jwt重放攻击_JWT+ASP.NET MVC 时间戳防止重放攻击

最新推荐文章于 2024-06-11 21:47:09 发布
最新推荐文章于 2024-06-11 21:47:09 发布
阅读量116 收藏
点赞数
文章标签: jwt重放攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39525255/article/details/111523506
版权

时间戳作用

客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。

上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。

防篡改

一般使用的方式就是把参数拼接,当前项目AppKey,双方约定的“密钥”,加入到Dictionary字典集中,按ABCD顺序进行排序,最后在MD5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照

上述规则拼接加密后,与传入过来的加密字符串比较是否相等

防复用

上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成UTC的时间戳,这个UTC是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性

下面进入正题,编码启动

创建 DESCryption 帮助类

public classDESCryption

{///

/注意了,是8个字符,64位///

private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"];///

/注意了,是8个字符,64位///

private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"];///

///加密///

///

///

public static string Encode(stringdata)

{byte[] byKey =Encoding.ASCII.GetBytes(PrivateRsa);byte[] byIV =Encoding.ASCII.GetBytes(PublicRsa);

DESCryptoServiceProvider cryptoProvider= newDESCryptoServiceProvider();int i =cryptoProvider.KeySize;

MemoryStream ms= newMemoryStream();

CryptoStream cst= newCryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);

StreamWriter sw= newStreamWriter(cst);

sw.Write(data);

sw.Flush();

cst.FlushFinalBlock();

sw.Flush();return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);

}///

///解密///

///

///

public static string Decode(stringdata)

{byte[] byKey =Encoding.ASCII.GetBytes(PrivateRsa);byte[] byIV =Encoding.ASCII.GetBytes(PublicRsa);byte[] byEnc;try{

byEnc=Convert.FromBase64String(data);

}catch{return null;

}

DESCryptoServiceProvider cryptoProvider= newDESCryptoServiceProvider();

MemoryStream ms= newMemoryStream(byEnc);

CryptoStream cst= newCryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);

StreamReader sr= newStreamReader(cst);returnsr.ReadToEnd();

}

}

然后在MyAuthorizeAttribute 加上时间戳验证方法

将DESC签名时间字符串 当作请求传入

如果传入的时间戳小于服务器当前时间  返回false  提示权限不足

如果传入的时间戳大于服务器当前时间  返回true  可以正常访问

完美方案就是将redis中jwtToken设置过期时间    各位兄台希望我补充完整,

请留言--我会及时更新GitHub将这个dmeo补充完整

//请求参数

string requestTime = httpContext.Request["rtime"]; //请求时间经过DESC签名

if (string.IsNullOrEmpty(requestTime))return false;//请求时间DESC解密后加上时间戳的时间即该请求的有效时间

DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));

DateTime Newdt= DateTime.Now; //服务器接收请求的当前时间

if (Requestdt

{return false;

}else{//进行其他操作

var userinfo =JwtHelp.GetJwtDecode(authHeader);//举个例子 生成jwtToken 存入redis中//这个地方用jwtToken当作key 获取实体val 然后看看jwtToken根据redis是否一样

if (userinfo.UserName == "admin" && userinfo.Pwd == "123")return true;

