JWT加密解密

如何保证WebAPI的安全?
1、JWT加密解密。token
2、使用https传输协议。
3、把用户所有请求的参数信息加上一个只有服务器端知道的secret,做个散列运算,然后到了服务器端,服务器端也做一个散列运算。如果散列值是一样的,那就表示没被篡改。
4、在业务逻辑上进行保护。(检查访问者是否有权限来实现一些操作。这点是最主要的,前面3的未必能够100%保证安全)


JWT由三部分组成(Header,Payload,Signature),可以把用户名、角色等无关紧要的信息保存到Payload部分。

Header:base64enc({ "alg":"HS256","TYPE":"JWT"})  // eyAiYWxnIjoiSFMyNTYiLCJUWVBFIjoiSldUIn0=

Payload:base64enc({"user":"vichin","pwd":"weichen123"})  //用户的关键信息 eyJ1c2VyIjoidmljaGluIiwicHdkIjoid2VpY2hlbjEyMyJ9

Signature:HMACSHA256(base64enc(header)+","+base64enc(payload),secretKey)

Header和Payload部分使用的是Base64编码,几乎等于明文,Signature部分是根据header+payload+secretKey进行加密算出来的,如果Payload被篡改,就可以根据Signature解密时候校验。

 

首先需要添加引用

install-package JWT (3.0.1支持 .net framework 3.5,3.0.2需要.net 4.6.2)。

复制代码
        public void AddSecret()
        {
            double exp = (DateTime.UtcNow.AddSeconds(10) - new DateTime(1970, 1, 1)).TotalSeconds;//10秒过期
            var payload = new Dictionary<string, object>
            {
                {"UserID",123},
                {"UserName","admin"},
                { "exp",exp}//过期时间的key必须叫exp
            };
            string secret = "123456789";//不能泄露的key
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serialer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serialer, urlEncoder);
            string token = encoder.Encode(payload, secret);
            textBox1.Text = token;
        }
复制代码

 

复制代码
        public void SubSecret(string token)
        {
            //string token = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJVc2VySUQiOjEyMywiVXNlck5hbWUiOiJhZG1pbiJ9.OR0lZOfbQr7D2wnY_m44tX9DOoNmDWV-6X53_ZZGJAs";
            var secret = "123456789"; //不能泄露的key
            try
            {
                IJsonSerializer serializer = new JsonNetSerializer();
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);
                var json = decoder.Decode(token, secret, verify: true);                
            }
            catch (TokenExpiredException)
            {
                MessageBox.Show("Token has expired");
            }
            catch (SignatureVerificationException)
            {
                MessageBox.Show("签名验证失败,数据可能被篡改");
            }
        }
复制代码

 

posted @   水墨晨诗  阅读(22276)  评论(12编辑  收藏  举报
努力加载评论中...
点击右上角即可分享
微信分享提示