JWT+ASP.NET MVC 时间戳防止重放攻击

时间 2019-11-19

标签 jwt+asp.net jwt asp mvc 时间戳防止重放攻击栏目 ASP 繁體版

原文原文链接

时间戳做用git

客户端在向服务端接口进行请求,若是请求信息进行了加密处理，被第三方截取到请求包，可使用该请求包进行重复请求操做。若是服务端不进行防重放攻击，就会服务器压力增大，而使用时间戳的方式能够解决这一问题。github

上一篇讲到JWT安全验证操做,如今结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操做。redis

防篡改

通常使用的方式就是把参数拼接，当前项目AppKey，双方约定的“密钥”，加入到Dictionary字典集中，按ABCD顺序进行排序,最后在MD5+加密.客户端将加密字符串和请求参数一块儿发送给服务器。服务器按照安全

上述规则拼接加密后，与传入过来的加密字符串比较是否相等服务器

防复用

上面的方式进行加密，就没法解决防复用的问题，这时须要在客户端和服务端分别生成UTC的时间戳，这个UTC是防止你的客户端与服务端不在同一个时区，呵呵，而后把时间戳timestamp拼在密文里就能够了，至于防复用的有效性ide

下面进入正题,编码启动工具

建立 DESCryption 帮助类编码

public class DESCryption
    {

        /// <summary>
        /// //注意了，是8个字符，64位
        /// </summary>
        private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"];

        /// <summary>
        /// //注意了，是8个字符，64位
        /// </summary>
        private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"];

        /// <summary>
        /// 加密
        /// </summary>
        /// <param name="data"></param>
        /// <returns></returns>
        public static string Encode(string data)
        {
            byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
            byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

            DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
            int i = cryptoProvider.KeySize;
            MemoryStream ms = new MemoryStream();
            CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);

            StreamWriter sw = new StreamWriter(cst);
            sw.Write(data);
            sw.Flush();
            cst.FlushFinalBlock();
            sw.Flush();
            return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);

        }

        /// <summary>
        /// 解密
        /// </summary>
        /// <param name="data"></param>
        /// <returns></returns>
        public static string Decode(string data)
        {
            byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
            byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

            byte[] byEnc;
            try
            {
                byEnc = Convert.FromBase64String(data);
            }
            catch
            {
                return null;
            }

            DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
            MemoryStream ms = new MemoryStream(byEnc);
            CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);
            StreamReader sr = new StreamReader(cst);
            return sr.ReadToEnd();
        }

    }

而后在MyAuthorizeAttribute 加上时间戳验证方法加密

将DESC签名时间字符串看成请求传入spa

若是传入的时间戳小于服务器当前时间返回false 提示权限不足

若是传入的时间戳大于服务器当前时间返回true 能够正常访问

完美方案就是将redis中jwtToken设置过时时间各位兄台但愿我补充完整，

请留言--我会及时更新GitHub将这个dmeo补充完整

            //请求参数
            string requestTime = httpContext.Request["rtime"]; //请求时间通过DESC签名
            if (string.IsNullOrEmpty(requestTime))
                return false;


            //请求时间DESC解密后加上时间戳的时间即该请求的有效时间
            DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));
            DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间
            if (Requestdt < Newdt)
            {
                return false;
            }
            else
            {
                //进行其余操做
                var userinfo = JwtHelp.GetJwtDecode(authHeader);
                //举个例子  生成jwtToken 存入redis中    
                //这个地方用jwtToken看成key 获取实体val   而后看看jwtToken根据redis是否同样
                if (userinfo.UserName == "admin" && userinfo.Pwd == "123")
                    return true;
            }

你们还有什么须要了解的新手教程知识点，能够留言给我。我会在三天内给你们写一份简单的教学demo出来

后期ASP.NET API,ASP.NET Core,Java教程均可以。

https://github.com/yaols/JWT.MvcDemo