的地方添加?SignAuthorizeAttribute。
Mini API:
app.MapGet("/weatherforecast", () =>
{// your code
}).WithMetadata(new SignAuthorizeAttribute());或者:
[HttpGet]
[SignAuthorize]
public IEnumerable<WeatherForecast> Get()
{// your code
}配置說明
| 參數 | default | 說明 |
| UnauthorizedBack | {"success":false,"status":10000,"msg":"Unauthorized"} | 驗證失敗后的 json 返回 |
| sToken | SignAuthorizationMiddleware | API簽名使用的token |
| WithPath | false | 簽名時需要包含請求的路徑,以 '/' 開頭 |
| Expire | 5 | 簽名過期時間(單位:秒) |
| nTimeStamp | timestamp | 時間戳的GET參數名 |
| nNonce | nonce | 隨機數的GET參數名 |
| nSign | signature | 簽名的GET參數名 |
對接訪問
PHP example
$sToken = "you-api-token";
$sReqTimeStamp = time();
$sReqNonce = getNonce();
$tmpArr = array($sToken, $sReqTimeStamp, $sReqNonce);
sort($tmpArr, SORT_STRING);
$sign = sha1(implode($tmpArr));
$url = "http://localhost:5177/weatherforecast?timestamp=$sReqTimeStamp&nonce=$sReqNonce&signature=$sign";
echo "$url\n";
echo file_get_contents($url);function getNonce(){$str = '1234567890abcdefghijklmnopqrstuvwxyz';$t1='';for($i=0;$i<30;$i++){$j=rand(0,35);$t1 .= $str[$j];}return $t1;
}.Net example
var unixTimestamp = DateTimeOffset.Now.ToUnixTimeSeconds();
var sNonce = Guid.NewGuid().ToString();ArrayList AL = new ArrayList();
AL.Add("you-api-token");
AL.Add(unixTimestamp.ToString());
AL.Add(sNonce);
AL.Sort(StringComparer.Ordinal);var raw = string.Join("", AL.ToArray());
using System.Security.Cryptography.SHA1 sha1 = System.Security.Cryptography.SHA1.Create();
byte[] encry = sha1.ComputeHash(Encoding.UTF8.GetBytes(raw));
string sign = string.Join("", encry.Select(b => string.Format("{0:x2}", b)).ToArray()).ToLower();var client = new HttpClient();
string jsoninfo = await client.GetStringAsync($"http://localhost:5177/weatherforecast?timestamp={unixTimestamp}&nonce={sNonce}&signature={sign}");使用案例
在開源倉庫中,提供了兩個 weatherforecast 的接入驗證樣例?TestWebMiniAPI?和?TestWebAPI,引入 nuget 包?Sang.AspNetCore.SignAuthorization?后,僅需要修改很少的部分就可以實現 API 訪問的 URL 驗簽。
References
[1]?驗證消息的確來自微信服務器:?https://developers.weixin.qq.com/doc/offiaccount/Basic_Information/Access_Overview.html#%E7%AC%AC%E4%BA%8C%E6%AD%A5%EF%BC%9A%E9%AA%8C%E8%AF%81%E6%B6%88%E6%81%AF%E7%9A%84%E7%A1%AE%E6%9D%A5%E8%87%AA%E5%BE%AE%E4%BF%A1%E6%9C%8D%E5%8A%A1%E5%99%A8
![Redis -- Hash(哈希) [3]](http://pic.xiahunao.cn/Redis -- Hash(哈希) [3])
)
)