3

我已经发布了一些关于令牌和密码重置的问题,并最终设法解决了这一切。感谢大家!

因此,在阅读某些字符在查询字符串中不起作用之前,我决定对查询字符串进行哈希处理,但正如您所猜到的那样,加号被去掉了

您如何保护或散列查询字符串?

这是我收到的公司电子邮件的示例,字符串如下所示:

AweVZe-LujiIAuh8i9HiXMCNDIRXfSZYv14o4KX0KywJAGlLklGC1hSw-bJWCYfia-pkBbessPNKtQQ&t=pr&ifl

在我的设置中,我只是使用 GUID。但这有关系吗?

在我的场景中,即使没有 GIUD,用户也无法访问密码页面。那是因为如果查询字符串与会话变量不匹配,页面设置为重定向 onload?

有没有办法处理查询字符串以给出上述结果?

这个问题更多的是关于获取知识。

更新:

这是哈希码:

    public static string QueryStringHash(string input)
    {
        byte[] inputBytes = Encoding.UTF8.GetBytes();
        SHA512Managed sha512 = new SHA512Managed();

        byte[] outputBytes = sha512.ComputeHash(inputBytes);
        return Convert.ToBase64String(outputBytes);
    }

然后我将 HASH (UserID) 传递给 SESSION,然后将其作为查询字符串发送:在下一页上,Session HASH 与导致值不匹配并导致查询字符串无效的查询不同。

注意:我创建了一个名为 Encryption 的类来处理所有的 Hash 和 Encryption。

Session["QueryString"] = Encryption.QueryStringHash(UserID);

Response.Redirect("~/public/reset-password.aspx?uprl=" +
  HttpUtility.UrlEncode(Session["QueryString"].ToString()));

我还尝试了此页面上提到的所有内容,但没有运气:

如何在 C# 中用 %20 替换所有空格

谢谢阅读。

4

2 回答 2

10

问题是 base64 编码使用 '+' 和 '/' 字符,它们在 URL 中具有特殊含义。如果要对查询参数进行 base64 编码,则必须更改这些字符。通常,这是通过将 '+' 和 '/' 分别替换为 '-' 和 '_'(破折号和下划线)来完成的,如RFC 4648中所述。

那么,在你的代码中,你会这样做:

public static string QueryStringHash(string input)
{
    byte[] inputBytes = Encoding.UTF8.GetBytes();
    SHA512Managed sha512 = new SHA512Managed();

    byte[] outputBytes = sha512.ComputeHash(inputBytes);
    string b64 = Convert.ToBase64String(outputBytes);
    b64 = b64.Replace('+', '-');
    return b64.Replace('/', '_');
}

当然,在接收端,在调用从 base 64 转换的方法之前,您需要将“-”和“_”替换为相应的“+”和“/”。

他们建议不要使用填充字符('='),但如果你这样做,它应该是 URL 编码的。如果您始终知道编码字符串的长度,则无需传达填充字符。您可以在接收端添加所需的填充字符。但是如果你可以有可变长度的字符串,那么你将需要填充字符。

每当您看到查询参数中使用 base 64 编码时,它就是这样做的。它无处不在,也许最常见于 YouTube 视频 ID。

于 2013-06-10T20:51:40.277 回答
1

在我必须在查询字符串中传递哈希之前,我做了一些事情。正如您所经历的那样,Base 64 与 URL 混合时可能会非常讨厌,因此我决定将其作为十六进制字符串传递。它有点长,但更容易处理。这是我的做法:

首先是一种将二进制转换为十六进制字符串的方法。

    private static string GetHexFromData(byte[] bytes)
    {
        var output = new StringBuilder();
        foreach (var b in bytes)
        {
            output.Append(b.ToString("X2"));
        }
        return output.ToString();
    }

然后反向将十六进制字符串转换回二进制。

    private static byte[] GetDataFromHex(string hex)
    {
        var bytes = new List<byte>();
        for (int i = 0; i < hex.Length; i += 2)
        {
            bytes.Add((byte)int.Parse(hex.Substring(i, 2), System.Globalization.NumberStyles.HexNumber));
        }
        return bytes.ToArray();
    }

或者,如果您只需要验证哈希是否相同,只需将两者都转换为十六进制字符串并比较字符串(不区分大小写)。希望这可以帮助。

于 2013-06-10T19:53:17.630 回答