}

大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来

后期ASP.NET API,ASP.NET Core,Java教程都可以。

weixin_39525255
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vue+asp.net 小demo
03-17
ASP.NET 提供了多种开发模式,如ASP.NET Core和ASP.NET MVC,支持.NET框架和.NET Core运行时。它可以处理HTTP请求,提供强大的后端服务,支持身份验证、授权和数据库集成等。 3. **整合Vue.js与ASP.NET** 在ASP.NET...
ASP.NET MVC使用ActionFilterAttribute实现权限限制的方法(附demo源码下载)
10-22
ASP.NET MVC框架中,ActionFilterAttribute是一种强大的工具,它允许开发者定义自定义的行为来扩展MVC控制器的行为。本文将深入探讨如何利用ActionFilterAttribute实现权限限制,以便控制用户访问特定的控制器或...
jwt重放攻击_JWT+ASP.NET MVC 时间戳防止重放攻击
weixin_39799565的博客
12-19 111
时间戳作用客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。防篡改一般使用的方式就是把参数拼接,当前项目AppKey,双方约...
jwt重放攻击_JWT + ASP.NET MVC时间戳防止重放攻击详解
weixin_39559469的博客
12-19 314
时间戳作用客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。防篡改一般使用的方式就是把参数拼接,当前项目AppKey,双方约...
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 1992
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token的安全性。
JWT+ASP.NET MVC 时间戳防止重放攻击
weixin_30439031的博客
06-30 572
时间戳作用 客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。 上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。 防篡改 一般使...
asp.net mvc 登录页面使用Token
罗汉松驻扎的工作基地
06-09 2835
近来在研究一个单点登录的例子 , 以下是一些笔记,写错的地方请见谅。 Token【登录凭证】 网络身份验证 ,常常需要输入账号和密码, 在第一次登录成功之后,会生成一个Token字符串用于记录登录成功的信息, 这个Token可以在一定时间范围内用于证明自己曾经登录成功。当这段时间范围过期之后Token会失效。 Token可以翻译为令牌,我觉得译为“登录凭证”更加贴切。(古代锦衣卫获得皇帝的颁发之后,拿着这个牌子就可以到处走,不需要再次身份验证!现代时尚一点的解释就是,家里的汽车安装了高速公路ETC之后..
ASP.NET Core自定义认证和授权搭建流程(使用JWT
woshihedayu的博客
06-11 1335
return new Result < T >(ResultCode . SUCCESS , "成功" , data);return new Result(ResultCode.SUCCESS, "成功", data);这里面需要定义一个类,继承IAuthenticationHandler接口,并实现AuthenticateAsync、ChallengeAsync、ForbidAsync、InitializeAsync方法if (!else。
.net MVC下鉴权认证(三)
飞翔的学习笔记
07-31 1043
.net core jwt 下鉴权认证
ASP.NET Core WebAPI中使用Jwt实现用户认证
ssjdoudou的博客
07-30 5747
生成Jwt Token AuthController using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; using Microsoft.Extensions.Configuration; using Mi
记录一次ASP.NET 3.1 Webapi中使用JWT认证过程
APPLEHU09的博客
07-05 1332
框架:asp.net 3.1IDE:VS2019一、创建一个.NET CORE 3.1的webapi项目,这里创建过程就不赘述了,使用VS2019一步步创建即可;二、创建完后需要NuGet Package手动添加Microsoft.AspNetCore.Authentication.JwtBearer库。三、为方便接口测试,我们先加入swagger接口帮助文档(1)手动添加Swashbuckle.AspNetCore.SwaggerGen;Swashbuckle.AspNetCore.SwaggerUI;U
ASP.NET Core 3.1 JWT token测试
搬砖客的博客
04-25 1953
0. Bearer Token(Token 令牌) 为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播的,token表示令牌,简称JWT)。 1. 引入包 新建 .Core WebApi项目,并引入包 install-package Microsoft.AspNetCore.Aut
asp.net core api 基于token的JWT bearer 的鉴权验证实现探索
情随事迁个人博客
06-01 1596
.net的各种框架啥的都不是很熟悉,当时只是想怎么实现快速校验授权确保api是通过验证之后才能打开。 我说的快速就是不需要写重复的样板代码,通过总体控制,最后发现,似乎也只能通过注解实现,不过也算是比较合理的,不然无法区分哪些需要哪些不需要了 那么实现原理就设计到cookie,session, token,前面的session是需要服务器存档用户信息的,服务器压力比较大,token的实现原理,在登...
JWT + ASP.NET MVC时间戳防止重放攻击详解
10-18
主要给大家介绍了关于JWT + ASP.NET MVC时间戳防止重放攻击发的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ASP。NET与MVC5.rar_.net_ASP.NET MVC例子_ASP。NET与MVC5_MVC5_apsx
09-21
ASP.NET MVC5是一个强大的Web应用程序开发框架,由微软公司提供,用于构建动态、数据驱动的Web应用程序。在VS2015环境下,开发者可以利用MVC(Model-View-Controller)设计模式,实现清晰的代码结构,提高代码的可...
asp.net core api+jwt+swagger CRM管理系统 后台接口
11-29
为了实现这些功能,开发者可能使用了ASP.NET Core的Middleware(中间件)来处理JWT的生成和验证,如`Microsoft.AspNetCore.Authentication.JwtBearer`库。同时,Swagger的集成通常通过`Swashbuckle.AspNetCore`库来...
新闻阅读器.rar
08-04
小程序的设计源码通常包含多个文件和文件夹,组织结构清晰,以便开发者能够快速上手并进行定制化开发。主要文件和文件夹包括: 页面文件夹:存放小程序的各个页面,每个页面通常由.wxml、.wxss、.js和.json文件组成。WXML文件负责页面的结构,类似于HTML;WXSS文件负责样式,类似于CSS;JS文件负责页面的逻辑和交互;JSON文件用于页面的配置,如导航栏标题等。 组件文件夹:存放可复用的UI组件。组件与页面类似,也由.wxml、.wxss、.js和.json文件组成。通过组件化设计,可以提高代码的复用性和维护性,减少重复工作。 静态资源文件夹:存放图片、音频、视频等静态资源,便于在小程序中引用。这些资源通常放在一个名为assets或static的文件夹中。 配置文件:小程序的根目录下通常有一个app.json文件,用于全局配置,如页面路径、导航栏样式、底部Tab栏等。此外,还有app.wxss和app.js文件,分别用于全局样式和全局逻辑。 工具文件夹:存放一些工具函数和库文件,便于在小程序中调用。这些文件通常放在一个名为utils的文件夹中。
Windows Server 2008R2 sp1 升级 Service Pack 1
08-04
windows Server 2008 R2 Standard 升级 Service Pack 1 《Windows Server 2008 R2 SP1与IE11及依赖包详解》 Windows Server 2008 R2 SP1(Service Pack 1)是微软公司针对其服务器操作系统Windows Server 2008 R2的一个重要更新,旨在增强系统性能、提升安全性,并修复了大量已知问题。SP1的引入,不仅包含了自Windows Server 2008 R2发布以来的所有累积更新,还提供了对新技术的支持,例如Hyper-V 3.0虚拟化技术,提高了云计算和数据中心的管理效率。 IE11(Internet Explorer 11)是微软推出的最后一个版本的传统IE浏览器,对于Windows Server 2008 R2 SP1来说,这是一个重要的升级。IE11带来了更快的网页加载速度、更好的标准支持以及增强的安全特性。它支持HTML5、CSS3等现代Web技术,提供了更好的用户体验,并且增强了对企业级应用的兼容性。
基于python的crazy管理系统 (5).zip
最新发布
08-04
安装包
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值