jwt重放攻击_JWT + ASP.NET MVC时间戳防止重放攻击详解

最新推荐文章于 2024-05-22 10:43:22 发布
最新推荐文章于 2024-05-22 10:43:22 发布
阅读量314 收藏
点赞数
文章标签: jwt重放攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39559469/article/details/111523505
版权

时间戳作用

客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。

上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。

防篡改

一般使用的方式就是把参数拼接,当前项目AppKey,双方约定的“密钥”,加入到Dictionary字典集中,按ABCD顺序进行排序,最后在MD5+加密.客户端将加密字符串和请求参数一起发送给服务器。服务器按照

上述规则拼接加密后,与传入过来的加密字符串比较是否相等

防复用

上面的方式进行加密,就无法解决防复用的问题,这时需要在客户端和服务端分别生成UTC的时间戳,这个UTC是防止你的客户端与服务端不在同一个时区,呵呵,然后把时间戳timestamp拼在密文里就可以了,至于防复用的有效性

下面进入正题,编码启动

创建 DESCryption 帮助类

public class DESCryption

{

///

/// //注意了,是8个字符,64位

///

private static string PrivateRsa = ConfigurationManager.AppSettings["PrivateRsa"];

///

/// //注意了,是8个字符,64位

///

private static string PublicRsa = ConfigurationManager.AppSettings["PublicRsa"];

///

/// 加密

///

///

///

public static string Encode(string data)

{

byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);

byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();

int i = cryptoProvider.KeySize;

MemoryStream ms = new MemoryStream();

CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateEncryptor(byKey, byIV), CryptoStreamMode.Write);

StreamWriter sw = new StreamWriter(cst);

sw.Write(data);

sw.Flush();

cst.FlushFinalBlock();

sw.Flush();

return Convert.ToBase64String(ms.GetBuffer(), 0, (int)ms.Length);

}

///

/// 解密

///

///

///

public static string Decode(string data)

{

byte[] byKey = Encoding.ASCII.GetBytes(PrivateRsa);

byte[] byIV = Encoding.ASCII.GetBytes(PublicRsa);

byte[] byEnc;

try

{

byEnc = Convert.FromBase64String(data);

}

catch

{

return null;

}

DESCryptoServiceProvider cryptoProvider = new DESCryptoServiceProvider();

MemoryStream ms = new MemoryStream(byEnc);

CryptoStream cst = new CryptoStream(ms, cryptoProvider.CreateDecryptor(byKey, byIV), CryptoStreamMode.Read);

StreamReader sr = new StreamReader(cst);

return sr.ReadToEnd();

}

}

然后在MyAuthorizeAttribute 加上时间戳验证方法

将DESC签名时间字符串 当作请求传入

如果传入的时间戳小于服务器当前时间  返回false  提示权限不足

如果传入的时间戳大于服务器当前时间  返回true  可以正常访问

完美方案就是将redis中jwtToken设置过期时间    各位兄台希望我补充完整,

请留言--我会及时更新GitHub将这个dmeo补充完整

//请求参数

string requestTime = httpContext.Request["rtime"]; //请求时间经过DESC签名

if (string.IsNullOrEmpty(requestTime))

return false;

//请求时间DESC解密后加上时间戳的时间即该请求的有效时间

DateTime Requestdt = DateTime.Parse(DESCryption.Decode(requestTime)).AddMinutes(int.Parse(TimeStamp));

DateTime Newdt = DateTime.Now; //服务器接收请求的当前时间

if (Requestdt < Newdt)

{

return false;

}

else

{

//进行其他操作

var userinfo = JwtHelp.GetJwtDecode(authHeader);

//举个例子 生成jwtToken 存入redis中

//这个地方用jwtToken当作key 获取实体val 然后看看jwtToken根据redis是否一样

if (userinfo.UserName == "admin" && userinfo.Pwd == "123")

return true;

}

大家还有什么需要了解的新手教程知识点,可以留言给我。我会在三天内给大家写一份简单的教学demo出来

后期ASP.NET API,ASP.NET Core,Java教程都可以。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

