2. 程式人生 > >ASP.NET MVC中使用JS實現不對稱加密密碼傳輸

ASP.NET MVC中使用JS實現不對稱加密密碼傳輸

阿新 發佈:2019-02-02

摘要:ASP.NET MVC中登入頁面中點選登入後,使用者名稱、密碼將被明文傳輸到Controller中,使用Fiddler等工具可以輕鬆截獲並獲取密碼, 這是不安全的。 使用對稱加密,如AES,金鑰將被暴露前端程式碼,也是不安全的。使用不對稱加密能夠較好解決這個問題。本文以RSA不對稱加密的形式,在JS端通過公鑰對密碼進行加密,將密文傳輸到後端後通過金鑰進行解密。

關鍵字: 不對稱加密;對稱加密;RSA 演算法;AES; 金鑰;公鑰

0 背景

登入是最常見的需求之一,在這個環節,安全問題不可避免,明文傳輸很容易被截獲並暴露密碼原文。如下圖使用Fiddle中出現的情況。


為了避免這種情況,通常辦法有1 使用HTTPS形式解決; 2 使用公鑰和不對稱加密對密文進行加密;3使用對稱加密,比如AES。

這3種方案中,方案1是終極方案,但是需要克服證書獲取和配置的問題, 本方案不是本文討論重點,請有興趣的自行查閱https://letsencrypt.org/。方案3, 以AES加密為例,必須把加密金鑰存放在前端。 而前端對使用者來說是開源的,很多開發者嘗試把金鑰藏的路徑很深,但無疑這還是自欺欺人的。

方案2中,在JS端進行密碼的RSA加密是有必要的,因為密碼需要在使用者點選“登入”按鈕後被提交到伺服器,這個過程被截獲是很容易的。同時,防範CSRF型別攻擊的特性也必須保留。這就要求:必須使用AJAX在JS端對密碼加密,並向後臺的AccountController中的LoginAction發起Post請求。而不能使用傳統的FormSubmit的方案。

AJAX post請求中,需要注意問題: 由於需要防範CSRF攻擊的同時保障密文傳輸安全。需要同時顧及如下問題

問題1: 如何通過AJAX向Controller發起ajax請求?

問題2:如何在ajax請求中加入AntiForgeryToken? 

問題3: AJAX請求前,如何對密碼進行RSA加密?

問題4: RSA的key format 有兩種, pem格式和C#所支援的XML格式,通常JS支援pem, C#支援xml, 如何轉換?

帶著問題,進入操作步驟;

1 操作步驟

1.1 新建Web Application


1.2 選擇MVC, Authentication中選擇”IndividualUser Accounts”


1.3 Views-> Account->Login.cshtml中程式碼修改如下

需要將目標URL設定為隱藏欄位,供JS讀取

@model WebApplication_JS_RSA.ViewModels.LoginViewModel


@{
    ViewBag.Title = "Log in";
    Layout = "~/Views/Shared/_Layout.cshtml";
}




<div class="wrapper--login">
    <div class="wrapper--login__body">
        <h1>Login</h1>
        @using (@Html.BeginForm("Login", "Account", FormMethod.Post, new { id = "loginForm" }))
        {
            <div id="AccountLoginURL" class="hidden" data-url="@Url.Action("login", "account")"></div>
            @Html.AntiForgeryToken()


            <div class="val">
                @Html.LabelFor(m => m.UserName)
                <div class="val__field">
                    @Html.TextBoxFor(model => model.UserName, new { @class = "form-control", id = "userNameTextBox" })
                    @Html.ValidationMessageFor(model => model.UserName)
                </div>
            </div>


            <div class="val">
                @Html.LabelFor(m => Model.EncryptedPassword)
                <div class="val__field">
                    @Html.PasswordFor(model => model.EncryptedPassword, new { @class = "form-control", id = "passwordTextBox" })
                    @Html.ValidationMessageFor(model => model.EncryptedPassword)
                </div>
            </div>




