Web API应用架构设计分析(2)
在上篇隨筆《Web API應用架構設計分析(1)》,我對Web API的各種應用架構進行了概括性的分析和設計,Web API 是一種應用接口框架,它能夠構建HTTP服務以支撐更廣泛的客戶端(包括瀏覽器,手機和平板電腦等移動設備)的框架,本篇繼續這個主題,介紹如何利用ASP.NET Web API 來設計Web API層以及相關的調用處理。
1、Web API的接口訪問分類
Web API接口的訪問方式,大概可以分為幾類:
1)一個是使用用戶令牌,通過Web API接口進行數據訪問。這種方式,可以有效識別用戶的身份,為用戶接口返回用戶相關的數據,如包括用戶信息維護、密碼修改、或者用戶聯系人等與用戶身份相關的數據。
2)一種是使用安全簽名進行數據提交。這種方式提交的數據,URL連接的簽名參數是經過安全一定規則的加密的,服務器收到數據后也經過同樣規則的安全加密,確認數據沒有被中途篡改后,再進行數據修改處理。因此我們可以為不同接入方式,如Web/APP/Winfrom等不同接入方式指定不同的加密秘鑰,但是秘鑰是雙方約定的,并不在網絡連接上傳輸,連接傳輸的一般是這個接入的AppID,服務器通過這個AppID來進行簽名參數的加密對比,這種方式,類似微信后臺的回調處理機制,它們就是經過這樣的處理。
3)一種方式是提供公開的接口調用,不需要傳入用戶令牌、或者對參數進行加密簽名的,這種接口一般較少,只是提供一些很常規的數據顯示而已。
下面圖示就是這幾種接入方式的說明和大概應用場景。
2、Web API使用安全簽名的實現
首先我們為用戶注冊的時候,需要由我們認可的終端發起,也就是它們需要進行安全簽名,后臺確認簽名有效性,才能正常實現用戶注冊,否則遭到偽造數據,系統就失去原有的意義了。
/// <summary>/// 注冊用戶信息接口/// </summary>public interface IUserApi{/// <summary>/// 注冊用戶處理,包括用戶名,密碼,身份證號,手機等信息/// </summary>/// <param name="json">注冊用戶信息</param>/// <param name="signature">加密簽名字符串</param>/// <param name="timestamp">時間戳</param>/// <param name="nonce">隨機數</param>/// <param name="appid">應用接入ID</param>/// <returns></returns>ResultData Add(UserJson json,string signature, string timestamp, string nonce, string appid);}其實我們獲得用戶的令牌,也是需要進行用戶安全簽名認證的,這樣我們才有效保證用戶身份令牌獲取的合法性。
/// <summary>/// 系統認證等基礎接口/// </summary>public interface IAuthApi{/// <summary>/// 注冊用戶獲取訪問令牌接口/// </summary>/// <param name="username">用戶登錄名稱</param>/// <param name="password">用戶密碼</param>/// <param name="signature">加密簽名字符串</param>/// <param name="timestamp">時間戳</param>/// <param name="nonce">隨機數</param>/// <param name="appid">應用接入ID</param>/// <returns></returns>TokenResult GetAccessToken(string username, string password,string signature, string timestamp, string nonce, string appid);}上面介紹到的參數,我們提及了幾個參數,一個是加密簽名字符串,一個是時間戳,一個是隨機數,一個是應用接入ID,我們一般的處理規則如下所示。
1)Web API 為各種應用接入,如APP、Web、Winform等接入端分配應用AppID以及通信密鑰AppSecret,雙方各自存儲。
2)接入端在請求Web API接口時需攜帶以下參數:signature、 timestamp、nonce、appid,簽名是根據幾個參數和加密秘鑰生成。
3) Web API 收到接口調用請求時需先檢查傳遞的簽名是否合法,驗證后才調用相關接口。
加密簽名在服務端(Web API端)的驗證流程參考微信的接口的處理方式,處理邏輯如下所示。
1)檢查timestamp 與系統時間是否相差在合理時間內,如10分鐘。
2)將appSecret、timestamp、nonce三個參數進行字典序排序
3)將三個參數字符串拼接成一個字符串進行SHA1加密
4)加密后的字符串可與signature對比,若匹配則標識該次請求來源于某應用端,請求是合法的。
C#端代碼校驗如下所示。
/// <summary>/// 檢查應用接入的數據完整性/// </summary>/// <param name="signature">加密簽名內容</param>/// <param name="timestamp">時間戳</param>/// <param name="nonce">隨機字符串</param>/// <param name="appid">應用接入Id</param>/// <returns></returns>public CheckResult ValidateSignature(string signature, string timestamp, string nonce, string appid){CheckResult result = new CheckResult();result.errmsg = "數據完整性檢查不通過";//根據Appid獲取接入渠道的詳細信息AppInfo