内容字号:默认大号超大号

段落设置:段首缩进取消段首缩进

字体设置:切换到微软雅黑切换到宋体


主页 > 服务器类 > 正文

JWT + ASP.NET MVC时间戳防止重放攻击详解

2021-10-31 出处:辽宁PC软件资源网 人气:788 评论(331

更新时间:2018年07月01日 10:22:41   作者:KiSs_小白

这篇文章主要给大家介绍了关于JWT + ASP.NET MVC时间戳防止重放攻击发的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。

上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。

一般使用的方式就是把参数拼接,当前项目AppKey,双方约定的“密钥”,加入到Dictionary字典集中,按ABCD顺序进行排序,最后在MD5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照

上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成UTC的时间戳,这个UTC是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性

public class DESCryption { /// /// //注意了,是8个字符,64位 /// private static string PrivateRsa = ConfigurationMan**er.AppSettings["PrivateRsa"]; /// /// //注意了,是8个字符,64位 /// private static string PublicRsa = ConfigurationMan**er.AppSettings["PublicRsa"]; /// /// 加密 /// ///

/// public static string Encode(string data) { byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa); DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider(); int i = cryptoProvider.KeySize; MemoryStream ms = new MemoryStream(); CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write); StreamWriter sw = new StreamWriter(cst); sw.Write(data); sw.Flush(); cst.FlushFinalBlock(); sw.Flush(); return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length); } /// /// 解密 /// ///

/// public static string Decode(string data) { byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa); byte[] byEnc; try { byEnc = Convert.FromBase64String(data); } catch { return null; } DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider(); MemoryStream ms = new MemoryStream(byEnc); CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read); StreamReader sr = new StreamReader(cst); return sr.ReadToEnd(); } }

然后在MyAuthorizeAttribute 加上时间戳验证方法

如果传入的时间戳小于服务器当前时间  返回false  提示权限不足

如果传入的时间戳大于服务器当前时间  返回true  可以正常访问

完美方案就是将redis中jwtToken设置过期时间    各位兄台希望我补充完整,

//请求参数 string requestTime = httpContext.Request["rtime"]; //请求时间经过DESC签名 if (string.IsNullOrEmpty(requestTime)) return false; //请求时间DESC解密后加上时间戳的时间即该请求的有效时间 DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp)); DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间 if (Requestdt < Newdt) { return false; } else { //进行其他操作 var userinfo = JwtHelp.GetJwtDecode(authHeader); //举个例子 生成jwtToken 存入redis中 //这个地方用jwtToken当作key 获取实体val 然后看看jwtToken根据redis是否一样 if (userinfo.UserName == "admin" && userinfo.Pwd == "123") return true; }

大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来

后期ASP.NET API,ASP.NET Core,Java教程都可以。

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

C#页码导航算法要求:页数小于等于1时不显示;页数大于10时,自动缩短,需要的朋友可以了解下

Gridview控件拥有很多不同的CSS样式属性设置,包括象CssClass,Font字体,ForeColor,BackColor,BackColor, Width, Height等等,下面为大家介绍下GridView的四种排序样式

GridView,ASP.NET中很常用的数据显示控件,这里,我将用这个控件来实现课程表的显示。首先说说课程表的显示与普通记录的显示有何不同?感兴趣的朋友可以了解下,或许对你有所帮助

这篇文章主要介绍了asp.net实现在非MVC中使用Razor模板引擎的方法,较为详细的分析了Razor模板引擎的使用技巧,需要的朋友可以参考下

给自定义控件(Web Control)添加事件具体前后台代码如下,感兴趣的朋友可以参考下哈

本篇文章,小编将为大家介绍,关于asp.net 自定义分页控件,有需要的朋友可以参考一下

这篇文章主要介绍了.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

分享给小伙伴们:
本文标签: 时间戳 请求 服务器

相关文章

友情链接:

©2019-2020 辽宁PC软件资源网 http://www.jlit365.com 保留所有权利 网站地图

时间戳,请求,服务器