            @Html.HiddenFor(model => model.ReturnUrl)
            @Html.HiddenFor(model => model.RedirectDomain)






            <div class="val__message" id="errorMsg"></div>


            <div class="row">
                <input type="button" id="LoginButton" value="Login" class="button--primary">
            </div>
        }


        <div id="PublicKey" class="hidden" data-val="@Model.PublicKey"></div>




        <div class="row line">
            <span class="line__1"></span>or<span class="line__2"></span>
        </div>


        <div class="row">
            <a href="@Url.Action("forgotpassword", "Account")" class="button--secondary">Forgot Password ?</a>
        </div>




    </div>
</div>






@section Scripts {
    @Scripts.Render("~/Scripts/jquery-1.10.2.min.js")    
    @Scripts.Render("~/Scripts/jquery.validate.min.js")
    @Scripts.Render("~/bundles/jqueryval")
    @Scripts.Render("~/Scripts/jsencrypt.js")
    @Scripts.Render("~/Scripts/Views/Account/Login.js")
}

1.4           Scripts資料夾下新增 Login.js,  jsencrypt.js檔案

jsencrypt.js檔案請從“參考連結3”中獲取. Login.js程式碼如下:

var login = (
    function ($) {
        $(document).ready(
            function () {
                $('#LoginButton').click(function () {
                    var publicKey = $('#PublicKey').data("val");
                    var plainpassword = $('#passwordTextBox').val();
                    var AccountLoginURL = $('#AccountLoginURL').data("url");
                    var encryptedPassword;
                    
                    var formSelector = "#loginForm";
                    var form = $(formSelector);


                    form.validate();
                    var isFormValid = form.valid();


                    //encrypt password
                    if (plainpassword !== null && plainpassword !== "") {
                        var crypt = new JSEncrypt();
                        crypt.setPublicKey(publicKey);
                        encryptedPassword = crypt.encrypt(plainpassword);
                        console.log(encryptedPassword);
                        $('#passwordTextBox').val(encryptedPassword);
                    }
                    
                    debugger;
                    if (isFormValid) {
                        //blockUI
                        //showSpinner();
                        $.ajax({
                            type: "POST",
                            url: AccountLoginURL,
                            data: form.serialize(),
                            success: function (data, textStatus, jqXHR) {
                                if (data.RedirectUrl !== null) {
                                    window.location.href = data.RedirectUrl;
                                }
                                else {
                                    $('#errorMsg').text(data.ErrorMessage);
                                }
                            },
                            error: function (jqXhr, textStatus, errorThrown) {
                                console.log('error: ' + jqXhr.responseText);
                            },
                            complete: function (jqXHR, textStatus) {
                                //hideSpinner();
                            }
                        });
                    }
                });
            });
    }(jQuery));

1.5 配置publicKey和PrivateKey

通過“3參考連結“中連線2,生成公鑰和私鑰。 公鑰保持pem格式,因為JS類庫使用的需要。 把私鑰通過“3參考連結“中連線4(轉換器)轉換成XML格式,因為.NET能夠識別XML格式的私鑰。



1.6           Controller端

Controllers->AccountController->Login()

        // POST: /Account/Login
        [HttpPost]
        [AllowAnonymous]
        [ValidateAntiForgeryToken]
        public async Task<ActionResult> Login()
        {
            var form = Request.Form;
            string plainTextPassword = form["plainTextPassword"].ToString();
            string encryptedPassword = form["encryptedPassword"].ToString();


            //decrypt
            String privateKeyPathFile = AppDomain.CurrentDomain.BaseDirectory + @"\Content\PrivateKey.xml";
            string RSAprivateKey = System.IO.File.ReadAllText(privateKeyPathFile);

            RSAEncryption rsaCryption = new RSAEncryption();
            string decryptedPwd = rsaCryption.RSADecrypt(RSAprivateKey, encryptedPassword);

            return View();        
          }

1.7        RSAEncryption

如需程式碼,請參考連結: https://github.com/memoryfraction/CommonUsedFunctions/tree/master/Encryption%26Decryption