channelInfo = BLLFactory<App>.Instance.FindByAppId(appid);if (channelInfo != null){#region 校驗簽名參數的來源是否正確string[] ArrTmp = { channelInfo.AppSecret, timestamp, nonce };Array.Sort(ArrTmp);string tmpStr = string.Join("", ArrTmp);tmpStr = FormsAuthentication.HashPasswordForStoringInConfigFile(tmpStr, "SHA1");tmpStr = tmpStr.ToLower();if (tmpStr == signature && ValidateUtil.IsNumber(timestamp)){DateTime dtTime = timestamp.ToInt32().IntToDateTime();double minutes = DateTime.Now.Subtract(dtTime).TotalMinutes;if (minutes > timspanExpiredMinutes){result.errmsg = "簽名時間戳失效";}else{result.errmsg = "";result.success = true;result.channel = channelInfo.Channel;}}#endregion}return result;}一旦我們完成對安全簽名進行成功認證,也就是我們對數據提交的來源和完整性進行了確認,就可以進行更多和安全性相關的操作了,如獲取用戶的訪問令牌信息的操作如下所示。
第一步是驗證用戶的簽名是否符合要求,符合要求后進行用戶信息的比對,并生成用戶訪問令牌數據JSON,返回給調用端即可。
3、Web API使用安全令牌的實現
通過上面的接口,我們獲取到的用戶訪問令牌,以后和用戶相關的信息調用,我們就可以通過這個令牌參數進行傳遞就可以了,這個令牌帶有用戶的一些基礎信息,如用戶ID,過期時間等等,這個Token的設計思路來源于JSON Web Token (JWT),具體可以參考http://self-issued.info/docs/draft-ietf-oauth-json-web-token.html,以及GitHub上的項目https://github.com/jwt-dotnet/jwt。
由于Web API的調用,都是一種無狀態方式的調用方式,我們通過token來傳遞我們的用戶信息,這樣我們只需要驗證Token就可以了。
JWT的令牌生成邏輯如下所示
令牌生成后,我們需要在Web API調用處理前,對令牌進行校驗,確保令牌是正確有效的。
檢查的代碼,就是把令牌生成的過程逆反過來,獲取相應的信息,并且對令牌簽發的時間進行有效性判斷,一般可以約定一個失效時間,如1天或者7天,也不用設置太短。
/// <summary>/// 檢查用戶的Token有效性/// </summary>/// <param name="token"></param>/// <returns></returns>public CheckResult ValidateToken(string token){//返回的結果對象CheckResult result = new CheckResult();result.errmsg = "令牌檢查不通過";if (!string.IsNullOrEmpty(token)){try{string decodedJwt = JsonWebToken.Decode(token, sharedKey);if (!string.IsNullOrEmpty(decodedJwt)){#region 檢查令牌對象內容dynamic root = JObject.Parse(decodedJwt);string username = root.name;string userid = root.iss;int jwtcreated = (int)root.iat;//檢查令牌的有效期,7天內有效TimeSpan t = (DateTime.UtcNow - new DateTime(1970, 1, 1));int timestamp = (int)t.TotalDays;if (timestamp - jwtcreated > expiredDays){throw new ArgumentException("用戶令牌失效.");}//成功校驗result.success = true;result.errmsg = "";result.userid = userid;#endregion}}catch (Exception ex){LogTextHelper.Error(ex);}}return result;}一般來說,訪問令牌不能永久有效,對于訪問令牌的重新更新問題,可以設置一個規則,只允許最新的令牌使用,并把它存儲在接口緩存里面進行對比,應用系統退出的時候,就把內存里面的Token移除就可以了。
4、ASP.NET Web API的開發
?上面我們定義了一般的Web API接口,以及實現相應的業務實現,如果我們需要創建Web API層,還需要構建一個Web API項目的。
創建好相應的項目后,可以為項目添加一個Web API基類,方便控制共同的接口。
然后我們就可以在Controller目錄上創建更多的應用API控制器了。
最后我們為了統一所有的API接口都是返回JSON方式,我們需要對WebApiConfig里面的代碼進行設置下。
