JWT+ASP.NET MVC 時間戳防止重放攻擊

 時間戳做用

       客戶端在向服務端接口進行請求,若是請求信息進行了加密處理，被第三方截取到請求包，可使用該請求包進行重複請求操做。若是服務端不進行防重放攻擊，就會服務器壓力增大，而使用時間戳的方式能夠解決這一問題。

 

上一篇講到JWT安全驗證操做,如今結合時間戳進行防重複攻擊和被第三方抓包工具截取到Headers中token,進行模擬請求操做。

防篡改

      通常使用的方式就是把參數拼接，當前項目AppKey，雙方約定的「密鑰」，加入到Dictionary字典集中，按ABCD順序進行排序,最後在MD5+加密.客戶端將加密字符串和請求參數一塊兒發送給服務器。服務器按照

上述規則拼接加密後，與傳入過來的加密字符串比較是否相等

防複用

        上面的方式進行加密，就沒法解決防複用的問題，這時須要在客戶端和服務端分別生成UTC的時間戳，這個UTC是防止你的客戶端與服務端不在同一個時區，呵呵，而後把時間戳timestamp拼在密文裏就能夠了，至於防複用的有效性

 

下面進入正題,編碼啓動

建立 DESCryption 幫助類

public class DESCryption
    {

        /// <summary>
        /// //注意了，是8個字符，64位
        /// </summary>
        private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"];

        /// <summary>
        /// //注意了，是8個字符，64位
        /// </summary>
        private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"];

        /// <summary>
        /// 加密
        /// </summary>
        /// <param name="data"></param>
        /// <returns></returns>
        public static string Encode(string data)
        {
            byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
            byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

            DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
            int i = cryptoProvider.KeySize;
            MemoryStream ms = new MemoryStream();
            CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);

            StreamWriter sw = new StreamWriter(cst);
            sw.Write(data);
            sw.Flush();
            cst.FlushFinalBlock();
            sw.Flush();
            return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);

        }

        /// <summary>
        /// 解密
        /// </summary>
        /// <param name="data"></param>
        /// <returns></returns>
        public static string Decode(string data)
        {
            byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);
            byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

            byte[] byEnc;
            try
            {
                byEnc = Convert.FromBase64String(data);
            }
            catch
            {
                return null;
            }

            DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();
            MemoryStream ms = new MemoryStream(byEnc);
            CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);
            StreamReader sr = new StreamReader(cst);
            return sr.ReadToEnd();
        }

    }

而後在MyAuthorizeAttribute 加上時間戳驗證方法

將DESC簽名時間字符串 看成請求傳入

若是傳入的時間戳小於服務器當前時間  返回false  提示權限不足

若是傳入的時間戳大於服務器當前時間  返回true  能夠正常訪問

 完美方案就是將redis中jwtToken設置過時時間    各位兄臺但願我補充完整，

請留言--我會及時更新GitHub將這個dmeo補充完整

 

            //請求參數
            string requestTime = httpContext.Request["rtime"]; //請求時間通過DESC簽名
            if (string.IsNullOrEmpty(requestTime))
                return false;


            //請求時間DESC解密後加上時間戳的時間即該請求的有效時間
            DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));
            DateTime Newdt = DateTime.Now; //服務器接收請求的當前時間
            if (Requestdt < Newdt)
            {
                return false;
            }
            else
            {
                //進行其餘操做
                var userinfo = JwtHelp.GetJwtDecode(authHeader);
                //舉個例子  生成jwtToken 存入redis中    
                //這個地方用jwtToken看成key 獲取實體val   而後看看jwtToken根據redis是否同樣
                if (userinfo.UserName == "admin" && userinfo.Pwd == "123")
                    return true;
            }

 你們還有什麼須要瞭解的新手教程知識點，能夠留言給我。我會在三天內給你們寫一份簡單的教學demo出來

後期ASP.NET API,ASP.NET Core,Java教程均可以。

https://github.com/yaols/JWT.MvcDemo