2 小結

2.1 小結

本文提出了在ASP.NETMVC中,密碼傳輸安全問題,提出了3種可行解決方案。重點講述了RSA不對稱加密的實現方式,同時保留了微軟自帶的AntiForgeryToken, 以防止CSRF攻擊。達到了密文傳輸密碼的效果,即使被人截獲,也無法得知密碼明文。

作者知識和精力都有限,如有不足,歡迎指正。

2.2 補充

在更新版的3.1 範例程式碼中,更新使用了Form Serialization技術,優點: 可以直接對錶單序列化,傳輸到後端; 能夠使用C# Decoration驗證; 建議前端後端同時驗證, 雙保險; 相見程式碼;

3 參考連結

3 JSEncrypt的主頁:http://travistidwell.com/jsencrypt/

5 《什麼是CSRF攻擊,如何在ASP.NET MVC網站中阻止這種攻擊?》http://blog.csdn.net/fanrong1985/article/details/71701301


相關推薦

ASP.NET MVC使用JS實現對稱加密密碼傳輸

摘要:ASP.NET MVC中登入頁面中點選登入後,使用者名稱、密碼將被明文傳輸到Controller中,使用Fiddler等工具可以輕鬆截獲並獲取密碼, 這是不安全的。 使用對稱加密,如AES,金鑰將被暴露前端程式碼,也是不安全的。使用不對稱加密能夠較好解決這個問題。本文

Asp.Net MVC JS通過ajaxfileupload上傳圖片獲取身份證姓名、生日、家庭住址等詳細信息

新手上路 pri virt them boolean tac 識別 multipart utf 客戶要求用身份證圖片上傳獲取身份證的詳細信息就下來研究了一下(現在的客戶真的懶 身份證信息都懶得輸入了哈哈...),經過慢慢研究,果然皇天不負有心人搞出來了。這個借助的是騰訊

ASP.NET MVC如何實現頁面跳轉

pub ring 項目 再見 name ati 方法 技術 mod 1,最簡單的方式:超鏈接 以下分別是連接到HomeController控制器下的SharpL動作方法,以及百度首頁。代碼如下: 1 <a href="Home\SharpL">打開S

Asp.net MVC如何實現依賴注入(DI)(二)

昨天說了一下Castle與Autofac如何在MVC中的使用,今天再來簡單說一下Spring.Net框架在MVC中如何依賴注入的。 官網:http://www.springframework.net/ 專案結構圖:   首先,我們要在專案中新增Spring.Net的類庫引用,我們可以在N

Asp.net MVC的全域性許可權驗證方法及實現

       開發過MVC的人都知道,MVC是三個單詞的縮寫,分別為: 模型(Model),檢視(View)和控制Controller)。 MVC模式的目的就是實現Web系統的職能分工。 Model層實現系統中的業務邏輯。 View層用於與使用者的互動。 Controlle

ASP.NET MVC許可權控制的簡單實現

1、重寫AuthorizeAttribute類,用自己的許可權控制邏輯重寫AuthorizeCore方法 public class MyAuthorizeAttribute : AuthorizeAt

ASP.NET MVC使用OutputCache實現伺服器端頁面級快取注意問題

    CSDN廣告是越來越多了,所有部落格筆記不再更新,新網址 DotNet筆記 1) 血的教訓:先說使用OutputCache實現伺服器端頁面級快取注意問題 在ASP.NET MVC中,假如我們想要將某個頁面(即某個Action)快取在伺服器端,可以在Action上

Asp.net MVC傳遞ViewData資料能正確傳遞的問題

再次經歷MVC中兩個DropDownList中一個通過ViewData或ViewBag傳遞資料自動選擇出現問題的情況,也就是資料沒有被正確傳遞,debug 了4 hours,媽的,怎麼除錯怎麼沒有錯誤,把資料通過json顯示也沒有錯,但是就是在partialView中就是不