public static class WebApiConfig{public static void Register(HttpConfiguration config){// Web API 配置和服務config.SetCorsPolicyProviderFactory(new CorsPolicyFactory());config.EnableCors();// Web API 路由config.MapHttpAttributeRoutes();config.Routes.MapHttpRoute(name: "DefaultApi",routeTemplate: "api/{controller}/{action}/{id}",defaults: new { action = "post", id = RouteParameter.Optional });// Remove the JSON formatter//config.Formatters.Remove(config.Formatters.JsonFormatter);// Remove the XML formatterconfig.Formatters.Remove(config.Formatters.XmlFormatter);}}5、Web API 接口的測試
接下來我們要做的就是需要增加業務接口,以便進行具體的測試了,建議使用Winform項目,對每個接口進行一個測試,或者也可以考慮使用單元測試的方式,看個人喜好吧。
例如我們如果要測試用戶登陸的接口的話,我們的測試代碼如下所示。
/// <summary>/// 生成簽名字符串/// </summary>/// <param name="appSecret">接入秘鑰</param>/// <param name="timestamp">時間戳</param>/// <param name="nonce">隨機數</param>private string SignatureString(string appSecret, string timestamp, string nonce){string[] ArrTmp = { appSecret, timestamp, nonce };Array.Sort(ArrTmp);string tmpStr = string.Join("", ArrTmp);tmpStr = FormsAuthentication.HashPasswordForStoringInConfigFile(tmpStr, "SHA1");return tmpStr.ToLower();}private TokenResult GetTokenResult(){string timestamp = DateTime.Now.DateTimeToInt().ToString();string nonce = new Random().NextDouble().ToString();string signature = SignatureString(appSecret, timestamp, nonce);string appended = string.Format("&signature={0}×tamp={1}&nonce={2}&appid={3}", signature, timestamp, nonce, appId);string queryUrl = url + "Auth/GetAccessToken?username=test&password=123456" + appended;HttpHelper helper = new HttpHelper();string token = helper.GetHtml(queryUrl);Console.WriteLine(token);TokenResult tokenResult = JsonConvert.DeserializeObject<TokenResult>(token);return tokenResult;}如果我們已經獲得了令牌,我們根據令牌傳遞參數給連接,并獲取其他數據的測試處理代碼如下所示。
//獲取訪問令牌TokenResult tokenResult = GetTokenResult();string queryUrl = url + "/Contact/get?token=" + tokenResult.access_token;HttpHelper helper = new HttpHelper();string result = helper.GetHtml(queryUrl);Console.WriteLine(result);如果需要POST數據的話,那么調用代碼如下所示。
//使用POST方式var data = new{name = "張三",certno = "123456789",};var postData = data.ToJson();queryUrl = url + "/Contact/Add?token=" + tokenResult.access_token;helper = new HttpHelper();helper.ContentType = "application/json";result = helper.GetHtml(queryUrl, postData, true);Console.WriteLine(result);Web API后臺,會自動把POST的JSON數據轉換為對應的對象的。
如果是GET方式,我們可能可以直接通過瀏覽器進行調試,如果是POST方式,我們需要使用一些協助工具,如Fiddler等處理工具,但是最好的方式是自己根據需要弄一個測試工具,方便測試。
以下就是我為了自己Web API 接口開發的需要,專門弄的一個調試工具,可以自動組裝相關的參數,包括使用安全簽名的參數,還可以把所有參數數據進行存儲。
?轉:http://www.cnblogs.com/wuhuacong/p/4620300.html
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的Web API应用架构设计分析(2)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: webapi同一个Controller多
- 下一篇: 数字签名时间戳服务器的原理 !