JWT+ASP.NET MVC時間戳如何防止重放攻擊

這篇文章主要介紹了JWT+ASP.NET MVC時間戳如何防止重放攻擊，具有一定借鑒價值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

時間戳作用

客戶端在向服務端接口進行請求,如果請求信息進行了加密處理，被第三方截取到請求包，可以使用該請求包進行重復請求操作。如果服務端不進行防重放攻擊，就會服務器壓力增大，而使用時間戳的方式可以解決這一問題。

防篡改

一般使用的方式就是把參數(shù)拼接，當前項目AppKey，雙方約定的“密鑰”，加入到Dictionary字典集中，按ABCD順序進行排序,最后在MD5+加密.客戶端將加密字符串和請求參數(shù)一起發(fā)送給服務器。服務器按照

上述規(guī)則拼接加密后，與傳入過來的加密字符串比較是否相等

防復用

上面的方式進行加密，就無法解決防復用的問題，這時需要在客戶端和服務端分別生成UTC的時間戳，這個UTC是防止你的客戶端與服務端不在同一個時區(qū)，呵呵，然后把時間戳timestamp拼在密文里就可以了，至于防復用的有效性

下面進入正題,編碼啟動

創(chuàng)建 DESCryption 幫助類

public class DESCryption
 {

 /// <summary>
 /// //注意了，是8個字符，64位
 /// </summary>
 private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"];

 /// <summary>
 /// //注意了，是8個字符，64位
 /// </summary>
 private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"];

 /// <summary>
 /// 加密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string Encode(string data)
 {
 byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
 byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

 DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
 int i = cryptoProvider.KeySize;
 MemoryStream ms = new MemoryStream();
 CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);

 StreamWriter sw = new StreamWriter(cst);
 sw.Write(data);
 sw.Flush();
 cst.FlushFinalBlock();
 sw.Flush();
 return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);

 }

 /// <summary>
 /// 解密
 /// </summary>
 /// <param name="data"></param>
 /// <returns></returns>
 public static string Decode(string data)
 {
 byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
 byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

 byte[] byEnc;
 try
 {
 byEnc = Convert.FromBase64String(data);
 }
 catch
 {
 return null;
 }

 DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
 MemoryStream ms = new MemoryStream(byEnc);
 CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);
 StreamReader sr = new StreamReader(cst);
 return sr.ReadToEnd();
 }
 }

然后在MyAuthorizeAttribute 加上時間戳驗證方法

將DESC簽名時間字符串 當作請求傳入

如果傳入的時間戳小于服務器當前時間  返回false  提示權限不足

如果傳入的時間戳大于服務器當前時間  返回true  可以正常訪問

 完美方案就是將redis中jwtToken設置過期時間    各位兄臺希望我補充完整，

請留言--我會及時更新GitHub將這個dmeo補充完整

//請求參數(shù)
 string requestTime = httpContext.Request["rtime"]; //請求時間經(jīng)過DESC簽名
 if (string.IsNullOrEmpty(requestTime))
 return false;


 //請求時間DESC解密后加上時間戳的時間即該請求的有效時間
 DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));
 DateTime Newdt = DateTime.Now; //服務器接收請求的當前時間
 if (Requestdt < Newdt)
 {
 return false;
 }
 else
 {
 //進行其他操作
 var userinfo = JwtHelp.GetJwtDecode(authHeader);
 //舉個例子 生成jwtToken 存入redis中 
 //這個地方用jwtToken當作key 獲取實體val 然后看看jwtToken根據(jù)redis是否一樣
 if (userinfo.UserName == "admin" && userinfo.Pwd == "123")
  return true;
 }

感謝你能夠認真閱讀完這篇文章，希望小編分享的“JWT+ASP.NET MVC時間戳如何防止重放攻擊”這篇文章對大家有幫助，同時也希望大家多多支持億速云，關注億速云行業(yè)資訊頻道，更多相關知識等著你來學習!