ASP.NET MVC,使用Bundle來打包壓縮js和css

在ASP.NET MVC4中(在WebForm中應該也有),有一個叫做Bundle的東西,它用來將js和css進行壓縮(多個檔案可以打包成一個檔案),並且可以區分除錯和非除錯,在除錯時不進行壓縮,以原始方式顯示出來,以方便查詢問題。 這裡僅簡單記錄下如何使用。 首先

Asp.Net MVCAplayer.js音樂播放器的使用

1、前言: Aplater.js是一款可愛、漂亮的Js音樂播放器,以前就瞭解過也弄過一些,現在就用mp3的格式來在.Net裡面開發。管網 https://aplayer.js.org/ 2、入手: 在專案裡面只要新增一個jQuery.js跟APlayer.min.js 跟APlayer.min

Asp.net MVC如何獲取控制器的名稱

tex 如何 route 控制 this .get data control str 如果在代碼中 當前controller、action的獲取RouteData.Route.GetRouteData(this.HttpContext).Values["controlle

asp.net mvchtml helper的一大優勢

ont size color 優勢 其中 系統 per .net strong 剛上手這個框架,發現其中的html helper用起來很方便,讓我們這些從web form 過渡來的coder有一種使用控件的快感,嘻嘻! 言歸正傳,我要說的是在使用它時,系統會自動執行表單的現

淺析Asp.net MVC Ajax的使用

x11 生成 table ex18 review arp javascrip tle func 在ASP.NET MVC beta中我們可以使用Ajax.BeginForm, Ajax.ActionLink來進行Ajax調用,同樣我們也可以使用一些支持Ajax 框架如jQ

ASP.NET MVC 路徑的解惑

src javascrip pan 開頭 失效 如果 語言 baidu rip 很多人在寫代碼的時候關於路徑這個問題很頭疼,其實路徑是很簡單的,只是沒人幫我們點投!初次學習程序的人,我相信肯定會遇到和我一樣的問題,比如說,“/”和“~”引用路勁的區別,接下來看吧,這篇文章肯

Asp.net mvc使用配置Unity

ges mage bsp 使用 cacti .cn 技術 效果展示 onf 第一步:添加unity.mvc 第二步:在添加之後會在app_start中生成UnityConfig.cs,UnityMvcActivator.cs 第三步:使用 第四步:效果展示 Asp

asp.net mvc如何處理字符串與對象之間的序列化與反序列化(一)

osi strong 類結構 plain pbo edate inf esc arp 前臺我們一般用ajax來發送數據到後端進行處理,如果json數據結構和後臺的實體類結構一致,就直接可以反序列化為指定的對象進行操作,非常方便。 前端發送的json數據結構: 後端實體結

ASP.NET MVC利用Aspose.cells 將查詢出的數據導出為excel,並在瀏覽器下載。

width tdi 新增 column 需求 options 解決 印象 ats 正題前的嘮叨 本人是才出來工作不久的小白菜一顆,技術很一般,總是會有遇到一些很簡單的問題卻不知道怎麽做,這些問題可能是之前解決過的。發現這個問題,想著提升一下自己的技術水平,將一些學的新的‘好

log4net 使用總結- (1)在ASP.NET MVC 使用

站點 href 還需 配置文件 str nag org src stat 1. 去官網下載log4net.dll,增加引用到站點下(你也可以通過nuget 安裝) http://logging.apache.org/log4net/download_log4net.cgi

ASP.NET MVC使用Castle Windsor

tac col sta undle 文件中 isp path http start 平常用Inject比較多,今天接觸到了Castle Windsor。本篇就來體驗其在ASP.NET MVC中的應用過程。 Visual Studio 2012創建一個ASP.NET

ASP.NET MVC為DropDownListFor設置選中項的方法

相等 ret info href submit value and number else 在MVC中,當涉及到強類型編輯頁,如果有select元素,需要根據當前Model的某個屬性值,讓Select的某項選中。本篇只整理思路,不涉及完整代碼。 □ 思路 往前臺視圖傳的類型