在 ASP.NET Core 中使用自定义属性实现 HTTP 请求和响应加密

csdn_aspnet2026-04-07 13:33

目录

[保障 ASP.NET Core Web API 中的数据传输:一种自定义加密实现](#保障 ASP.NET Core Web API 中的数据传输:一种自定义加密实现)

先决条件

建筑概览

实施分解

[组件 1:SecureHttpAttribute 工厂](#组件 1:SecureHttpAttribute 工厂)

[组件 2:SecureHttpFilter 执行](#组件 2:SecureHttpFilter 执行)

加密配置

实施整合

控制器配置

客户端实现

Axios拦截器配置

加密工具

安全分析

操作方面的考虑

结论

如果您喜欢此文章,请收藏、点赞、评论,谢谢,祝您快乐每一天。

保障 ASP.NET Core Web API 中的数据传输:一种自定义加密实现

在现代 Web 应用程序开发中,保护网络传输过程中的敏感数据是一项至关重要的安全需求。本技术指南提供了一种强大的解决方案,通过自定义属性和加密过滤器在 ASP.NET Core Web API 中实现端到端加密,确保请求和响应有效负载均使用行业标准的 AES 加密进行保护。

先决条件

为了有效实施此解决方案,开发人员应具备以下能力:

  • 具备 ASP.NET Core 中间件架构的工作知识
  • 理解对称加密原理,特别是AES(高级加密标准)
  • .NET 6+ 开发环境
  • 熟悉 REST API 设计模式

建筑概览

我们的实现方案在 ASP.NET Core 请求处理管道中采用了双组件策略:

  1. SecureHttpAttribute:用于需要加密的控制器/操作的声明性标记
  2. SecureHttpFilter:一个处理加密操作的可执行过滤器

该设计利用 ASP.NET Core 的筛选管道在 HTTP 消息体跨越网络边界之前对其进行拦截和转换,同时通过基于属性的配置保持关注点分离。

实施分解

组件 1:SecureHttpAttribute 工厂

AttributeUsage(AttributeTargets.Class \| AttributeTargets.Method)

public class SecureHttpAttribute : Attribute, IFilterFactory

{

public bool IsReusable => false;

public IFilterMetadata CreateInstance(IServiceProvider serviceProvider)

{

var config = serviceProvider.GetRequiredService<IOptions<SystemSettings>>();

return new SecureHttpFilter(config.Value);

}

}

主要功能:

  • AttributeTarget 规范:支持在控制器(类)和端点(方法)级别应用。
  • 过滤器实例化:从依赖注入的配置中检索加密参数
  • 生命周期管理:不可重用的实例确保每次请求都使用全新的加密上下文

组件 2:SecureHttpFilter 执行

public class SecureHttpFilter : IAsyncResourceFilter

{

private readonly Aes _cryptoProvider;

public SecureHttpFilter(SystemSettings settings)

{

_cryptoProvider = InitializeAes(settings.DataEncryptionKey);

}

public async Task OnResourceExecutionAsync(ResourceExecutingContext context, ResourceExecutionDelegate next)

{

context.HttpContext.Request.Body = DecryptInputStream(context.HttpContext.Request.Body);

context.HttpContext.Response.Body = EncryptOutputStream(context.HttpContext.Response.Body);

if (context.HttpContext.Request.QueryString.HasValue)

{

var decodedQuery = DecodeString(context.HttpContext.Request.QueryString.Value[1..]);

context.HttpContext.Request.QueryString = new QueryString($"?{decodedQuery}");

}

await next();

await context.HttpContext.Request.Body.DisposeAsync();

await context.HttpContext.Response.Body.DisposeAsync();

}

private CryptoStream EncryptOutputStream(Stream outputStream)

{

var encryptor = _cryptoProvider.CreateEncryptor();

var base64Transform = new ToBase64Transform();

var encodedStream = new CryptoStream(outputStream, base64Transform, CryptoStreamMode.Write);

return new CryptoStream(encodedStream, encryptor, CryptoStreamMode.Write);

