程序師世界是廣大編程愛好者互助、分享、學習的平台,程序師世界有你更精彩!
首頁
編程語言
C語言|JAVA編程
Python編程
網頁編程
ASP編程|PHP編程
JSP編程
數據庫知識
MYSQL數據庫|SqlServer數據庫
Oracle數據庫|DB2數據庫
 程式師世界 >> 編程語言 >> .NET網頁編程 >> 關於.NET >> 使用h5開發跨平台APP確保數據安全交互---服務器篇,h5app

使用h5開發跨平台APP確保數據安全交互---服務器篇,h5app

編輯:關於.NET

使用h5開發跨平台APP確保數據安全交互---服務器篇,h5app


  從eclipse到android studio的安卓開發經驗告訴我原聲開發才是硬道理,其實以前很抵觸html5開發app的,雖然沒有去了解過,但是冥冥中就覺得它運行速度太慢了,加載渲染根本比不上原生開發,並且如果系統與硬件交互比較深的話就更沒法使用html5了。一個偶然機會,我開始接觸html5開發app,總之各有各的優缺點,如果對資金比較短缺 ,那麼久先使用html5開發與一個app湊合著用吧,不過沒有想象中的那麼垃圾,其實優點還是蠻多的。想學的可以自己 體會一下。

  APP設計之初當然要先考慮安全性問題,並且能夠達到高效,我在這裡簡單分享一下我的做法(查閱網上的資料做的),app需要與服務器進行交互,通過調用服務器提供的api獲取數據,並展示出來。如果服務器api接口沒有做任何防護,那麼會被他人惡意調用,輕者會加重服務器負擔,重者可能造成經濟損失。

  首先我們需要能夠識別調用者是否為合法用戶,如果合法,則返回數據,不合法就直接禁止掉。(下邊會將登錄與未登錄情況),服務器端使用的是asp.net web api。客戶端發送請求時,加入sign,ts,deviceid...sign=加密算法(ts+deviceid+***),具體方法看個人,服務端獲取到這些數據後,在服務端進行判斷,如果時間在5分鐘以為,或者簽名不正確等問題,就立即禁止訪問。訪問級別設置為三級:1、不需要任何驗證,可以隨意訪問。2、只能自己的客戶端能訪問,做簽名認證。2、登錄認證,必須登錄才能訪問。登錄認證使用比較流行的token方法,當用戶登錄的時候,如果登錄成功,服務器按照一定規則生成已串加密字符串作為token,然後發送給客戶端,從那以後客戶端每次請求數據都需要將token和用戶名提交給服務端,有服務端確定是否為合法登錄用戶,如不是那麼客戶端跳回到登錄頁面,重新登錄驗證。

