当前位置: 移动技术网 > IT编程>开发语言>.net > JWT + ASP.NET MVC时间戳防止重放攻击详解

JWT + ASP.NET MVC时间戳防止重放攻击详解

2018年08月08日  | 移动技术网IT编程  | 我要评论

时间戳作用

客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。

上一篇讲到jwt安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到headers中token,进行模拟请求操作。

防篡改

一般使用的方式就是把参数拼接,当前项目appkey,双方约定的“密钥”,加入到dictionary字典集中,按abcd顺序进行排序,最后在md5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照

上述规则拼接加密后,与传入过来的加密字符串比较是否相等

防复用

上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成utc的时间戳,这个utc是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性

下面进入正题,编码启动

创建 descryption 帮助类

public class descryption
 {

 /// <summary>
 /// //注意了,是8个字符,64位
 /// </summary>
 private static string privatersa = configurationmanager.appsettings["privatersa"];

 /// <summary>
 /// //注意了,是8个字符,64位
 /// </summary>
 private static string publicrsa = configurationmanager.appsettings["publicrsa"];

 /// <summary>
 /// 加密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string encode(string data)
 {
 byte[] bykey = encoding.ascii.getbytes(privatersa);
 byte[] byiv = encoding.ascii.getbytes(publicrsa);

 descryptoserviceprovider cryptoprovider = new descryptoserviceprovider();
 int i = cryptoprovider.keysize;
 memorystream ms = new memorystream();
 cryptostream cst = new cryptostream(ms, cryptoprovider.createencryptor(bykey, byiv), cryptostreammode.write);

 streamwriter sw = new streamwriter(cst);
 sw.write(data);
 sw.flush();
 cst.flushfinalblock();
 sw.flush();
 return convert.tobase64string(ms.getbuffer(), 0, (int)ms.length);

 }

 /// <summary>
 /// 解密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string decode(string data)
 {
 byte[] bykey = encoding.ascii.getbytes(privatersa);
 byte[] byiv = encoding.ascii.getbytes(publicrsa);

 byte[] byenc;
 try
 {
 byenc = convert.frombase64string(data);
 }
 catch
 {
 return null;
 }

 descryptoserviceprovider cryptoprovider = new descryptoserviceprovider();
 memorystream ms = new memorystream(byenc);
 cryptostream cst = new cryptostream(ms, cryptoprovider.createdecryptor(bykey, byiv), cryptostreammode.read);
 streamreader sr = new streamreader(cst);
 return sr.readtoend();
 }
 }

然后在myauthorizeattribute 加上时间戳验证方法

将desc签名时间字符串 当作请求传入

如果传入的时间戳小于服务器当前时间  返回false  提示权限不足

如果传入的时间戳大于服务器当前时间  返回true  可以正常访问

 完美方案就是将redis中jwttoken设置过期时间    各位兄台希望我补充完整,

请留言--我会及时更新github将这个dmeo补充完整

//请求参数
 string requesttime = httpcontext.request["rtime"]; //请求时间经过desc签名
 if (string.isnullorempty(requesttime))
 return false;


 //请求时间desc解密后加上时间戳的时间即该请求的有效时间
 datetime requestdt = datetime.parse(descryption.decode(requesttime)).addminutes(int.parse(timestamp));
 datetime newdt = datetime.now; //服务器接收请求的当前时间
 if (requestdt < newdt)
 {
 return false;
 }
 else
 {
 //进行其他操作
 var userinfo = jwthelp.getjwtdecode(authheader);
 //举个例子 生成jwttoken 存入redis中 
 //这个地方用jwttoken当作key 获取实体val 然后看看jwttoken根据redis是否一样
 if (userinfo.username == "admin" && userinfo.pwd == "123")
  return true;
 }

大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来

后期asp.net api,asp.net core,java教程都可以。

https://github.com/yaols/jwt.mvcdemo ()

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对移动技术网的支持。

您可能感兴趣的文章:

如对本文有疑问, 点击进行留言回复!!

相关文章:

验证码:
最近更新的文章
大家感兴趣的文章
移动技术网