}

private CryptoStream DecryptInputStream(Stream inputStream)

{

var decryptor = _cryptoProvider.CreateDecryptor();

var base64Transform = new FromBase64Transform(FromBase64TransformMode.IgnoreWhiteSpaces);

var decodedStream = new CryptoStream(inputStream, base64Transform, CryptoStreamMode.Read);

return new CryptoStream(decodedStream, decryptor, CryptoStreamMode.Read);

}

private string DecodeString(string encryptedText)

{

using var memoryStream = new MemoryStream(Convert.FromBase64String(encryptedText));

using var cryptoStream = new CryptoStream(memoryStream, _cryptoProvider.CreateDecryptor(), CryptoStreamMode.Read);

using var reader = new StreamReader(cryptoStream);

return reader.ReadToEnd();

}

}

执行流程:

  1. 请求解密:入站有效负载在控制器处理之前进行解密。
  2. 响应加密:出站数据在传输前会进行加密。
  3. 查询参数处理:URL参数会自动解码。
  4. 资源清理:加密流在处理后得到妥善处置

加密配置

private static Aes InitializeAes(string secretKey)

{

var paddedKey = secretKey.PadRight(32, '0');

var aes = Aes.Create();

aes.Key = Encoding.UTF8.GetBytes(paddedKey[..32]);

aes.IV = Encoding.UTF8.GetBytes(paddedKey[..16]);

aes.Mode = CipherMode.CBC;

aes.Padding = PaddingMode.PKCS7;

return aes;

}

安全参数:

  • 密钥派生:256 位密钥长度,密钥材料扩展采用零填充
  • 密码配置:采用 PKCS7 填充的 CBC 模式可提供可靠的分组密码操作
  • IV 生成:从密钥前缀导出的初始化向量可增强加密强度

实施整合

控制器配置

课堂应用:

SecureHttp

Route("api/\[controller\]")

public class ConfidentialController : ControllerBase

{

HttpPost

public IActionResult SubmitConfidentialData([FromBody] ConfidentialPayload payload)

{

return Ok(payload.Process());

}

}

行动级别应用:

Route("api/\[controller\]")

public class ConfidentialController : ControllerBase

{

SecureHttp

HttpPost

public IActionResult SubmitConfidentialData([FromBody] ConfidentialPayload payload)

{

return Ok(payload.Process());

}

}

客户端实现

Axios拦截器配置

import axios from 'axios';

import { API_ROOT } from '../../constants/NetworkConfig';

import { encodePayload, decodePayload } from '../../utilities/securityUtils';

const protectedAPI = axios.create({ baseURL: API_ROOT });

protectedAPI.interceptors.request.use((config) => {

const [path, params] = config.url ? config.url.split('?') : [];

if (params) {

config.url = `{path}?{encodePayload(params)}`;

}

if (config.data) {

config.headers['Content-Type'] = 'application/json';

config.transformRequest = encodePayload;

}

config.transformResponse = decodePayload;

return config;

});

拦截器功能:

  • 自动查询参数加密
  • 请求体转换
  • 响应有效载荷解密

加密工具

import CryptoJS from 'crypto-js';

import { ENCRYPTION_SECRET } from '../constants/appSettings';

const secretPadded = ENCRYPTION_SECRET.padEnd(32, '0');

const secureKey = CryptoJS.enc.Utf8.parse(secretPadded.substring(0, 32));

const ivParameter = CryptoJS.enc.Utf8.parse(secretPadded.substring(0, 16));

const securityConfig = {

iv: ivParameter,

mode: CryptoJS.mode.CBC,

padding: CryptoJS.pad.Pkcs7

};

export const encodePayload = (input) => {

if (input === null || input === undefined) return input;

const inputData = CryptoJS.enc.Utf8.parse(

typeof input === 'string' ? input : JSON.stringify(input)

);

const encrypted = CryptoJS.AES.encrypt(inputData, secureKey, securityConfig);

return CryptoJS.enc.Base64.stringify(encrypted.ciphertext);

