asp.net-mvc – ASP.Net MVC和WebAPI加密
我想利用某种形式的“简单”加密,这种加密相当安全,但对开发过程的影响非常低.
假设我在客户端中拥有对话的双方<>网络服务情况.我的应用程序是Windows phone / win8 / silverlight /桌面应用程序,服务器是ASP.Net MVC或WebAPI. 在我看来,我想要一些简单的事情: – <security encryption="off|sometype|someothertype"> <privatekey>12345MyKey54321</privatekey> </security> 作为客户端和服务器上的某种形式的配置参数.此外,身份验证例程将返回并存储某种形式的公钥. 这样做将启用“加密模式”并导致任何http请求被加密和放大.使用提供的键以选定的方式进行散列.如果没有密钥和解密方法,最终结果是在本地,代理或远程计算机上嗅到的任何东西都将无法查看数据.在服务器上,在执行控制器操作之前,使用相同的密钥对数据进行解密. 比换出的HttpRequest / WebClient的呼吁像EncryptedHttpRequest并增加对事物的MVC /侧的WebAPI适当挂钩,所有其他的客户端代码和控制器动作将是无知的事实数据进行加密. 我错过了什么或者设置不是这么简单吗?就我所搜索的而言,没有任何东西可以提供这种简洁程度,所以我认为我在逻辑中缺少一些差距? 解决方法
我成功完成了这个.它并不太难,效果很好.我用它来激活产品的许可证.最重要的是,您真正控制客户端和服务器 – 没有人可以从客户端的代码中提取您的私钥.
步骤1:创建不带参数的MVC控制器操作方法: [HttpPost] public ActionResult Activate() { ... } 步骤2:在控制器中,只需使用HttpRequest.InputStream来获取客户端发送的字节数. var stream = this.HttpContext.Request.InputStream; 步骤3:创建CryptoStream以反序列化. 我已经在这里创建了加密和解密示例. sharedSecret是一个足够长度(512字节)随机字节的byte [] – 这是你保护的! public CryptoStream CreateEncryptionStream(Stream writeStream) { TripleDESCryptoServiceProvider cryptoProvider = new TripleDESCryptoServiceProvider(); PasswordDeriveBytes derivedBytes = new PasswordDeriveBytes(this._sharedSecret,null); CryptoStream cryptoStream = new CryptoStream(writeStream,cryptoProvider.CreateEncryptor(derivedBytes.GetBytes(16),derivedBytes.GetBytes(16)),CryptoStreamMode.Write); return cryptoStream; } public CryptoStream CreateDecryptionStream(Stream readStream) { TripleDESCryptoServiceProvider cryptoProvider = new TripleDESCryptoServiceProvider(); PasswordDeriveBytes derivedBytes = new PasswordDeriveBytes(this._sharedSecret,null); CryptoStream cryptoStream = new CryptoStream(readStream,cryptoProvider.CreateDecryptor(derivedBytes.GetBytes(16),CryptoStreamMode.Read); return cryptoStream; } 第4步:使用您的CryptoStream另一个流阅读器进行解密. 我使用XmlReader,以便我所有现有的序列化代码都可以清除(在读取/写入服务器上的磁盘或数据库时)或加密(发送时). using (var reader = XmlReader.Create(decryptionStream,settings)) { ... } 第5步:在控制器中制定安全响应. 这与步骤1-4相反,以加密您的响应对象.然后,您只需将加密的响应写入内存流并将其作为文件结果返回.下面,我已经展示了如何为我的许可响应对象执行此操作. var responseBytes = GetLicenseResponseBytes(licenseResponse); return File(responseBytes,"application/octet-stream"); private byte[] GetLicenseResponseBytes(LicenseResponse licenseResponse) { if (licenseResponse != null) { using (MemoryStream memoryStream = new MemoryStream()) { this._licenseResponseSerializer.Write(memoryStream,licenseResponse); return memoryStream.ToArray(); } } return null; } 第6步:实施客户端请求响应. 您可以使用HttpWebRequest或WebClient类来制定请求.以下是我使用的代码中的几个示例. byte[] postBytes = GetLicenseRequestBytes(licenseRequest); HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(licenseServerUrl); request.Method = "POST"; request.ContentType = "application/octet-stream"; request.Proxy = WebRequest.DefaultWebProxy; using (Stream requestStream = request.GetRequestStream()) { requestStream.Write(postBytes,postBytes.Length); } return request; private LicenseResponse ProcessHttpResponse(HttpWebResponse response) { if ((response.StatusCode == HttpStatusCode.OK) && response.ContentType.Contains("application/octet-stream")) { var stream = response.GetResponseStream(); if (stream != null) { var licenseResponse = this._licenseResponseSerializer.Read(stream); return licenseResponse; } } return new LicenseResponse(LicensingResult.Error); } 摘要和提示 >使用客户端和服务器上的请求/响应中的流来传递二进制八位字节流数据>使用CryptoStream和加密算法(考虑使用最强的加密功能)和一个好的私钥来在序列化/反序列化时加密数据.>确保检查大小并将所有传入数据格式化到客户端和服务器(避免缓冲区溢出并尽早抛出异常)>如果可能,使用模糊处理保护客户端上的私钥(请查看DeepSea obfustactor) (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
- asp.net-mvc-3 – MVC3,Unity Framework和Per Session Life
- asp.net – 进度条不是一个功能
- 集训第六天:文件上传漏洞
- 优化 – 字典/客户端VS应用程序变量
- 晚绑定场景下对象属性赋值和取值可以不需要PropertyInfo
- Asp.NET Core+ABP框架+IdentityServer4+MySQL+Ext JS之文章
- Asp.net 5 MVC 6,添加facebook电子邮件的权限
- 如何为新项目决定WebForms vs ASP.NET MVC 3?
- asp.net-mvc – ASP.Net MVC 3 – HandleError属性中的顺序
- asp.net-mvc – MVC中Ninject的适当存储库LifeCycle Scope
- asp.net-mvc-3 – mvc3在另一个内部嵌入了局部视
- asp.net – 为MVC3应用程序中的某些操作启用并要
- 如何在asp.net gridview中设置行之间水平线的颜色
- asp.net – Ajax上的Identity Server 3 – 401而
- asp.net – 通过嵌套母版页从内容页面访问body元
- ASP.NET性能优化之构建自定义文件缓存
- asp.net – 如何显示更好的错误:“从客户端检测
- asp.net – 无法将’System.Web.Profile.Default
- asp.net – 衡量Web请求和响应的大小
- asp.net-mvc-2 – Asp.net Mvc显示String的模板,