前言
身份驗證是保護(hù)應(yīng)用程序的基礎(chǔ),并確保用戶和系統(tǒng)在訪問資源之前得到正確驗證。經(jīng)歷多年,已經(jīng)出現(xiàn)了多種認(rèn)證方法,每種方法都應(yīng)用在不同的安全需求與技術(shù)環(huán)境。本文介紹C#使用這幾種身份驗證方法。
六種方法
1、基本身份驗證
基本身份驗證(Basic Authentication)主要賴于用戶及其擁有的密碼,核心原理是通過比較用戶輸入的密碼與預(yù)先存儲的密碼來確認(rèn)用戶身份。此方法是一種最基本的用戶身份驗證方式。如果我們把用戶名和密碼發(fā)送在HTTP請求頭中編碼,也免強(qiáng)可作為Web身份驗證方法,但并不建議。由于其缺乏加密,且出現(xiàn)敏感數(shù)據(jù),但它為理解C#中的身份驗證提供了一個簡單的起點(diǎn)。FTP 使用就是用戶名和密碼來驗證。using System;using System.Net;using System.Text;namespace Fountain.WinConsole.BasicDemo{ internal class Program { public static void Main() { string username = "admin"; string password = "admin6666";
string url = "http://127.0.0.1/api/getOrderData"; string credentials = Convert.ToBase64String(Encoding.ASCII.GetBytes($"{username}:{password}"));
WebClient client = new WebClient(); client.Headers[HttpRequestHeader.Authorization] = $"Basic {credentials}";
string response = client.DownloadString(url); Console.WriteLine(response); } }}
2、摘要認(rèn)證
摘要認(rèn)證(Digest Authentication)是對基本身份驗證的改進(jìn),通過發(fā)送哈希憑據(jù)而不是賬戶密碼,防止明文傳輸中賬戶密碼的泄露,它為防止竊聽攻擊提供了更好的安全性。在C#中,摘要身份驗證實現(xiàn)涉及更復(fù)雜的nonce值的散列和處理,通常使用專門的庫或框架。(感興趣可以查找相關(guān)內(nèi)容了解)
3、基于 Cookie 的身份驗證
基于 Cookie 的身份驗證是一種無狀態(tài)的身份驗證機(jī)制,它依賴于HTTP協(xié)議中的Cookie機(jī)制。成功登錄后,服務(wù)器會生成一個包含用戶身份信息的Cookie,并將其發(fā)送給用戶的瀏覽器。在后續(xù)的請求中發(fā)送給服務(wù)器,用于識別用戶的身份。/// <summary>/// 登錄/// </summary>public static void Login(){ WebRequest request = WebRequest.Create("http://127.0.0.1:8080/account/login"); request.Credentials = CredentialCache.DefaultCredentials; string content = Convert.ToBase64String(Encoding.Default.GetBytes(string.Format("{0}:{1}", "admin", "admin666"))); request.Headers.Add("Authorization", "Basic " + content); WebResponse webResponse = request.GetResponse(); string cookieStriing = webResponse.Headers.Get("Set-Cookie");}/// <summary>/// 獲取訂單/// </summary>public static string GetOrders(){ WebRequest request = WebRequest.Create("http://127.0.0.1:8080/order/getOrders"); request.Credentials = CredentialCache.DefaultCredentials; request.Headers.Add("Cookie", cookieString); WebResponse response = request.GetResponse(); return new StreamReader(response.GetResponseStream(), Encoding.Default).ReadToEnd();}
4、基于 Session 的身份驗證
基于 Session 的身份驗證是一種依賴于服務(wù)器端創(chuàng)建和管理用戶會話。它的運(yùn)行基于用戶登錄、創(chuàng)建會話、返回會話、保存會話、會話驗證及會話過期與管理。namespace Fountain.WebAPI.SessionDemo{ public class UsersController : Controller { /// <summary> /// 登錄 /// </summary> /// <param name="username"></param> /// <param name="password"></param> /// <returns></returns> public ActionResult Login(string username, string password) { if (username == "user" && password == "password") { // 存儲用戶會話 Session["username"] = username; return RedirectToAction("Index", "Home"); } else { return View("Login"); } } /// <summary> /// 操作 /// </summary> /// <returns></returns> public ActionResult Index() { if (Session["username"] != null) { // 用戶已通過身份驗證 } else { // 用戶身份驗證失敗 } } }}
5、基于 JWT的身份驗證
JWT 是一種流行的基于令牌的API身份驗證方法,它定義了一種緊湊和自包含的方式,用于作為 JSON 對象在各方之間安全地傳輸信息。此信息可以進(jìn)行驗證和信任,因為它是經(jīng)過數(shù)字簽名的。JWT 可以使用HMAC、RSA 或 ECDSA 的公鑰/私鑰對進(jìn)行簽名。以下是在C#中生成JWT的Token:using System;using System.IdentityModel.Tokens.Jwt;using System.Security.Claims;using Microsoft.IdentityModel.Tokens;
namespace Fountain.WinConsole.JWTDemo{ internal class Program { public static void Main() { var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("supersecretkey")); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); // 生成Token var token = new JwtSecurityToken( issuer: "test.example.com", audience: "test.example.com", expires: DateTime.Now.AddMinutes(30), SigningCredentials = SigningCredentials, );
var tokenString = new JwtSecurityTokenHandler().WriteToken(token); Console.WriteLine(tokenString); } }}
6、基于 API 密鑰
API密鑰是API請求中作為參數(shù)或標(biāo)頭傳遞的簡單令牌,用于驗證和授權(quán)應(yīng)用程序,其原理與用戶名和密碼相似。它一般以單一密鑰或一組多個密鑰的形式出現(xiàn)。應(yīng)用時,應(yīng)該遵循最佳實踐,改善整體安全性,以防止API密鑰被盜并避免API密鑰泄露的相關(guān)后果。using System;using System.Net;using System.Text;
namespace Fountain.WinConsole.APIKeyDemo{ internal class Program { public static void Main() { string apiKey = "你的API KEY"; string url = "http://127.0.0.1/api/getOrderData";
WebClient client = new WebClient(); client.Headers.Add("api-key", apiKey);
string response = client.DownloadString(url); Console.WriteLine(response); } }}
小結(jié)
了解身份驗證方法對于構(gòu)建安全可靠的應(yīng)用程序至關(guān)重要,采用何種方法取決于安全要求、可擴(kuò)展性和用戶體驗等因素。
該文章在 2024/10/19 12:11:51 編輯過
400 186 1886
