当前位置: 首页 > 编程笔记 >

JWT + ASP.NET MVC时间戳防止重放攻击详解

酆光熙
2023-03-14
本文向大家介绍JWT + ASP.NET MVC时间戳防止重放攻击详解,包括了JWT + ASP.NET MVC时间戳防止重放攻击详解的使用技巧和注意事项,需要的朋友参考一下

时间戳作用

客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。

上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。

防篡改

一般使用的方式就是把参数拼接,当前项目AppKey,双方约定的“密钥”,加入到Dictionary字典集中,按ABCD顺序进行排序,最后在MD5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照

上述规则拼接加密后,与传入过来的加密字符串比较是否相等

防复用

上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成UTC的时间戳,这个UTC是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性

下面进入正题,编码启动

创建 DESCryption 帮助类

public class DESCryption
 {

 /// <summary>
 /// //注意了,是8个字符,64位
 /// </summary>
 private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"];

 /// <summary>
 /// //注意了,是8个字符,64位
 /// </summary>
 private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"];

 /// <summary>
 /// 加密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string Encode(string data)
 {
 byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
 byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

 DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
 int i = cryptoProvider.KeySize;
 MemoryStream ms = new MemoryStream();
 CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);

 StreamWriter sw = new StreamWriter(cst);
 sw.Write(data);
 sw.Flush();
 cst.FlushFinalBlock();
 sw.Flush();
 return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);

 }

 /// <summary>
 /// 解密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string Decode(string data)
 {
 byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
 byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

 byte[] byEnc;
 try
 {
 byEnc = Convert.FromBase64String(data);
 }
 catch
 {
 return null;
 }

 DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
 MemoryStream ms = new MemoryStream(byEnc);
 CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);
 StreamReader sr = new StreamReader(cst);
 return sr.ReadToEnd();
 }
 }

然后在MyAuthorizeAttribute 加上时间戳验证方法

将DESC签名时间字符串 当作请求传入

如果传入的时间戳小于服务器当前时间  返回false  提示权限不足

如果传入的时间戳大于服务器当前时间  返回true  可以正常访问

 完美方案就是将redis中jwtToken设置过期时间    各位兄台希望我补充完整,

请留言--我会及时更新GitHub将这个dmeo补充完整

//请求参数
 string requestTime = httpContext.Request["rtime"]; //请求时间经过DESC签名
 if (string.IsNullOrEmpty(requestTime))
 return false;


 //请求时间DESC解密后加上时间戳的时间即该请求的有效时间
 DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));
 DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间
 if (Requestdt < Newdt)
 {
 return false;
 }
 else
 {
 //进行其他操作
 var userinfo = JwtHelp.GetJwtDecode(authHeader);
 //举个例子 生成jwtToken 存入redis中 
 //这个地方用jwtToken当作key 获取实体val 然后看看jwtToken根据redis是否一样
 if (userinfo.UserName == "admin" && userinfo.Pwd == "123")
  return true;
 }

大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来

后期ASP.NET API,ASP.NET Core,Java教程都可以。

https://github.com/yaols/JWT.MvcDemo (本地下载)

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对呐喊html" target="_blank">教程的支持。

 类似资料:
  • 本文向大家介绍详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击,包括了详解利用django中间件django.middleware.csrf.CsrfViewMiddleware防止csrf攻击的使用技巧和注意事项,需要的朋友参考一下 一、在django后台处理 1、将django的setting中的加入django.co

  • 本文向大家介绍Nginx防止流量攻击的配置详解,包括了Nginx防止流量攻击的配置详解的使用技巧和注意事项,需要的朋友参考一下 使用场景 最近在工作中遇到一个问题,项目中报告查询系统负载均衡集群相关配置已经完成,两种实现方式分别是基于Ehcache和Redis的session管理策略。 大家都知道服务器资源有限的,但是客户端来的请求是无限的(不排除恶意攻击), 为了保证大部分的请求能够正常响应,不

  • 本文向大家介绍如何防止XSS攻击?相关面试题,主要包含被问及如何防止XSS攻击?时的应答技巧和注意事项,需要的朋友参考一下 (1) 将前端输出数据都进行转义 (2) 将输出的字符串中的\反斜杠进行转义 (3) 从url中获取的信息,防止方法是由后端获取,在前端转义后再行输出 (4) 使用cookie的HttpOnly属性,保护好cookie 详细参见:http://blog.csdn.net/fe

  • 我们对代码进行了安全审计,它提到我们的代码容易受到XML外部实体(XXE)攻击。 XML外部实体攻击利用XML功能在处理时动态构建文档。XML实体允许动态包含来自给定资源的数据。外部实体允许XML文档包含来自外部URI的数据。除非配置为其他方式,否则外部实体会强制XML解析器访问URI指定的资源,例如本地计算机或远程系统上的文件。此行为会使应用程序遭受XML外部实体(XXE)攻击,这些攻击可用于执

  • 问题内容: 最近,我们对代码进行了安全审核,问题之一是我们的应用程序受到 Xml eXternal Entity (XXE)攻击。 基本上,该应用程序是一个计算器,可通过Web服务以XML形式接收输入。 这是对我们的应用程序进行此类XXE攻击的示例: 如您所见,我们可以引用指向外部文件()的实体。 关于XML输入本身(该部分)未与JAXB(v2.1)一起编组。Web服务部分基于jaxws- rt(

  • 本文向大家介绍Drupal 9:防止枚举攻击,包括了Drupal 9:防止枚举攻击的使用技巧和注意事项,需要的朋友参考一下 Wired最近发表的一篇有关Parler数据黑客的文章谈到了黑客组织如何能够使用不安全的直接对象引用(IDOR)或枚举攻击从Parler网站窃取公开可用的信息。此类攻击涉及黑客查看站点的结构,并尝试通过查看URL来猜测下一个可用资源。显然,通过简单地枚举其公开可用帖子的ID即