欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

JWT + ASP.NET MVC時(shí)間戳防止重放攻擊詳解

 更新時(shí)間:2018年07月01日 10:22:40   作者:KiSs_小白  
這篇文章主要給大家介紹了關(guān)于JWT + ASP.NET MVC時(shí)間戳防止重放攻擊發(fā)的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

時(shí)間戳作用

客戶端在向服務(wù)端接口進(jìn)行請求,如果請求信息進(jìn)行了加密處理,被第三方截取到請求包,可以使用該請求包進(jìn)行重復(fù)請求操作。如果服務(wù)端不進(jìn)行防重放攻擊,就會(huì)服務(wù)器壓力增大,而使用時(shí)間戳的方式可以解決這一問題。

上一篇講到JWT安全驗(yàn)證操作,現(xiàn)在結(jié)合時(shí)間戳進(jìn)行防重復(fù)攻擊和被第三方抓包工具截取到Headers中token,進(jìn)行模擬請求操作。

防篡改

一般使用的方式就是把參數(shù)拼接,當(dāng)前項(xiàng)目AppKey,雙方約定的“密鑰”,加入到Dictionary字典集中,按ABCD順序進(jìn)行排序,最后在MD5+加密.客戶端將加密字符串和請求參數(shù)一起發(fā)送給服務(wù)器。服務(wù)器按照

上述規(guī)則拼接加密后,與傳入過來的加密字符串比較是否相等

防復(fù)用

上面的方式進(jìn)行加密,就無法解決防復(fù)用的問題,這時(shí)需要在客戶端和服務(wù)端分別生成UTC的時(shí)間戳,這個(gè)UTC是防止你的客戶端與服務(wù)端不在同一個(gè)時(shí)區(qū),呵呵,然后把時(shí)間戳timestamp拼在密文里就可以了,至于防復(fù)用的有效性

下面進(jìn)入正題,編碼啟動(dòng)

創(chuàng)建 DESCryption 幫助類

public class DESCryption
 {

 /// <summary>
 /// //注意了,是8個(gè)字符,64位
 /// </summary>
 private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"];

 /// <summary>
 /// //注意了,是8個(gè)字符,64位
 /// </summary>
 private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"];

 /// <summary>
 /// 加密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string Encode(string data)
 {
 byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
 byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

 DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
 int i = cryptoProvider.KeySize;
 MemoryStream ms = new MemoryStream();
 CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);

 StreamWriter sw = new StreamWriter(cst);
 sw.Write(data);
 sw.Flush();
 cst.FlushFinalBlock();
 sw.Flush();
 return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);

 }

 /// <summary>
 /// 解密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string Decode(string data)
 {
 byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
 byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

 byte[] byEnc;
 try
 {
 byEnc = Convert.FromBase64String(data);
 }
 catch
 {
 return null;
 }

 DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
 MemoryStream ms = new MemoryStream(byEnc);
 CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);
 StreamReader sr = new StreamReader(cst);
 return sr.ReadToEnd();
 }
 }

然后在MyAuthorizeAttribute 加上時(shí)間戳驗(yàn)證方法

將DESC簽名時(shí)間字符串 當(dāng)作請求傳入

如果傳入的時(shí)間戳小于服務(wù)器當(dāng)前時(shí)間  返回false  提示權(quán)限不足

如果傳入的時(shí)間戳大于服務(wù)器當(dāng)前時(shí)間  返回true  可以正常訪問

 完美方案就是將redis中jwtToken設(shè)置過期時(shí)間    各位兄臺(tái)希望我補(bǔ)充完整,

請留言--我會(huì)及時(shí)更新GitHub將這個(gè)dmeo補(bǔ)充完整

//請求參數(shù)
 string requestTime = httpContext.Request["rtime"]; //請求時(shí)間經(jīng)過DESC簽名
 if (string.IsNullOrEmpty(requestTime))
 return false;


 //請求時(shí)間DESC解密后加上時(shí)間戳的時(shí)間即該請求的有效時(shí)間
 DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));
 DateTime Newdt = DateTime.Now; //服務(wù)器接收請求的當(dāng)前時(shí)間
 if (Requestdt < Newdt)
 {
 return false;
 }
 else
 {
 //進(jìn)行其他操作
 var userinfo = JwtHelp.GetJwtDecode(authHeader);
 //舉個(gè)例子 生成jwtToken 存入redis中 
 //這個(gè)地方用jwtToken當(dāng)作key 獲取實(shí)體val 然后看看jwtToken根據(jù)redis是否一樣
 if (userinfo.UserName == "admin" && userinfo.Pwd == "123")
  return true;
 }

大家還有什么需要了解的新手教程知識(shí)點(diǎn),可以留言給我。我會(huì)在三天內(nèi)給大家寫一份簡單的教學(xué)demo出來

后期ASP.NET API,ASP.NET Core,Java教程都可以。

https://github.com/yaols/JWT.MvcDemo (本地下載

總結(jié)

以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,如果有疑問大家可以留言交流,謝謝大家對(duì)腳本之家的支持。

相關(guān)文章

最新評(píng)論