};

export const decodePayload = (encodedInput) => {

if (!encodedInput) return encodedInput;

try {

const encryptedData = CryptoJS.enc.Base64.parse(encodedInput);

const decrypted = CryptoJS.AES.decrypt(

{ ciphertext: encryptedData },

secureKey,

securityConfig

).toString(CryptoJS.enc.Utf8);

try {

return JSON.parse(decrypted);

} catch (_) {

return decrypted;

}

} catch (_) {

return encodedInput;

}

};

客户安全注意事项:

  • 客户端和服务器之间的密钥同步
  • 用于网络安全传输的 Base64 编码
  • 结构化数据的 JSON 有效负载处理

安全分析

该方案提供了多层保护:

  1. 有效载荷保密性:AES-256 加密保护消息内容
  2. 数据完整性:CBC 模式可防止位翻转攻击
  3. 身份验证绑定:共享加密密钥验证端点合法性
  4. 查询参数保护:URL 参数享有与请求体内容同等的安全保护。

操作方面的考虑

  • 密钥管理:加密密钥的安全存储和轮换
  • 性能影响:加密操作会增加约 10-15% 的延迟开销。
  • 兼容性:正确配置后可与标准 API 测试工具配合使用。
  • 错误处理:实现解密失败的备用机制

结论

这种架构模式展示了一种在 ASP.NET Core Web API 中实现透明加密的有效方法。通过利用框架原生过滤器管道和基于属性的编程,开发人员可以在不影响代码可维护性的前提下强制执行加密策略。客户端实现完善了安全闭环,确保从浏览器到后端的端到端保护。

如果采用安全的密钥管理措施并正确实施,该解决方案可达到或超过数据传输保护的行业标准,尤其适用于处理财务数据、医疗记录或其他受监管合规要求约束的敏感信息的应用程序。

如果您喜欢此文章,请收藏、点赞、评论,谢谢,祝您快乐每一天。

相关推荐
不知名。。。。。。。。4 小时前
HTTP协议
网络·网络协议·http
冉佳驹4 小时前
Qt【第六篇】 ——— 事件处理、多线程、网络与文件等操作详解
qt·http·udp·tcp·事件·多线程与互斥锁
观无5 小时前
.NET Core + Ocelot 网关 跨域 (CORS) 配置
状态模式·.netcore
一条闲鱼_mytube5 小时前
【深入理解】HTTP/3 与 QUIC 协议:从原理到 Go 语言实战
网络协议·http·golang
csdn_aspnet6 小时前
如何在 .NET Core WebAPI 和 Javascript 应用程序中安全地发送/接收密钥参数
javascript·.netcore·cryptojs
喵叔哟6 小时前
3.【.NET10 实战--孢子记账--产品智能化】--.NET 10 核心新特性概览:运行时与 ASP.NET Core 10
云计算·asp.net·.net
wenzhangli77 小时前
OoderAgent 能力架构:基于 Workflow 控制理论的能力安装管理
后端·架构·asp.net
峥嵘life7 小时前
Android 13 Miracast 投屏代码适配总结
android·后端·asp.net
EmbeddedCore7 小时前
物联网通讯协议怎么选?MQTT、TCP、UDP、HTTP、HTTPS全面解析
物联网·tcp/ip·http
热门推荐
01GitHub 镜像站点02OpenClaw 请求超时 llm request timed out 怎么解决?3 种方案实测,附完整排查流程03Qwen3.5-Omni与Qwen3.6模型全面解析(含测评/案例/使用教程)04AI 编程效率翻倍:Superpowers Skills 上手清单 + 完整指南05VMware Workstation Pro 17 虚拟机完整安装教程(2026最新)06Claude Code 未登录 使用第三方模型07Oh My Codex 快速使用指南08【技术干货】Gemma 4 上手深度指南:本地多模态大模型的新基线09最新更新版本,OpenClaw v2026.4.2 深度解读剖析:Task Flow 重磅回归与安全架构的全面硬化10UV安装并设置国内源