C# 文件上传请求签名 C#如何为文件上传API生成和验证临时签名URL

煙雲

发布时间：2026-03-05 10:54:12

151人浏览过

来源于php中文网

原创

签名url必须包含严格校验的过期时间，服务端需用同一规则重算签名并拒绝超时或“永不过期”请求，参数须字典序拼接且filename需标准化编码，密钥严禁硬编码，中间件须在管道早期验证。

c# 文件上传请求签名 c#如何为文件上传api生成和验证临时签名url

签名URL必须包含过期时间且服务端严格校验

临时签名URL不是加个哈希就完事，核心是时效性与服务端一致性。客户端生成的签名，服务端必须用同一套规则重新计算并比对，且必须拒绝已过期的 expires 参数值。常见错误是只校验签名正确，却放行 expires=2147483647 这类“永不过期”的伪造时间戳。

签名前先生成 UNIX 时间戳（秒级），例如 DateTimeOffset.UtcNow.ToUnixTimeSeconds()，设为 expires 参数值，有效期建议控制在 5–30 分钟
服务端收到请求后，第一步不是解密或验签，而是立即检查 expires 是否 ≤ 当前时间戳，超时直接返回 403 Forbidden
签名原文必须固定排序拼接，推荐格式：filename={filename}&expires={expires}&secret={sharedSecret}，其中 filename 需 URL 解码后再参与计算，避免客户端双重编码绕过校验

C# 用 HMACSHA256 生成签名并拼装 URL

别用 MD5 或 SHA1，它们已被证实不安全；.NET 原生 HMACSHA256 足够快又合规。签名本质是「对关键参数做密钥化摘要」，不是加密，所以不需要解密环节。

共享密钥 sharedSecret 必须存于配置（如 appsettings.json 的 FileUpload:SigningKey），严禁硬编码或前端可见
拼接签名原文时，所有参数必须按字典序排列（expires、filename、token 等），否则服务端重算结果必然不一致
示例代码片段：

var expires = DateTimeOffset.UtcNow.AddMinutes(10).ToUnixTimeSeconds();
var message = $"filename={Uri.EscapeDataString(filename)}&expires={expires}";
var key = Encoding.UTF8.GetBytes(_config["FileUpload:SigningKey"]);
using var hmac = new HMACSHA256(key);
var signature = Convert.ToBase64String(hmac.ComputeHash(Encoding.UTF8.GetBytes(message)));
var signedUrl = $"/upload?filename={Uri.EscapeDataString(filename)}&expires={expires}&signature={Uri.EscapeDataString(signature)}";

ASP.NET Core 中间件验证签名URL的三个硬性步骤

验证不能只靠一个 IActionFilter，必须在管道早期拦截——否则恶意请求可能触发文件系统操作或日志写入。中间件比 ActionFilter 更早执行，也更容易统一返回错误响应。

考拉新媒体导航

考拉新媒体导航——新媒体人的专属门户网站

下载

从 HttpContext.Request.Query 提取 filename、expires、signature，任一缺失立即 context.Response.StatusCode = 400
将 expires 解析为 long，若失败或小于当前时间戳，返回 403（注意：不用 DateTimeOffset.FromUnixTimeSeconds 再转回比较，直接比数字更安全）
用相同密钥和相同拼接规则重算签名，Convert.FromBase64String 后用 SequenceEqual 比较字节数组，避免字符串比较引入时序攻击风险

前端传 filename 时 URL 编码不一致导致签名失效

浏览器对 URL 中的中文、空格、括号等字符自动编码，但不同环境（Chrome/Firefox/WebView）编码细节有差异；C# 后端若用 Request.Query["filename"] 直接取值，得到的是已解码结果，而签名原文里用的是原始未解码字符串——这就断了链。

前端上传前，对 filename 显式调用 encodeURIComponent，然后作为查询参数传入
后端签名验证时，拼接原文用的是 Uri.UnescapeDataString(filename) 后再 Uri.EscapeDataString 标准化（即还原原始语义再统一编码），而不是直接拼原始 Query 值
测试时用含中文名文件（如 报告 v2(终稿).pdf）跑通全流程，比用 test.pdf 更能暴露编码问题

签名最脆弱的环节不在算法，而在时间同步、编码一致性、密钥管理这三个地方。哪怕 HMAC 再标准，只要服务器时钟慢了 2 分钟，或前端多套了一层 encodeURI，整个机制就形同虚设。

C# HDF5文件读写 C#如何操作科学与工程领域的大型数据集文件

C# System.CommandLine使用方法 C#如何构建功能强大的命令行工具

C# Magick.NET图片处理 C#如何使用ImageMagick库操作复杂图像文件

C# 字符串拼接方法 C# StringBuilder如何高效拼接字符串

C# 数组段ArraySegment方法 C#如何高效地处理数组的一部分

相关专题

什么是中间件

中间件是一种软件组件，充当不兼容组件之间的桥梁，提供额外服务，例如集成异构系统、提供常用服务、提高应用程序性能，以及简化应用程序开发。想了解更多中间件的相关内容，可以阅读本专题下面的文章。

181

2024.05.11

Golang 中间件开发与微服务架构

本专题系统讲解 Golang 在微服务架构中的中间件开发，包括日志处理、限流与熔断、认证与授权、服务监控、API 网关设计等常见中间件功能的实现。通过实战项目，帮助开发者理解如何使用 Go 编写高效、可扩展的中间件组件，并在微服务环境中进行灵活部署与管理。

225

2025.12.18

json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章，帮助大家解决问题。

452

2023.08.07

json是什么

JSON是一种轻量级的数据交换格式，具有简洁、易读、跨平台和语言的特点，JSON数据是通过键值对的方式进行组织，其中键是字符串，值可以是字符串、数值、布尔值、数组、对象或者null，在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容，供大家免费下载体验。

546

2023.08.23

jquery怎么操作json

操作的方法有：1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”；3、“$.each(obj, callback)”；4、“$.ajax()”。更多jquery怎么操作json的详细内容，可以访问本专题下面的文章。

330

2023.10.13

go语言处理json数据方法

本专题整合了go语言中处理json数据方法，阅读专题下面的文章了解更多详细内容。

2025.09.10

chrome什么意思

chrome是浏览器的意思，由Google开发的网络浏览器，它在2008年首次发布，并迅速成为全球最受欢迎的浏览器之一。本专题为大家提供chrome相关的文章、下载、课程内容，供大家免费下载体验。

1024

2023.08.11

chrome无法加载插件怎么办

chrome无法加载插件可以通过检查插件是否已正确安装、禁用和启用插件、清除插件缓存、更新浏览器和插件、检查网络连接和尝试在隐身模式下加载插件方法解决。更多关于chrome相关问题，详情请看本专题下面的文章。php中文网欢迎大家前来学习。

823

2023.11.06

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

2026.03.04

热门下载

网站特效

网站源码

网站素材

前端模板