weixin_39559469
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt重放攻击_基于JWT数据的防止重放攻击的方法及系统与流程
weixin_39872044的博客
12-19 1065
本发明涉及网络安全技术领域,具体涉及一种基于JWT数据的防止重放攻击的方法及系统。背景技术:目前,网络安全领域的技术方案对重放攻击的重视程度不够,只对JWT数据的过期时间管理,过期后需要用户重新登录。现有的技术方案仅通过控制当前JWT数据由哪个签发者颁布,时间不能晚于某个指定时间,不能早于某个指定时间以预防止重放攻击。现有的技术方案存在以下几个方面的问题:(1)针对不同签发者,签发者之间的JWT数...
JWT + ASP.NET MVC时间戳防止重放攻击详解
10-18
主要给大家介绍了关于JWT + ASP.NET MVC时间戳防止重放攻击发的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
jwt单点登录 和防重放攻击
lunge1234的博客
12-11 2551
Json web token (JWT)(网络令牌), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 三个部分组成 页眉header 有效载荷playload 签名(标签)sign..
JWT安全漏洞以及常见攻击方式
最新发布
baimao__Ch的博客
05-22 404
随着web应用的日渐复杂化,某些场景下,仅使用Cookie、Session等常见的身份鉴别方式无法满足业务的需要,JWT也就应运而生,JWT可以有效的解决分布式场景下的身份鉴别问题,并且会规避掉一些安全问题,如CORS跨域漏洞,CSRF漏洞等。JWT即Json WebToken的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证。使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。
jwt重放攻击_JWT+ASP.NET MVC 时间戳防止重放攻击
weixin_39525255的博客
12-19 116
时间戳作用客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作。如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题。上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作。防篡改一般使用的方式就是把参数拼接,当前项目AppKey,双方约...
JWT重放漏洞如何攻防?你的系统安全吗?
欢迎关注同名公众号,一起探索Java技术的奥秘,共同成长!
04-13 1049
JWT重放漏洞如何攻防?你的系统安全吗?
ASP。NET与MVC5.rar_.net_ASP.NET MVC例子_ASP。NET与MVC5_MVC5_apsx
09-21
ASP.NET MVC5是一个强大的Web应用程序开发框架,由微软公司提供,用于构建动态、数据驱动的Web应用程序。在VS2015环境下,开发者可以利用MVC(Model-View-Controller)设计模式,实现清晰的代码结构,提高代码的可...
asp.net core api+jwt+swagger CRM管理系统 后台接口
11-29
为了实现这些功能,开发者可能使用了ASP.NET Core的Middleware(中间件)来处理JWT的生成和验证,如`Microsoft.AspNetCore.Authentication.JwtBearer`库。同时,Swagger的集成通常通过`Swashbuckle.AspNetCore`库来...
vue+asp.net 小demo
03-17
ASP.NET 提供了多种开发模式,如ASP.NET Core和ASP.NET MVC,支持.NET框架和.NET Core运行时。它可以处理HTTP请求,提供强大的后端服务,支持身份验证、授权和数据库集成等。 3. **整合Vue.js与ASP.NET** 在ASP.NET...
ASP.NET MVC使用ActionFilterAttribute实现权限限制的方法(附demo源码下载)
10-22
ASP.NET MVC框架中,ActionFilterAttribute是一种强大的工具,它允许开发者定义自定义的行为来扩展MVC控制器的行为。本文将深入探讨如何利用ActionFilterAttribute实现权限限制,以便控制用户访问特定的控制器或...
【添加时间戳防止重放攻击
HilaryHe
07-01 1万+
如过客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,虽然第三方无法解密获取其中的数据,但是可以使用该请求包进行重复的请求操作。如果服务端不进行防重放攻击,就会参数服务器压力增大,数据紊乱的后果。而使用添加时间戳的方式可以解决这一问题。 private readonly string TimeStamp = ConfigurationManager.
.NET添加时间戳防止重放攻击
01-03
如过客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,虽然第三方无法解密获取其中的数据,但是可以使用该请求包进行重复的请求操作。如果服务端不进行防重放攻击,就会参数服务器压力增大,数据紊乱的后果。而使用添加时间戳的方式可以解决这一问题。 private readonly string TimeStamp = ConfigurationManager.AppSettings[TimeStamp];//配置时间戳 [HttpPost] public ActionResult TestApi() { string Reque
jwt重放攻击_JWT(Json web token)
weixin_39562197的博客
12-19 659
首先了解一下JWT使用过程:Token 是服务器端在验证客户端user_id/pwd 没问题后, 签发给客户端的, 作为标示该用户的一个令牌, 之后客户端就使用该令牌和服务器端进行交互.Token的根本作用:就一点: 用于服务器端标示是哪个用户的请求JWT 安全吗?基本上很安全, 否则就没有人用了, 具体分析:1. JWT 令牌可以防止信息伪造, 服务器在生成token中的signature部分,...
asp.net mvc使用JWT代替session,实现单点登陆
热门推荐
i李泳谦谦谦谦谦
05-31 1万+
使用JWT取代session,实现单点登陆1. 什么是Token?2. 什么是JWT?3. Token与Session比较传统Session所暴露的问题Token的验证机制4. ASP.NET MVC如何使用jwt实现单点登陆 1. 什么是Token? 什么是token?token可以理解为是一种令牌,常用在计算机身份认证。在与服务器进行数据传输之前,会进行身份核验。 2. 什么是JWT? 什么是...
ASP.NET MVC中可以使用JWT实现登录功能
一个九零后程序猿开发日志
03-24 833
JWT(JSON Web Token)是一种基于标准化的JSON格式的令牌,用于在客户端和服务器之间传递安全信息。JWT包含了用户的身份信息和有效期限等信息,可以确保用户在使用应用程序时的安全性。
Jwt
weixin_45174537的博客
09-06 1572
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 JWT的精髓在于:“去中心化”,数据是保存在客户端的。 2. JWT的工作原理 1、是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:...
jwttoken 解析和时间戳的转换
yz18931904的博客
03-23 910
1、开发工具箱 - JWT 在线解密 (box3.cn) 2、在线时间戳转换工具 (beijing-time.org)
jwt重放攻击_JWT攻击
weixin_39975055的博客
12-19 565
JSON Web Token(JWT)是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范,经常用在跨域身份验证cookie /session /jwt 不同点1.对于一般的cookie,如果我们的加密措施不当,很容易造成信息泄露,甚至信息伪造,这肯定不是我们期望的。2.session:客户端在服务端登陆成功之后,服务端会生成一个sessionID,返回给客户端,客户端将ses...
ASP.NET Core高级之认证与授权(二)--JWT认证前后端完整实现
物联网大联盟
01-10 2554
本文是一个基于JWT认证的完整的前后端实现代码案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值