通常如果我使用第三方 api,它们都会给我们两个 key ,它们是:
API key :一种随机数或 GUID
Pin/Secure Key/etc:密码或 OTP 的种类
现在,假设我是第三方并且我希望我的 API 被零售商使用, 我还想创建这些凭据并将其提供给 API 使用者。 我在 .net 核心工作。有什么方法可以创建这些,我们还必须应用安全性 或基于 token 的安全性。
我很困惑,因为我不知道这是如何实现的。
当我研究了一些关于堆栈溢出的问题时,他们建议使用 this , or this ,或者一些使用 HMAC 安全性,但在 HMAC 中,我们必须强制客户端也使用 HMAC,以便可以匹配相同的签名。
我的心情很复杂。您能否建议我在 .net core 中执行此操作的一些方法
最佳答案
生成 API key 基本上可以分解为仅生成加密随机字符串。 下面的 C# 代码片段生成了一个随机的十六进制字符串:
using System.Security.Cryptography;
public static string RandomString()
{
byte[] randomBytes = new Byte[64];
using (RandomNumberGenerator rng = new RNGCryptoServiceProvider())
{
rng.GetBytes(randomBytes);
}
SHA256Cng ShaHashFunction = new SHA256Cng();
byte[] hashedBytes = ShaHashFunction.ComputeHash(randomBytes);
string randomString = string.Empty;
foreach (byte b in hashedBytes)
{
randomString += string.Format("{0:x2}", b);
}
return randomString;
}
您可以使用不同的哈希函数轻松更改生成的 key 的长度,或者您也可以将十六进制编码切换为 Base64(Convert.ToBase64String(hashedBytes)
,这将替换 foreach
循环)编码,这在使用 API key 时更常见。
编辑 2022
自从我写这个答案以来,我对密码学和 .NET Core 本身的理解都发生了变化。
所以现在我会推荐这样的东西
public static string GetSecureRandomString(int byteLength = 64)
{
Span<byte> buffer = byteLength > 4096
? new byte[byteLength]
: stackalloc byte[byteLength];
RandomNumberGenerator.Fill(buffer);
return Convert.ToHexString(buffer);
}
已实现以下更改:
- 尽可能使用
stackalloc
来减少托管分配和 GC(垃圾收集器)压力,从而提高性能。 RNGCryptoServiceProvider
已弃用并替换为RandomNumberGenerator.Fill()
或RandomNumberGenerator.GetBytes()
,它们还提供足够安全的加密随机数字节。- (我的疏忽)在这种情况下实际上不需要散列。随机生成的字节本来就是安全的,因此对它们应用哈希函数不仅会限制输出长度(在 SHA-256 的情况下),而且也是多余的。
- .NET 5 及更高版本提供了
Convert.ToHexString()
方法来将字节转换为十六进制。 - 我添加了一个参数来指定输出字符串的字节长度。更多字节 = 更好的安全性来抵御暴力攻击,但它的缺点是输出字符串较长,可能不如较短的输出字符串方便。调整此值以满足您的需要。默认设置为 512 位(64 字节),这对于大多数应用程序来说足够安全。
在此示例中,我为最终字符串选择了十六进制编码,但您可以使用任何保留信息的编码(十六进制、base64、base32、ASCII 等),而不会影响安全性。
关于security - 如何创建 API key 和安全 key ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59476130/