如何在C#中对对象进行序列化并防止篡改？

Question

如何在C#中对对象进行序列化并防止篡改？

c#.netasp.netserializationencryption

3

我有一个C#类，如下所示：

public class TestObj
{
    private int intval;
    private string stringval;
    private int[] intarray;
    private string[] stringarray;

    //... public properties not shown here
}

我希望将这个类的实例序列化为一个字符串。

此外：

我将把这个字符串作为QueryString参数附加到URL中。因此，我希望采取一些措施，确保字符串不能轻易被篡改。

此外，我希望序列化方法高效，以使字符串大小最小化。

有什么具体的.NET Framework类/方法建议使用吗？

- frankadelic

2个回答

4

签名流并将签名添加到查询中。使用HMAC签名算法，例如HMACSHA1。您需要在客户端和服务器之间拥有一个秘密来签署和验证签名。

- Remus Rusanu

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Alex · Accepted Answer

1）序列化：

 public String SerializeObject(TestObj object)
 {
        String Serialized = String.Empty;
        MemoryStream memoryStream = new MemoryStream ( );
        XmlSerializer xs = new XmlSerializer(typeof(TestObj));
        XmlTextWriter xmlTextWriter = new XmlTextWriter ( memoryStream, Encoding.UTF8 );
        xs.Serialize (xmlTextWriter, object);
        memoryStream = (MemoryStream) xmlTextWriter.BaseStream;
        Serialized = UTF8Encoding.GetString(memoryStream.ToArray());
        return Serialized;
 }

2) 为了防止篡改：

想一个秘密字符串，例如“MySecretWord”。
将序列化的对象实例作为字符串，然后将秘密字符串附加到其末尾。
对字符串进行哈希处理（例如SHA，或者使用Remus建议的HMAC）
将哈希值添加到查询字符串中

在接收端（也知道“MySecretWord”秘密字符串），您要去除哈希值，取出原始序列化实例，附加已知的秘密字符串并再次进行哈希。然后比较两个哈希值是否相等。如果相等，则字符串没有被修改。

您可能需要对字符串进行Url / Base64编码，以便它可以作为查询字符串工作。这也很重要，因为您需要确保查询字符串恰好按发送的方式到达。