JWT加密解密
2024-09-06 00:16:29
如何保证WebAPI的安全?
1、JWT加密解密。token
2、使用https传输协议。
3、把用户所有请求的参数信息加上一个只有服务器端知道的secret,做个散列运算,然后到了服务器端,服务器端也做一个散列运算。如果散列值是一样的,那就表示没被篡改。
4、在业务逻辑上进行保护。(检查访问者是否有权限来实现一些操作。这点是最主要的,前面3的未必能够100%保证安全)
JWT由三部分组成(Header,Payload,Signature),可以把用户名、密码等保存到Payload部分。
Header:base64enc({ "alg":"HS256","TYPE":"JWT"}) // eyAiYWxnIjoiSFMyNTYiLCJUWVBFIjoiSldUIn0=
Payload:base64enc({"user":"vichin","pwd":"weichen123"}) //用户的关键信息 eyJ1c2VyIjoidmljaGluIiwicHdkIjoid2VpY2hlbjEyMyJ9
Signature:HMACSHA256(base64enc(header)+","+base64enc(payload),secretKey)
Header和Payload部分使用的是Base64编码,几乎等于明文,Signature部分是根据header+payload+secretKey进行加密算出来的,如果Payload被篡改,就可以根据Signature解密时候校验。
首先需要添加引用
install-package JWT (3.0.1支持 .net framework 3.5,3.0.2需要.net 4.6.2)。
public void AddSecret()
{
double exp = (DateTime.UtcNow.AddSeconds() - new DateTime(, , )).TotalSeconds;//10秒过期
var payload = new Dictionary<string, object>
{
{"UserID",},
{"UserName","admin"},
{ "exp",exp}//过期时间的key必须叫exp
};
string secret = "";//不能泄露的key
IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
IJsonSerializer serialer = new JsonNetSerializer();
IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
IJwtEncoder encoder = new JwtEncoder(algorithm, serialer, urlEncoder);
string token = encoder.Encode(payload, secret);
textBox1.Text = token;
}
public void SubSecret(string token)
{
//string token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySUQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.OR0lZOfbQr7D2wnY_m44tX9DOoNmDWV-6X53_ZZGJAs";
var secret = ""; //不能泄露的key
try
{
IJsonSerializer serializer = new JsonNetSerializer();
IDateTimeProvider provider = new UtcDateTimeProvider();
IJwtValidator validator = new JwtValidator(serializer, provider);
IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);
var json = decoder.Decode(token, secret, verify: true);
}
catch (TokenExpiredException)
{
MessageBox.Show("Token has expired");
}
catch (SignatureVerificationException)
{
MessageBox.Show("签名验证失败,数据可能被篡改");
}
}
最新文章
- Java注解和代理实现
- Unity3D-坐标转换笔记
- LBS上传到百度地图
- jquery extend中
- HDU 2845 Beans (DP)
- LoadRunner11_录制Oracle数据库脚本
- Android长按事件和点击事件问题处理,OnItemLongClickListener和OnItemClickListener冲突问题
- abp中文件下载,将内存数据导出到Excel并下载
- Dynamics 365 Online用户密码三问及其解答
- DirectX11 With Windows SDK--17 利用几何着色器实现公告板效果
- Python之PIL库的运用、GIF处理h
- spring入门——applicationContext与BeanFactory的区别
- Python 入门基础5 --元组、字典、集合
- A+B+C问题
- Codeforces 799B - T-shirt buying(STL)
- vue.js 源代码学习笔记 ----- core lifecycle
- 格式化JavaScript代码
- (8)go 字符串
- 码云平台, Git提交需要输入用户名/密码, 怎么办
- Redis搭建(一):单实例