JWT+ASP.NET MVC 時間戳防止重放攻擊
時間戳作用
客戶端在向服務端接口進行請求,如果請求信息進行了加密處理,被第三方截取到請求包,可以使用該請求包進行重復請求操作。如果服務端不進行防重放攻擊,就會服務器壓力增大,而使用時間戳的方式可以解決這一問題。
上一篇講到JWT安全驗證操作,現在結合時間戳進行防重復攻擊和被第三方抓包工具截取到Headers中token,進行模擬請求操作。
防篡改
一般使用的方式就是把參數拼接,當前項目AppKey,雙方約定的“密鑰”,加入到Dictionary字典集中,按ABCD順序進行排序,最後在MD5+加密.客戶端將加密字符串和請求參數一起發送給服務器。服務器按照
上述規則拼接加密後,與傳入過來的加密字符串比較是否相等
防復用
上面的方式進行加密,就無法解決防復用的問題,這時需要在客戶端和服務端分別生成UTC的時間戳,這個UTC是防止你的客戶端與服務端不在同一個時區,呵呵,然後把時間戳timestamp拼在密文裏就可以了,至於防復用的有效性
下面進入正題,編碼啟動
創建 DESCryption 幫助類
public class DESCryption { /// <summary> /// //註意了,是8個字符,64位 /// </summary> private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"]; /// <summary> /// //註意了,是8個字符,64位 /// </summary> private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"]; /// <summary> /// 加密 /// </summary> /// <param name="data"></param> /// <returns></returns>public static string Encode(string data) { byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa); DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider(); int i = cryptoProvider.KeySize; MemoryStream ms = new MemoryStream(); CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write); StreamWriter sw = new StreamWriter(cst); sw.Write(data); sw.Flush(); cst.FlushFinalBlock(); sw.Flush(); return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length); } /// <summary> /// 解密 /// </summary> /// <param name="data"></param> /// <returns></returns> public static string Decode(string data) { byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa); byte[] byEnc; try { byEnc = Convert.FromBase64String(data); } catch { return null; } DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider(); MemoryStream ms = new MemoryStream(byEnc); CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read); StreamReader sr = new StreamReader(cst); return sr.ReadToEnd(); } }
然後在MyAuthorizeAttribute 加上時間戳驗證方法
將DESC簽名時間字符串 當作請求傳入
如果傳入的時間戳小於服務器當前時間 返回false 提示權限不足
如果傳入的時間戳大於服務器當前時間 返回true 可以正常訪問
完美方案就是將redis中jwtToken設置過期時間 各位兄臺希望我補充完整,
請留言--我會及時更新GitHub將這個dmeo補充完整
//請求參數 string requestTime = httpContext.Request["rtime"]; //請求時間經過DESC簽名 if (string.IsNullOrEmpty(requestTime)) return false; //請求時間DESC解密後加上時間戳的時間即該請求的有效時間 DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp)); DateTime Newdt = DateTime.Now; //服務器接收請求的當前時間 if (Requestdt < Newdt) { return false; } else { //進行其他操作 var userinfo = JwtHelp.GetJwtDecode(authHeader); //舉個例子 生成jwtToken 存入redis中 //這個地方用jwtToken當作key 獲取實體val 然後看看jwtToken根據redis是否一樣 if (userinfo.UserName == "admin" && userinfo.Pwd == "123") return true; }
大家還有什麽需要了解的新手教程知識點,可以留言給我。我會在三天內給大家寫一份簡單的教學demo出來
後期ASP.NET API,ASP.NET Core,Java教程都可以。
https://github.com/yaols/JWT.MvcDemo
JWT+ASP.NET MVC 時間戳防止重放攻擊