(晚来天欲雪 _ _ _ _ _ _)
大家好,天气骤降,你那里下雪了么。
书接上文,上篇说到了我们可以通过前端把请求参数进行加密,然后传给后端,后端统一通过中间件或者过滤器进行解密,将参数回填到请求里,这样就能无感的将接口参数进行安全保护了,同时又不改变接口的写法。
接口参数加密其实不是很重要(当然除了登录接口),那最重要的还是返回值内容加密:
首先,我们还是需要定义一种加密方式,也同时需要和前端商量好,肯定是需要前端也能解密的,要不然不能页面渲染,前端可以在axios的返回值拦截器里解密。这里还是用Base64来演示,大家下载BlogCore最新代码就能看到两个中间件,自己根据公司情况进行修改即可。
其次,我们还是用这个接口举例子:
http://localhost:9291/api/Login/GetJwtTokenSecret?name=blogadmin&pass=blogadmin
这是一个很简单的接口,有两个参数,分别是用户名和密码。
然后模拟登录,请求会返回token:
如果这里是用户信息,或者是其他敏感信息,直接暴露到公网是不安全的,当然你可能会说用https会安全,这也不尽然,毕竟再加密一下肯定会更安全的嘛。
第三,就是我们的重中之重,返回内容加密中间件。
我们需要统一的对接口返回值进行加密,然后将输出到前端,所以聪明的你肯定知道如何处理,而且也要放到中间件管道外层,代码是这样,当然后期会微调,大家还是看BlogCore最新更新就行了。
public async Task InvokeAsync(HttpContext context){// 配置开关,过滤接口if (AppSettings.app("Middleware", "EncryptionResponse", "Enabled").ObjToBool()){var isAllApis = AppSettings.app("Middleware", "EncryptionResponse", "AllApis").ObjToBool();var needEnApis = AppSettings.app<string>("Middleware", "EncryptionResponse", "LimitApis");var path = context.Request.Path.Value.ToLower();if (isAllApis || (path.Length > 5 && needEnApis.Any(d => d.ToLower().Contains(path)))){Console.WriteLine($"{isAllApis} -- {path}");var responseCxt = context.Response;var originalBodyStream = responseCxt.Body;// 创建一个新的内存流用于存储加密后的数据using var encryptedBodyStream = new MemoryStream();// 用新的内存流替换 responseCxt.BodyresponseCxt.Body = encryptedBodyStream;// 执行下一个中间件请求管道await _next(context);//encryptedBodyStream.Seek(0, SeekOrigin.Begin);//encryptedBodyStream.Position = 0;// 可以去掉某些流接口if (!context.Response.ContentType.ToLower().Contains("application/json")){Console.WriteLine($"非json返回格式 {context.Response.ContentType}");//await encryptedBodyStream.CopyToAsync(originalBodyStream);context.Response.Body = originalBodyStream;return;}// 读取加密后的数据//var encryptedBody = await new StreamReader(encryptedBodyStream).ReadToEndAsync();var encryptedBody = responseCxt.GetResponseBody();if (encryptedBody.IsNotEmptyOr()){dynamic jsonObject = JsonConvert.DeserializeObject(encryptedBody);string statusCont = jsonObject.status;var status = statusCont.ObjToInt();string msg = jsonObject.msg;string successCont = jsonObject.success;var success = successCont.ObjToBool();dynamic responseCnt = success ? jsonObject.response : "";string s = "1";// 这里换成自己的任意加密方式var response = responseCnt.ToString() != "" ? Convert.ToBase64String(Encoding.UTF8.GetBytes(responseCnt.ToString())) : "";string resJson = JsonConvert.SerializeObject(new { response, msg, status, s, success });context.Response.Clear();responseCxt.ContentType = "application/json";//await using var streamlriter = new StreamWriter(originalBodyStream, leaveOpen: true);//await streamlriter.WriteAsync(resJson);var encryptedData = Encoding.UTF8.GetBytes(resJson);responseCxt.ContentLength = encryptedData.Length;await originalBodyStream.WriteAsync(encryptedData, 0, encryptedData.Length);responseCxt.Body = originalBodyStream;}}else{await _next(context);}}else{await _next(context);}}
核心的地方就是在信息加密那个节点,然后修改response对象。
最后呢,就是运行下项目,就可以看到能正常的请求到接口了,而且参数也加密了:
将返回内容,进行解密,就可以看到
到这里,我们就很完美的实现了这个需求,而且不用修改之前的任意代码,只需要一个中间件,就能实现,还可以手动进行控制,比如指定某几个接口等。
不知道你是否有更好的建议呢,欢迎评论留言哟。