如何在 RESTful WCF API 中实现 HMAC 身份验证

Question

我们正在使用 WCF（当前为 .Net 3.5，但很快将迁移到 .Net 4）构建 RESTful API。我们有一个功能框架，但目前不安全。需要可以从 .Net 应用程序以及 iOS、Android 和 Web 应用程序访问它。

我们希望使用此处和这里，但是在描述如何验证哈希时，这两个示例似乎都失败了。第一个示例未能描述 UserKeys 对象（哈希表？），第二个示例缺少客户端和服务器端的 GetUserKey 方法。

任何人都可以解释如何在这些示例中生成/存储/检索/使用“用户密钥”/令牌，或者提供如何在 RESTful WCF 服务中使用 HMAC 授权的更好示例（如果可能的话，提供源代码）？

编辑： 经过更多研究，我们确定我们需要更多的“授权”技术，而不是“身份验证”技术（语义？）。我们实现了基本授权并保护 SSL 后面的 API。基本授权使用与 HMAC 身份验证方案相同的 Web 请求中的“授权”标头，但传递以 Base64 编码的用户名：密码字符串而不是令牌。这使我们能够根据数据库对用户进行自定义验证，以确定该用户是否获得许可并具有访问所需 API 方法的适当安全权限。

我们当然愿意听到有关如何完成自定义用户名/密码验证以及其他保护 API 的方法的其他选项。

Answer 1

检索用户密钥只是一个实现细节，您可以按照自己喜欢的方式进行操作，但在服务器上，它通常与用户名一起存储在数据库中。

基本方法非常简单。

1. 服务器和客户端以某种方式交换共享密钥供用户使用。这可以用任何你喜欢的方式来完成，包括发送一封老式的死树风格的信。通常这只是用户输入的密码。
2. 当客户端想要发送请求时，他会构建完整的请求，然后使用密钥计算完整消息正文（如果需要，还可以选择一些消息头）的哈希值。
3. 接下来，客户端将计算出的哈希值和他的用户名添加到标头之一中的消息并将其发送到服务。
4. 该服务从消息头中检索用户名，并在其自己的数据库中搜索该用户的私有 keu。
5. 接下来，他使用密钥计算消息正文（和选定的标头）的哈希值以生成其哈希值。
6. 如果客户端发送的哈希值与服务器计算的哈希值匹配，则服务器知道该消息是由真实客户端发送的并且没有以任何方式更改。

实际上，唯一棘手的部分是与用户共享密钥并保证其安全。这就是为什么某些服务允许生成具有有限生命周期的共享密钥，这样您就可以将密钥交给第三方来暂时代表您工作。

Answer 2

找到 HMAC 的实现

我们可以在https://github.com/cuongle/WebAPI.Hmac