JWT + ASP.NET MVC时间戳防止重放攻击详解
时间戳作用
客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。
上一篇讲到jwt安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到headers中token,进行模拟请求操作。
防篡改
一般使用的方式就是把参数拼接,当前项目appkey,双方约定的“密钥”,加入到dictionary字典集中,按abcd顺序进行排序,最后在md5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照
上述规则拼接加密后,与传入过来的加密字符串比较是否相等
防复用
上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成utc的时间戳,这个utc是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性
下面进入正题,编码启动
创建 descryption 帮助类
public class descryption { /// <summary> /// //注意了,是8个字符,64位 /// </summary> private static string privatersa = configurationmanager.appsettings["privatersa"]; /// <summary> /// //注意了,是8个字符,64位 /// </summary> private static string publicrsa = configurationmanager.appsettings["publicrsa"]; /// <summary> /// 加密 /// </summary> /// <param name="data"></param> /// <returns></returns> public static string encode(string data) { byte[] bykey = encoding.ascii.getbytes(privatersa); byte[] byiv = encoding.ascii.getbytes(publicrsa); descryptoserviceprovider cryptoprovider = new descryptoserviceprovider(); int i = cryptoprovider.keysize; memorystream ms = new memorystream(); cryptostream cst = new cryptostream(ms, cryptoprovider.createencryptor(bykey, byiv), cryptostreammode.write); streamwriter sw = new streamwriter(cst); sw.write(data); sw.flush(); cst.flushfinalblock(); sw.flush(); return convert.tobase64string(ms.getbuffer(), 0, (int)ms.length); } /// <summary> /// 解密 /// </summary> /// <param name="data"></param> /// <returns></returns> public static string decode(string data) { byte[] bykey = encoding.ascii.getbytes(privatersa); byte[] byiv = encoding.ascii.getbytes(publicrsa); byte[] byenc; try { byenc = convert.frombase64string(data); } catch { return null; } descryptoserviceprovider cryptoprovider = new descryptoserviceprovider(); memorystream ms = new memorystream(byenc); cryptostream cst = new cryptostream(ms, cryptoprovider.createdecryptor(bykey, byiv), cryptostreammode.read); streamreader sr = new streamreader(cst); return sr.readtoend(); } }
然后在myauthorizeattribute 加上时间戳验证方法
将desc签名时间字符串 当作请求传入
如果传入的时间戳小于服务器当前时间 返回false 提示权限不足
如果传入的时间戳大于服务器当前时间 返回true 可以正常访问
完美方案就是将redis中jwttoken设置过期时间 各位兄台希望我补充完整,
请留言--我会及时更新github将这个dmeo补充完整
//请求参数 string requesttime = httpcontext.request["rtime"]; //请求时间经过desc签名 if (string.isnullorempty(requesttime)) return false; //请求时间desc解密后加上时间戳的时间即该请求的有效时间 datetime requestdt = datetime.parse(descryption.decode(requesttime)).addminutes(int.parse(timestamp)); datetime newdt = datetime.now; //服务器接收请求的当前时间 if (requestdt < newdt) { return false; } else { //进行其他操作 var userinfo = jwthelp.getjwtdecode(authheader); //举个例子 生成jwttoken 存入redis中 //这个地方用jwttoken当作key 获取实体val 然后看看jwttoken根据redis是否一样 if (userinfo.username == "admin" && userinfo.pwd == "123") return true; }
大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来
后期asp.net api,asp.net core,java教程都可以。
https://github.com/yaols/jwt.mvcdemo (本地下载)
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。
上一篇: Redis如何优雅的删除特定前缀key
下一篇: 剪映新年特效在哪?剪映新年特效使用方法