asp.net-mvc – ASP.Net MVC和WebAPI加密

前端之家收集整理的这篇文章主要介绍了asp.net-mvc – ASP.Net MVC和WebAPI加密前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我想利用某种形式的“简单”加密,这种加密相当安全,但对开发过程的影响非常低.

假设我在客户端中拥有对话的双方<>网络服务情况.我的应用程序是Windows phone / win8 / silverlight /桌面应用程序,服务器是ASP.Net MVC或WebAPI.

在我看来,我想要一些简单的事情: –

  1. <security encryption="off|sometype|someothertype">
  2. <privatekey>12345MyKey54321</privatekey>
  3. </security>

作为客户端和服务器上的某种形式的配置参数.此外,身份验证例程将返回并存储某种形式的公钥.

这样做将启用“加密模式”并导致任何http请求被加密和放大.使用提供的键以选定的方式进行散列.如果没有密钥和解密方法,最终结果是在本地,代理或远程计算机上嗅到的任何东西都将无法查看数据.在服务器上,在执行控制器操作之前,使用相同的密钥对数据进行解密.

比换出的HttpRequest / WebClient的呼吁像EncryptedHttpRequest并增加对事物的MVC /侧的WebAPI适当挂钩,所有其他的客户端代码和控制器动作将是无知的事实数据进行加密.

我错过了什么或者设置不是这么简单吗?就我所搜索的而言,没有任何东西可以提供这种简洁程度,所以我认为我在逻辑中缺少一些差距?

解决方法

我成功完成了这个.它并不太难,效果很好.我用它来激活产品的许可证.最重要的是,您真正控制客户端和服务器 – 没有人可以从客户端的代码提取您的私钥.

步骤1:创建不带参数的MVC控制器操作方法

  1. [HttpPost] public ActionResult Activate() { ... }

步骤2:在控制器中,只需使用HttpRequest.InputStream来获取客户端发送的字节数.

var stream = this.HttpContext.Request.InputStream;

步骤3:创建CryptoStream以反序列化.

我已经在这里创建了加密和解密示例. sharedSecret是一个足够长度(512字节)随机字节的byte [] – 这是你保护的!

  1. public CryptoStream CreateEncryptionStream(Stream writeStream)
  2. {
  3. TripleDESCryptoServiceProvider cryptoProvider = new TripleDESCryptoServiceProvider();
  4. PasswordDeriveBytes derivedBytes = new PasswordDeriveBytes(this._sharedSecret,null);
  5. CryptoStream cryptoStream = new CryptoStream(writeStream,cryptoProvider.CreateEncryptor(derivedBytes.GetBytes(16),derivedBytes.GetBytes(16)),CryptoStreamMode.Write);
  6. return cryptoStream;
  7. }
  8.  
  9. public CryptoStream CreateDecryptionStream(Stream readStream)
  10. {
  11. TripleDESCryptoServiceProvider cryptoProvider = new TripleDESCryptoServiceProvider();
  12. PasswordDeriveBytes derivedBytes = new PasswordDeriveBytes(this._sharedSecret,null);
  13. CryptoStream cryptoStream = new CryptoStream(readStream,cryptoProvider.CreateDecryptor(derivedBytes.GetBytes(16),CryptoStreamMode.Read);
  14. return cryptoStream;
  15. }

第4步:使用您的CryptoStream另一个流阅读器进行解密.

我使用XmlReader,以便我所有现有的序列化代码都可以清除(在读取/写入服务器上的磁盘或数据库时)或加密(发送时).

  1. using (var reader = XmlReader.Create(decryptionStream,settings)) { ... }

第5步:在控制器中制定安全响应.

这与步骤1-4相反,以加密您的响应对象.然后,您只需将加密的响应写入内存流并将其作为文件结果返回.下面,我已经展示了如何为我的许可响应对象执行此操作.

  1. var responseBytes = GetLicenseResponseBytes(licenseResponse);
  2. return File(responseBytes,"application/octet-stream");
  3.  
  4. private byte[] GetLicenseResponseBytes(LicenseResponse licenseResponse)
  5. {
  6. if (licenseResponse != null)
  7. {
  8. using (MemoryStream memoryStream = new MemoryStream())
  9. {
  10. this._licenseResponseSerializer.Write(memoryStream,licenseResponse);
  11.  
  12. return memoryStream.ToArray();
  13. }
  14. }
  15. return null;
  16. }

第6步:实施客户端请求响应.

您可以使用HttpWebRequest或WebClient类来制定请求.以下是我使用的代码中的几个示例.

  1. byte[] postBytes = GetLicenseRequestBytes(licenseRequest);
  2. HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create(licenseServerUrl);
  3. request.Method = "POST";
  4. request.ContentType = "application/octet-stream";
  5. request.Proxy = WebRequest.DefaultWebProxy;
  6. using (Stream requestStream = request.GetRequestStream())
  7. {
  8. requestStream.Write(postBytes,postBytes.Length);
  9. }
  10. return request;
  11.  
  12. private LicenseResponse ProcessHttpResponse(HttpWebResponse response)
  13. {
  14. if ((response.StatusCode == HttpStatusCode.OK) && response.ContentType.Contains("application/octet-stream"))
  15. {
  16. var stream = response.GetResponseStream();
  17. if (stream != null)
  18. {
  19. var licenseResponse = this._licenseResponseSerializer.Read(stream);
  20. return licenseResponse;
  21. }
  22. }
  23. return new LicenseResponse(LicensingResult.Error);
  24. }

摘要提示

>使用客户端和服务器上的请求/响应中的流来传递二进制八位字节流数据>使用CryptoStream和加密算法(考虑使用最强的加密功能)和一个好的私钥来在序列化/反序列化时加密数据.>确保检查大小并将所有传入数据格式化到客户端和服务器(避免缓冲区溢出并尽早抛出异常)>如果可能,使用模糊处理保护客户端上的私钥(请查看DeepSea obfustactor)

猜你在找的asp.Net相关文章