前言
身份驗證是保護應用程序的基礎,并確保用戶和系統(tǒng)在訪問資源之前得到正確驗證。經(jīng)歷多年,已經(jīng)出現(xiàn)了多種認證方法,每種方法都應用在不同的安全需求與技術環(huán)境。本文介紹C#使用這幾種身份驗證方法。
六種方法
1、基本身份驗證
基本身份驗證(Basic Authentication)主要賴于用戶及其擁有的密碼,核心原理是通過比較用戶輸入的密碼與預先存儲的密碼來確認用戶身份。此方法是一種最基本的用戶身份驗證方式。如果我們把用戶名和密碼發(fā)送在HTTP請求頭中編碼,也免強可作為Web身份驗證方法,但并不建議。由于其缺乏加密,且出現(xiàn)敏感數(shù)據(jù),但它為理解C#中的身份驗證提供了一個簡單的起點。FTP 使用就是用戶名和密碼來驗證。using System;using System.Net;using System.Text;namespace Fountain.WinConsole.BasicDemo{ internal class Program { public static void Main() { string username = "admin"; string password = "admin6666";
string url = "http://127.0.0.1/api/getOrderData"; string credentials = Convert.ToBase64String(Encoding.ASCII.GetBytes($"{username}:{password}"));
WebClient client = new WebClient(); client.Headers[HttpRequestHeader.Authorization] = $"Basic {credentials}";
string response = client.DownloadString(url); Console.WriteLine(response); } }}
2、摘要認證
摘要認證(Digest Authentication)是對基本身份驗證的改進,通過發(fā)送哈希憑據(jù)而不是賬戶密碼,防止明文傳輸中賬戶密碼的泄露,它為防止竊聽攻擊提供了更好的安全性。在C#中,摘要身份驗證實現(xiàn)涉及更復雜的nonce值的散列和處理,通常使用專門的庫或框架。(感興趣可以查找相關內容了解)
3、基于 Cookie 的身份驗證
基于 Cookie 的身份驗證是一種無狀態(tài)的身份驗證機制,它依賴于HTTP協(xié)議中的Cookie機制。成功登錄后,服務器會生成一個包含用戶身份信息的Cookie,并將其發(fā)送給用戶的瀏覽器。在后續(xù)的請求中發(fā)送給服務器,用于識別用戶的身份。/// <summary>/// 登錄/// </summary>public static void Login(){ WebRequest request = WebRequest.Create("http://127.0.0.1:8080/account/login"); request.Credentials = CredentialCache.DefaultCredentials; string content = Convert.ToBase64String(Encoding.Default.GetBytes(string.Format("{0}:{1}", "admin", "admin666"))); request.Headers.Add("Authorization", "Basic " + content); WebResponse webResponse = request.GetResponse(); string cookieStriing = webResponse.Headers.Get("Set-Cookie");}/// <summary>/// 獲取訂單/// </summary>public static string GetOrders(){ WebRequest request = WebRequest.Create("http://127.0.0.1:8080/order/getOrders"); request.Credentials = CredentialCache.DefaultCredentials; request.Headers.Add("Cookie", cookieString); WebResponse response = request.GetResponse(); return new StreamReader(response.GetResponseStream(), Encoding.Default).ReadToEnd();}
4、基于 Session 的身份驗證
基于 Session 的身份驗證是一種依賴于服務器端創(chuàng)建和管理用戶會話。它的運行基于用戶登錄、創(chuàng)建會話、返回會話、保存會話、會話驗證及會話過期與管理。namespace Fountain.WebAPI.SessionDemo{ public class UsersController : Controller { /// <summary> /// 登錄 /// </summary> /// <param name="username"></param> /// <param name="password"></param> /// <returns></returns> public ActionResult Login(string username, string password) { if (username == "user" && password == "password") { // 存儲用戶會話 Session["username"] = username; return RedirectToAction("Index", "Home"); } else { return View("Login"); } } /// <summary> /// 操作 /// </summary> /// <returns></returns> public ActionResult Index() { if (Session["username"] != null) { // 用戶已通過身份驗證 } else { // 用戶身份驗證失敗 } } }}
5、基于 JWT的身份驗證
JWT 是一種流行的基于令牌的API身份驗證方法,它定義了一種緊湊和自包含的方式,用于作為 JSON 對象在各方之間安全地傳輸信息。此信息可以進行驗證和信任,因為它是經(jīng)過數(shù)字簽名的。JWT 可以使用HMAC、RSA 或 ECDSA 的公鑰/私鑰對進行簽名。以下是在C#中生成JWT的Token:using System;using System.IdentityModel.Tokens.Jwt;using System.Security.Claims;using Microsoft.IdentityModel.Tokens;
namespace Fountain.WinConsole.JWTDemo{ internal class Program { public static void Main() { var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("supersecretkey")); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); // 生成Token var token = new JwtSecurityToken( issuer: "test.example.com", audience: "test.example.com", expires: DateTime.Now.AddMinutes(30), SigningCredentials = SigningCredentials, );
var tokenString = new JwtSecurityTokenHandler().WriteToken(token); Console.WriteLine(tokenString); } }}
6、基于 API 密鑰
API密鑰是API請求中作為參數(shù)或標頭傳遞的簡單令牌,用于驗證和授權應用程序,其原理與用戶名和密碼相似。它一般以單一密鑰或一組多個密鑰的形式出現(xiàn)。應用時,應該遵循最佳實踐,改善整體安全性,以防止API密鑰被盜并避免API密鑰泄露的相關后果。using System;using System.Net;using System.Text;
namespace Fountain.WinConsole.APIKeyDemo{ internal class Program { public static void Main() { string apiKey = "你的API KEY"; string url = "http://127.0.0.1/api/getOrderData";
WebClient client = new WebClient(); client.Headers.Add("api-key", apiKey);
string response = client.DownloadString(url); Console.WriteLine(response); } }}
小結
了解身份驗證方法對于構建安全可靠的應用程序至關重要,采用何種方法取決于安全要求、可擴展性和用戶體驗等因素。
該文章在 2024/10/19 12:11:51 編輯過
400 186 1886
