這篇文章主要介紹了JWT+ASP.NET MVC時(shí)間戳如何防止重放攻擊,具有一定借鑒價(jià)值,感興趣的朋友可以參考下,希望大家閱讀完這篇文章之后大有收獲,下面讓小編帶著大家一起了解一下。
創(chuàng)新互聯(lián)公司從2013年開(kāi)始,是專業(yè)互聯(lián)網(wǎng)技術(shù)服務(wù)公司,擁有項(xiàng)目網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)網(wǎng)站策劃,項(xiàng)目實(shí)施與項(xiàng)目整合能力。我們以讓每一個(gè)夢(mèng)想脫穎而出為使命,1280元原陽(yáng)做網(wǎng)站,已為上家服務(wù),為原陽(yáng)各地企業(yè)和個(gè)人服務(wù),聯(lián)系電話:18980820575時(shí)間戳作用
客戶端在向服務(wù)端接口進(jìn)行請(qǐng)求,如果請(qǐng)求信息進(jìn)行了加密處理,被第三方截取到請(qǐng)求包,可以使用該請(qǐng)求包進(jìn)行重復(fù)請(qǐng)求操作。如果服務(wù)端不進(jìn)行防重放攻擊,就會(huì)服務(wù)器壓力增大,而使用時(shí)間戳的方式可以解決這一問(wèn)題。
防篡改
一般使用的方式就是把參數(shù)拼接,當(dāng)前項(xiàng)目AppKey,雙方約定的“密鑰”,加入到Dictionary字典集中,按ABCD順序進(jìn)行排序,最后在MD5+加密.客戶端將加密字符串和請(qǐng)求參數(shù)一起發(fā)送給服務(wù)器。服務(wù)器按照
上述規(guī)則拼接加密后,與傳入過(guò)來(lái)的加密字符串比較是否相等
防復(fù)用
上面的方式進(jìn)行加密,就無(wú)法解決防復(fù)用的問(wèn)題,這時(shí)需要在客戶端和服務(wù)端分別生成UTC的時(shí)間戳,這個(gè)UTC是防止你的客戶端與服務(wù)端不在同一個(gè)時(shí)區(qū),呵呵,然后把時(shí)間戳timestamp拼在密文里就可以了,至于防復(fù)用的有效性
下面進(jìn)入正題,編碼啟動(dòng)
創(chuàng)建 DESCryption 幫助類
public class DESCryption { /// <summary> /// //注意了,是8個(gè)字符,64位 /// </summary> private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"]; /// <summary> /// //注意了,是8個(gè)字符,64位 /// </summary> private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"]; /// <summary> /// 加密 /// </summary> /// <param name="data"></param> /// <returns></returns> public static string Encode(string data) { byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa); DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider(); int i = cryptoProvider.KeySize; MemoryStream ms = new MemoryStream(); CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write); StreamWriter sw = new StreamWriter(cst); sw.Write(data); sw.Flush(); cst.FlushFinalBlock(); sw.Flush(); return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length); } /// <summary> /// 解密 /// </summary> /// <param name="data"></param> /// <returns></returns> public static string Decode(string data) { byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa); byte[] byEnc; try { byEnc = Convert.FromBase64String(data); } catch { return null; } DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider(); MemoryStream ms = new MemoryStream(byEnc); CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read); StreamReader sr = new StreamReader(cst); return sr.ReadToEnd(); } }
然后在MyAuthorizeAttribute 加上時(shí)間戳驗(yàn)證方法
將DESC簽名時(shí)間字符串 當(dāng)作請(qǐng)求傳入
如果傳入的時(shí)間戳小于服務(wù)器當(dāng)前時(shí)間 返回false 提示權(quán)限不足
如果傳入的時(shí)間戳大于服務(wù)器當(dāng)前時(shí)間 返回true 可以正常訪問(wèn)
完美方案就是將redis中jwtToken設(shè)置過(guò)期時(shí)間 各位兄臺(tái)希望我補(bǔ)充完整,
請(qǐng)留言--我會(huì)及時(shí)更新GitHub將這個(gè)dmeo補(bǔ)充完整
//請(qǐng)求參數(shù) string requestTime = httpContext.Request["rtime"]; //請(qǐng)求時(shí)間經(jīng)過(guò)DESC簽名 if (string.IsNullOrEmpty(requestTime)) return false; //請(qǐng)求時(shí)間DESC解密后加上時(shí)間戳的時(shí)間即該請(qǐng)求的有效時(shí)間 DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp)); DateTime Newdt = DateTime.Now; //服務(wù)器接收請(qǐng)求的當(dāng)前時(shí)間 if (Requestdt < Newdt) { return false; } else { //進(jìn)行其他操作 var userinfo = JwtHelp.GetJwtDecode(authHeader); //舉個(gè)例子 生成jwtToken 存入redis中 //這個(gè)地方用jwtToken當(dāng)作key 獲取實(shí)體val 然后看看jwtToken根據(jù)redis是否一樣 if (userinfo.UserName == "admin" && userinfo.Pwd == "123") return true; }
感謝你能夠認(rèn)真閱讀完這篇文章,希望小編分享的“JWT+ASP.NET MVC時(shí)間戳如何防止重放攻擊”這篇文章對(duì)大家有幫助,同時(shí)也希望大家多多支持創(chuàng)新互聯(lián)網(wǎng)站建設(shè)公司,,關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!
文章名稱:JWT+ASP.NETMVC時(shí)間戳如何防止重放攻擊-創(chuàng)新互聯(lián)
當(dāng)前URL:http://muchs.cn/article40/cdchho.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站內(nèi)鏈、服務(wù)器托管、做網(wǎng)站、App開(kāi)發(fā)、自適應(yīng)網(wǎng)站、企業(yè)網(wǎng)站制作
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容