jwt重放攻击_JWT+ASP.NET MVC 时间戳防止重放攻击
时间戳作用
客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。
上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。
防篡改
一般使用的方式就是把参数拼接,当前项目AppKey,双方约定的“密钥”,加入到Dictionary字典集中,按ABCD顺序进行排序,最后在MD5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照
上述规则拼接加密后,与传入过来的加密字符串比较是否相等
防复用
上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成UTC的时间戳,这个UTC是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性
下面进入正题,编码启动
创建 DESCryption 帮助类
public class DESCryption
{ ///
/// //注意了,是8个字符,64位 ///
private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"]; ///
/// //注意了,是8个字符,64位 ///
private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"]; ///
/// 加密 ///
///
///
public static string Encode(string data)
{ byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);
DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider(); int i = cryptoProvider.KeySize;
MemoryStream ms = new MemoryStream();
CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);
StreamWriter sw = new StreamWriter(cst);
sw.Write(data);
sw.Flush();
cst.FlushFinalBlock();
sw.Flush(); return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);
} ///
/// 解密 ///
///
///
public static string Decode(string data)
{ byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa); byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa); byte[] byEnc; try
{
byEnc = Convert.FromBase64String(data);
} catch
{ return null;
}
DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
MemoryStream ms = new MemoryStream(byEnc);
CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);
StreamReader sr = new StreamReader(cst); return sr.ReadToEnd();
}
}
然后在MyAuthorizeAttribute 加上时间戳验证方法
将DESC签名时间字符串 当作请求传入
如果传入的时间戳小于服务器当前时间 返回false 提示权限不足
如果传入的时间戳大于服务器当前时间 返回true 可以正常访问
完美方案就是将redis中jwtToken设置过期时间 各位兄台希望我补充完整,
请留言--我会及时更新GitHub将这个dmeo补充完整
//请求参数
string requestTime = httpContext.Request["rtime"]; //请求时间经过DESC签名
if (string.IsNullOrEmpty(requestTime)) return false; //请求时间DESC解密后加上时间戳的时间即该请求的有效时间
DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));
DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间
if (Requestdt
{ return false;
} else
{ //进行其他操作
var userinfo = JwtHelp.GetJwtDecode(authHeader); //举个例子 生成jwtToken 存入redis中
//这个地方用jwtToken当作key 获取实体val 然后看看jwtToken根据redis是否一样
if (userinfo.UserName == "admin" && userinfo.Pwd == "123") return true;
}
大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来
后期ASP.NET API,ASP.NET Core,Java教程都可以。
jwt重放攻击_JWT+ASP.NET MVC 时间戳防止重放攻击相关推荐
- jwt重放攻击_JWT+ASP.NET MVC 时间戳防止重放攻击
时间戳作用 客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作.如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决 ...
- ASP.NET MVC 学习6、学习使用Code First Migrations功能,把Model的更新同步到DB中
参考:http://www.asp.net/mvc/tutorials/mvc-4/getting-started-with-aspnet-mvc4/adding-a-new-field-to-th ...
- ASP.NET MVC V2 Preview 1 发布 期望VS有更好的表现
ASP.NET MVC V2 Preview 1官方首页:http://aspnet.codeplex.com/ 在这里可以下载 以下是网友的转载,介绍的还是比较详细的: 预览版是在.NET 3.5 ...
- [渣译文] 使用 MVC 5 的 EF6 Code First 入门 系列:为ASP.NET MVC应用程序处理并发
这是微软官方教程Getting Started with Entity Framework 6 Code First using MVC 5 系列的翻译,这里是第十篇:为ASP.NET MVC应用程序 ...
- 使用 WPF+ ASP.NET MVC 开发 在线客服系统 (一)
近段时间利用业余时间开发了一套在线客服系统,期间遇到过大大小小不少问题,好在都一一解决,最终效果也还可以,打算写一个系列的文章把开发过程详细的记录下来. 希望能够和更多的开发人员互相交流学习,也希望有 ...
- ASP.NET MVC 5 - 给电影表和模型添加新字段
在本节中,您将使用Entity Framework Code First来实现模型类上的操作.从而使得这些操作和变更,可以应用到数据库中. 默认情况下,就像您在之前的教程中所作的那样,使用 Entit ...
- ASP.NET MVC 5 02 - ASP.NET MVC 1-5 各版本特点
参考书籍:<ASP.NET MVC 4 高级编程>.<ASP.NET MVC 5 高级编程>.<C#高级编程(第8版)>.<使用ASP.NET MVC开发企业 ...
- ASP.NET MVC 2示例Tailspin Travel
Tailspin Travel 是一个旅游预订的应用程序示例,最新版本采用ASP.NET MVC 2技术构建,主要使用 DataAnnotations 验证, 客户端验证和ViewModels,还展示 ...
- Asp.net MVC中的ViewData与ViewBag
在Asp.net MVC 3 web应用程序中,我们会用到ViewData与ViewBag,对比一下: ViewData ViewBag 它是Key/Value字典集合 它是dynamic类型对像 从 ...
- ASP.NET MVC Identity 兩個多個連接字符串問題解決一例
按照ASP.NET MVC Identity建立了一個用戶權限管理模塊,由于還要加自己已有的數據庫,所以建立了一個實體模型,建立了之后,發現登錄不了: 一直顯示"Login in faile ...
最新文章
- 应用程序连接Oracle rac的URL写法
- 用Docker构建LNMP环境(上)
- [JavaWeb-JavaScript]JavaScript_Array数组对象
- Vue的watch和computed属性
- 用scikit-learn进行LDA降维
- linux jsp连接mysql_Linux JSP连接MySQL数据库
- 华硕java安装教程win10_华硕笔记本安装win10系统教程
- Flutter 是移动应用程序开发的未来?
- linux 下的前端编程工具,Prepros Linux版(前端开发工具)
- clickhouse 同步mysql_ClickHouse 常用管理命令
- 实部和虚部高斯变量瑞利衰落matlab,瑞利衰落信道的matlab仿真.doc
- stagefright_StageFright:Android操作系统中最易受攻击的错误
- MATLAB入门之旅摘要
- Linux远程登录和多机操作
- 高级UI-滤镜和颜色通道
- azure 云上安装部署nginx
- audit linux mysql_MySQL审计工具Audit Plugin安装使用
- Java中构造方法的案例及常用类int lenght类的使用方法举例,new实例化对象方法,静态方法实例方法的举例
- 五大主流浏览器及其内核简要介绍
- Arcgis Engine10.2安装包和安装教程
热门文章
- Swift 模式匹配
- Codeforces Round #277 (Div. 2) E. LIS of Sequence DP
- IOS学习笔记-UINavgationController
- 右键菜单 GenericMenu
- 通过和函数名相同的字符串调用函数 --浅谈loadstring函数
- SpringApplication run方法第四步解析(三)[(未完结,暂搁置)]
- 在单例Bean中依赖原型Bean问题解决
- 聊聊索引失效的10种场景,巨坑
- Spring整合MyBatis原理之Mapper接口代理对象的产生以及调用 (三)
- RocketMQ之消费者顺序消费源码解析