  1 using System;
  2 using System.Linq;
  3 using System.Net;
  4 using System.Net.Http;
  5 using System.Web.Http.Controllers;
  6 using System.Web.Http.Filters;
  7 using KubuServerBLL;
  8 using yxxrui;
  9 
 10 namespace ****Server
 11 {
 12     public class MyApiActionFilter : ActionFilterAttribute
 13     {
 14         public const int NOT_AUTHENTICATION = 1;
 15         public const int NOT_LOGIN = 2;
 16         public const int NEED_LOGIN = 3;
 17         private const string ApiPrivateKey = "aaaaaasdfadfadfgfdgjldfajooilsdkjfad***sfhdjk";//客戶端和手機端保持一致
 18         private readonly int _level;
 19 
 20         public MyApiActionFilter()
 21         {
 22             _level = NEED_LOGIN;
 23         }
 24         public MyApiActionFilter(int level)
 25         {
 26             _level = level;
 27         }
 28 
 29         public override void OnActionExecuting(HttpActionContext context)
 30         {
 31             //三個級別,1、不需要驗證  2、需要認證是否來自合法的客戶端  3、是否正確登錄
 32             switch (_level)
 33             {
 34                 case NOT_AUTHENTICATION:
 35                     break;
 36                 case NOT_LOGIN:
 37                     if (IsForbidden(context))
 38                     {
 39                         context.Response = new HttpResponseMessage(HttpStatusCode.Gone);
 40                     }
 41                     break;
 42                 case NEED_LOGIN:
 43                     if (IsForbidden(context) || IsNotLogin(context))
 44                     {
 45                         context.Response = new HttpResponseMessage(HttpStatusCode.Forbidden);
 46                     }
 47                     break;
 48             }
 49             //如果該請求是不合法的,那麼禁止
 50             base.OnActionExecuting(context);
 51             //驗證通過
 52 
 53         }
 54 
 55         private readonly UserBll _userBll = new UserBll();
 56         private bool IsNotLogin(HttpActionContext context)
 57         {
 58             try
 59             {
 60                 //獲取請求頭信息
 61                 var requestHeaders = context.Request.Headers;
 62                 //設備ID
 63                 var usernameH = requestHeaders.Where(d => d.Key == "username").ToList();
 64                 string username = usernameH.Any() ? usernameH.First().Value.ToArray()[0] : "";
 65                 if (string.IsNullOrWhiteSpace(username))
 66                 {
 67                     return true;
 68                 }
 69 
 70                 //請求簽名
 71                 var tokenH = requestHeaders.Where(d => d.Key == "token").ToList();
 72                 string token = tokenH.Any() ? tokenH.First().Value.ToArray()[0] : "";
 73                 if (string.IsNullOrWhiteSpace(token))
 74                 {
 75                     return true;
 76                 }
 77                 var isLogin = _userBll.CheckToken(username, token);
 78                 return !isLogin;
 79             }
 80             catch
 81             {
 82                 return true;
 83             }
 84         }
 85 
 86         /// <summary>
 87         /// 驗證請求頭
 88         /// </summary>
 89         /// <param name="context"></param>
 90         /// <returns></returns>
 91         private bool IsForbidden(HttpActionContext context)
 92         {
 93             try
 94             {
 95                 //獲取請求頭信息
 96                 var requestHeaders = context.Request.Headers;
 97                 //設備ID
 98                 var deviceIdH = requestHeaders.Where(d => d.Key == "deviceId").ToList();
 99                 string deviceId = deviceIdH.Any() ? deviceIdH.First().Value.ToArray()[0] : "";
100                 if (string.IsNullOrWhiteSpace(deviceId))
101                 {
102                     return true;
103                 }
104 
105                 //請求簽名
106                 var signH = requestHeaders.Where(d => d.Key == "sign").ToList();
107                 string sign = signH.Any() ? signH.First().Value.ToArray()[0] : "";
108                 if (string.IsNullOrWhiteSpace(sign))
109                 {
110                     return true;
111                 }
112 
113                 //10位時間戳
114                 var tsH = requestHeaders.Where(d => d.Key == "ts").ToList();
115                 string ts = tsH.Any() ? tsH.First().Value.ToArray()[0] : "";
116                 if (string.IsNullOrWhiteSpace(ts) || ts.Length != 10)
117                 {
118                     return true;
119                 }
120 
121                 //看看是否失效,前後5分鐘
122                 var tsDate = ComHelper.ConvertIntDateTime(ts);
123                 if (tsDate > DateTime.Now.AddMinutes(5) || tsDate < DateTime.Now.AddMinutes(-5))
124                 {
125                     return true;
126                 }
127                 //服務器端生成的Sign
128                 string mysign = ComHelper.To加密(deviceId + ts + ApiPrivateKey);
129                 if (!sign.Equals(mysign, StringComparison.InvariantCultureIgnoreCase))
130                 {
131                     return true;
132                 }
133             }
134             catch
135             {
136                 return true;
137             }
138             return false;
139         }
140     }
141 }
  創建上邊的類,使用方法如下:
 1 using System;
 2 using System.Collections.Generic;
 3 using System.Linq;
 4 using System.Net;
 5 using System.Net.Http;
 6 using System.Web.Http;
 7 using ****ServerBLL;
 8 using ****ServerDAL;
 9 using ****ServerModel;
10 
11 namespace ****Server.Controllers.Api
12 {
13     public class NameValuesController : ApiController
14     {
15         private readonly NameValuesBll _nameValuesBll = new NameValuesBll();
16 
17         [HttpPost]
18         [MyApiActionFilter(2)]//此處設置標簽攔截,級別設置為不需要登錄
19         public BaseMsg GetUpdateVersion(dynamic obj)
20         {
21             string clientVersion, deviceId;
22             try
23             {
24                 clientVersion = Convert.ToString(obj.clientVersion);
25                 deviceId = Convert.ToString(obj.deviceId);
26             }
27             catch
28             {
29                 return new BaseMsg("信息有誤。");
30             }
31 
32             var versionObj = _nameValuesBll.GetValueByName("version");
33             var urlObj = _nameValuesBll.GetValueByName("AndroidUrl");
34 
35             if (versionObj == null || urlObj == null)
36             {
37                 return new BaseMsg("獲取失敗,請重試。");
38             }
39             if (versionObj.value != clientVersion)
40             {
41                 return new BaseMsg(new
42                 {
43                     Version = versionObj.value,
44                     AndroidUrl = urlObj.value,
45                     UpdateMemo = versionObj.other
46                 });
47             }
48             return new BaseMsg("noNewVersion","已是最新版,不需要更新。",null);
49         }
50     }
51 }
上邊的方法是一個檢查軟件是否需要更新的接口,此方法放到服務器可以實現灰度更新,但可能會加重服務器負擔。如果app需要檢查更新的時候,直接調用該api即可。此接口需要簽名認證。
  如果希望有一個接口必須由自己做的客戶端發出,並且用戶成功登錄過才可以訪問,那麼可以將方法上邊的標簽[MyApiActionFilter(2)]中的數字改成3或者直接刪掉即可,如:
 1      #region 綁定手機號碼
 2         [HttpPost]
 3         [MyApiActionFilter]
 4         public BaseMsg BindingPhone(dynamic obj)
 5         {
 6             string phone;
 7             string username;
 8             try
 9             {
10                 phone = Convert.ToString(obj.phone);
11                 username = Convert.ToString(obj.username);
12             }
13             catch
14             {
15                 return new BaseMsg("信息有誤。");
16             }
17             bool ret = _userBll.BindingPhone(username,phone);
18             if (ret)
19             {
20                 return new BaseMsg();
21             }
22             return new BaseMsg(@"該手機號已經注冊過。");
23         }
24         #endregion

 

   如果控制器中的所有api方法都需要登錄後才能使用,那麼將標簽放到類上方,如果有n個控制器都需要登錄後訪問,那麼創建一個基類去繼承ApiController,在該類上邊寫上標簽,然後其他控制器繼承該基類,即可快速實現所需功能。至此,服務器端接口就被簡單保護起來了。客戶端的代碼實現等下一篇再寫吧。

  1. 上一頁:
  2. 下一頁:
Copyright © 程式師世界 All Rights Reserved