欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

JWT + ASP.NET MVC时间戳防止重放攻击详解

程序员文章站 2022-06-17 21:19:01
时间戳作用 客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增...

时间戳作用

客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。

上一篇讲到jwt安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到headers中token,进行模拟请求操作。

防篡改

一般使用的方式就是把参数拼接,当前项目appkey,双方约定的“密钥”,加入到dictionary字典集中,按abcd顺序进行排序,最后在md5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照

上述规则拼接加密后,与传入过来的加密字符串比较是否相等

防复用

上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成utc的时间戳,这个utc是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性

下面进入正题,编码启动

创建 descryption 帮助类

public class descryption
 {

 /// <summary>
 /// //注意了,是8个字符,64位
 /// </summary>
 private static string privatersa = configurationmanager.appsettings["privatersa"];

 /// <summary>
 /// //注意了,是8个字符,64位
 /// </summary>
 private static string publicrsa = configurationmanager.appsettings["publicrsa"];

 /// <summary>
 /// 加密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string encode(string data)
 {
 byte[] bykey = encoding.ascii.getbytes(privatersa);
 byte[] byiv = encoding.ascii.getbytes(publicrsa);

 descryptoserviceprovider cryptoprovider = new descryptoserviceprovider();
 int i = cryptoprovider.keysize;
 memorystream ms = new memorystream();
 cryptostream cst = new cryptostream(ms, cryptoprovider.createencryptor(bykey, byiv), cryptostreammode.write);

 streamwriter sw = new streamwriter(cst);
 sw.write(data);
 sw.flush();
 cst.flushfinalblock();
 sw.flush();
 return convert.tobase64string(ms.getbuffer(), 0, (int)ms.length);

 }

 /// <summary>
 /// 解密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string decode(string data)
 {
 byte[] bykey = encoding.ascii.getbytes(privatersa);
 byte[] byiv = encoding.ascii.getbytes(publicrsa);

 byte[] byenc;
 try
 {
 byenc = convert.frombase64string(data);
 }
 catch
 {
 return null;
 }

 descryptoserviceprovider cryptoprovider = new descryptoserviceprovider();
 memorystream ms = new memorystream(byenc);
 cryptostream cst = new cryptostream(ms, cryptoprovider.createdecryptor(bykey, byiv), cryptostreammode.read);
 streamreader sr = new streamreader(cst);
 return sr.readtoend();
 }
 }

然后在myauthorizeattribute 加上时间戳验证方法

将desc签名时间字符串 当作请求传入

如果传入的时间戳小于服务器当前时间  返回false  提示权限不足

如果传入的时间戳大于服务器当前时间  返回true  可以正常访问

 完美方案就是将redis中jwttoken设置过期时间    各位兄台希望我补充完整,

请留言--我会及时更新github将这个dmeo补充完整

JWT + ASP.NET MVC时间戳防止重放攻击详解

//请求参数
 string requesttime = httpcontext.request["rtime"]; //请求时间经过desc签名
 if (string.isnullorempty(requesttime))
 return false;


 //请求时间desc解密后加上时间戳的时间即该请求的有效时间
 datetime requestdt = datetime.parse(descryption.decode(requesttime)).addminutes(int.parse(timestamp));
 datetime newdt = datetime.now; //服务器接收请求的当前时间
 if (requestdt < newdt)
 {
 return false;
 }
 else
 {
 //进行其他操作
 var userinfo = jwthelp.getjwtdecode(authheader);
 //举个例子 生成jwttoken 存入redis中 
 //这个地方用jwttoken当作key 获取实体val 然后看看jwttoken根据redis是否一样
 if (userinfo.username == "admin" && userinfo.pwd == "123")
  return true;
 }

大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来

后期asp.net api,asp.net core,java教程都可以。

https://github.com/yaols/jwt.mvcdemo (本地下载

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。