JWT + ASP.NET MVC时间戳防止重放攻击详解
时间戳作用
客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。
上一篇讲到jwt安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到headers中token,进行模拟请求操作。
防篡改
一般使用的方式就是把参数拼接,当前项目appkey,双方约定的“密钥”,加入到dictionary字典集中,按abcd顺序进行排序,最后在md5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照
上述规则拼接加密后,与传入过来的加密字符串比较是否相等
防复用
上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成utc的时间戳,这个utc是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性
下面进入正题,编码启动
创建 descryption 帮助类
public class descryption
{
/// <summary>
/// //注意了,是8个字符,64位
/// </summary>
private static string privatersa = configurationmanager.appsettings["privatersa"];
/// <summary>
/// //注意了,是8个字符,64位
/// </summary>
private static string publicrsa = configurationmanager.appsettings["publicrsa"];
/// <summary>
/// 加密
/// </summary>
/// <param name="data"></param>
/// <returns></returns>
public static string encode(string data)
{
byte[] bykey = encoding.ascii.getbytes(privatersa);
byte[] byiv = encoding.ascii.getbytes(publicrsa);
descryptoserviceprovider cryptoprovider = new descryptoserviceprovider();
int i = cryptoprovider.keysize;
memorystream ms = new memorystream();
cryptostream cst = new cryptostream(ms, cryptoprovider.createencryptor(bykey, byiv), cryptostreammode.write);
streamwriter sw = new streamwriter(cst);
sw.write(data);
sw.flush();
cst.flushfinalblock();
sw.flush();
return convert.tobase64string(ms.getbuffer(), 0, (int)ms.length);
}
/// <summary>
/// 解密
/// </summary>
/// <param name="data"></param>
/// <returns></returns>
public static string decode(string data)
{
byte[] bykey = encoding.ascii.getbytes(privatersa);
byte[] byiv = encoding.ascii.getbytes(publicrsa);
byte[] byenc;
try
{
byenc = convert.frombase64string(data);
}
catch
{
return null;
}
descryptoserviceprovider cryptoprovider = new descryptoserviceprovider();
memorystream ms = new memorystream(byenc);
cryptostream cst = new cryptostream(ms, cryptoprovider.createdecryptor(bykey, byiv), cryptostreammode.read);
streamreader sr = new streamreader(cst);
return sr.readtoend();
}
}
然后在myauthorizeattribute 加上时间戳验证方法
将desc签名时间字符串 当作请求传入
如果传入的时间戳小于服务器当前时间 返回false 提示权限不足
如果传入的时间戳大于服务器当前时间 返回true 可以正常访问
完美方案就是将redis中jwttoken设置过期时间 各位兄台希望我补充完整,
请留言--我会及时更新github将这个dmeo补充完整
//请求参数
string requesttime = httpcontext.request["rtime"]; //请求时间经过desc签名
if (string.isnullorempty(requesttime))
return false;
//请求时间desc解密后加上时间戳的时间即该请求的有效时间
datetime requestdt = datetime.parse(descryption.decode(requesttime)).addminutes(int.parse(timestamp));
datetime newdt = datetime.now; //服务器接收请求的当前时间
if (requestdt < newdt)
{
return false;
}
else
{
//进行其他操作
var userinfo = jwthelp.getjwtdecode(authheader);
//举个例子 生成jwttoken 存入redis中
//这个地方用jwttoken当作key 获取实体val 然后看看jwttoken根据redis是否一样
if (userinfo.username == "admin" && userinfo.pwd == "123")
return true;
}
大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来
后期asp.net api,asp.net core,java教程都可以。
https://github.com/yaols/jwt.mvcdemo (本地下载)
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。
上一篇: Redis如何优雅的删除特定前缀key
下一篇: 剪映新年特效在哪?剪映新年特效使用方法