基于C#注解构建Web API安全模型

【摘要】随着Web技术发展，Web API驱动开发已成为Web应用的关键部分。Web API成为了云服务最核心的要素，同时其安全性也得到了前所未有的關注，本文提出了一种基于C#注解构建的Web API安全模型，很好地满足了Web安全性需求。

【中图分类号】G202 【文献标识码】A 【文章编号】2095-3089（2017）30-0207-02

Web技术已经越来越流行和深入，云计算带动了云服务的成长，很多IT巨头都提供了各种各样的云平台，如百度云提供了百度语音识别API，通过简单的调用即可实现语音识别。随着社会分工的细化和专业化程度的提高，Web API服务模式越来越流行，不同厂商依靠自己擅长的领域提供更为专业和深度的Web API服务，每个个体均可以通过Web API完成凭一己之力不可能完成的任务，故Web API自身安全显得尤为重要。

用机器人来不停进行请求，导致服务器资源紧张或充斥了大量垃圾数据，服务器不堪重负就有可能宕机。

攻击者盗用了用户身份，以其名义发送恶意请求，比如用户在网站A登录后，跳转到一个非法的网站B，网站B引导用户填入一些敏感信息后反过来提交给网站A，极有可能盗取用户的信息或进行非法操作。

在网站的表单提交中，嵌入一些非法脚本，就有可能导致网站关键信息泄露。

Web API一般提供详细的API接口说明文档，如自身安全防范不到位，攻击者很容易通过技术手段进行非法API接口调用。

针对上述常见手段，本文首先从防范手段入手，提出了下列方式：

Web 提交分为 GET、POST 两种形式，其中 GET 体现为 query string（查询字符串），这个字符串会显示在地址栏上面，极为不完全，为避免这种低级安全问题，所有 Web API 均采用 POST 方式提交。

客户端脚本是可以看得到源码的，而且极易被篡改，而服务器脚本是部署在服务器端，并且基本上是编译后部署的，安全性大大增强，并且，只有网站拥有者才有权限修改，如微信公众号的 API 均要求采用服务器端程序访问。

RBAC 是基于角色的访问控制，Web API 大部分接口是需要特定的角色才能访问的，访问者请求一个没有权限的接口是无法成功的，这就能在业务逻辑层将恶意攻击阻止。

CSRF，跨站访问是常见的攻击手段，但如果在每次提交时就发回一个服务器植入的访问令牌，并校验令牌是否统一，就可以很好的杜绝 CSRF 攻击。

对于一些公开 API，恶意攻击者采用大量肉机实施高频次不间断的数据请求，导致服务器压力过大而宕机，如果对频次和数量进行限制，则此类问题可以避免。

OAuth 2.0 是一个与授权相关的国际通行标准，作为 Web API 提供商首先要对开发者做认证，认证完成后进行接口访问，访问前获取一个访问令牌，通过访问令牌访问对应的接口，这几组动作完成后，安全性可以得到保障。

通过上述防范手段的设定，本文提出了基于C#注解模型的实现。

C#注解是通过Attribute类来实现，它可以对类、方法、属性进行注解，此种做法在某些实现逻辑上更为简洁和方便，比如某个属性是数据库表的主键，通过下面代码即可表明：

是否需要登录，默认为 false。下例表明 ResetPassWord 需要登录才能访问。

public void ResetPassWord（int userId，string oldPassWord，string newPassWord）

允许哪种角色访问。下例表明 Delete 需要 /BeCool/Editor 角色才能访问。

同一个授权应用，每秒可请求多少次，默认为 -1 表示没有限制。下例表明 GetUser 每秒可以请求 1次。

可请求数量，默认为 -1 表示没有限制。下例表明 GetArticles 可以返回 1000 条。

GetArticles（int catalogId）

·SafetyParameterName

不允许非安全字符串，如 SQL、脚本注入。下例表明传入的 content 参数中不能包含非安全字符串。

[AllowCall（SafetyParameterName='content'）]

public IM Add（string title，string content）

通过上述注解，已经可以完成大部分安全防范了。另外，本文设计的注解模型还包含如下几个能力：

·继承能力

子类可以继承父类关于安全性注解的内容，也可以将子类的注解与父类进行拼合。下例表明子类的 GetUser 覆盖了父类中 GetUser 的安全性注解。

//父类

[AllowCall（Frequency=1）]

public User GetUser（int id）

//子类

[AllowCall（Frequency=10，Count=100）]

public User GetUser（int id）

·全局常量

在注解中，可以用到一些全局常量，比如当前登录用户 Id。

·值域校验

上述全局常量经常用于值域校验。下例表明登录用户只能修改自己的密码。

[AllowCall（NeedLogin=true，VerifyParameterName='userId'，VerifyValue=G.UserId）]

public void ResetPassWord（int userId，string oldPassWord，string newPassWord）

四、技术实现

上述注解模型，采用 C# 提供的Type.GetMemebers（获取类型对应成员集合）、MemberInfo.IsDefined（是否定义某个属性）和MemberInfo.GetCustomAttributes（获取特定属性集合）三个函数组合实现。

在前文中，ResetPassWord方法必须登录后才能访问，判断方式如下：

var im=new IM（）；

var attrs=AttributeUtils.GetCustomAttributes（typeof（UserControl），"ResetPassWord"）

as AllowCallAttribute；

if（attrs.NeedLogin==true）

{

if（G.IsLogin==false）

im.Error（"请先登录。"）；

}

return im；

为了更方便的进行防范处理，本文还提供了一套工具集，核心代码如下：

///

/// 判断某个类（typeOfClass）的某个字段（memberName）是否定义了某个属性（typeOfAttribute）

///

/// 对象类型

/// 属性类型

/// 成员名称

///

public static bool IsAttributeDefined（Type typeOfClass， Type typeOfAttribute， string memberName）

{

MemberInfo[] mis = typeOfClass.GetMembers（）；

for （int i = 0； i < mis.Length； i++）

if （mis[i].IsDefined（typeOfAttribute， false）

&& mis[i].Name == memberName）

return true；

return false；

}

///

/// 得到某個类（typeOfClass）的某个字段（memberName）定义的某个属性（typeOfAttribute）集合

///

/// 对象类型

/// 属性类型

/// 成员名称

///

public static object[] GetCustomAttributes（Type typeOfClass， Type typeOfAttribute， string memberName）

{

MemberInfo[] mis = typeOfClass.GetMembers（）；

for （int i = 0； i < mis.Length； i++）

{

if （mis[i].IsDefined（typeOfAttribute， false）

&& mis[i].Name == memberName）

{

return mis[i].GetCustomAttributes（typeOfAttribute， false）；

}

return null；

}

限于篇幅，其他几个工具代码就不一一贴上了。

五、总结

本文通过安全漏洞的分析，提取了几个防范手段来抵御攻击，并采用 C# 注解模型来实现，大大降低了开发者工作量，提升了开发效率，简化了开发逻辑，在具体项目实施过程中取得了很好的效果。