Jak osiągnąć bezpieczne kodowanie adresu URL Base64 w C #?

105

Chcę osiągnąć bezpieczne kodowanie adresu URL Base64 w C #. W Javie mamy wspólną Codecbibliotekę, która daje mi bezpieczny zakodowany łańcuch. Jak mogę osiągnąć to samo za pomocą C #?

byte[] toEncodeAsBytes = System.Text.ASCIIEncoding.ASCII.GetBytes("StringToEncode");
string returnValue = System.Convert.ToBase64String(toEncodeAsBytes);

Powyższy kod konwertuje go na Base64, ale wypełnia ==. Czy istnieje sposób na zapewnienie bezpiecznego kodowania adresów URL?

c# encoding base64

— Vishvesh Phadnis
źródło

Nie możesz po prostu użyć Url.Encodena sznurku BASE64?

W której klasie Url przestrzeni nazw jest obecna w języku C #?

— Vishvesh Phadnis,

Spójrz: msdn.microsoft.com/en-us/library/… Musisz odwołać się do System.Webzestawu.

Konwertuje = na% 3D. Nie chcę tego.

— Vishvesh Phadnis

3

Więc co masz na myśli url safe? %3Djest bezpieczny dla adresu URL.

182

Zwykle po prostu zamienia się alfabet na potrzeby adresów URL, dzięki czemu nie jest konieczne kodowanie%; tylko 3 z 65 znaków są problematyczne - +, /i =. Najczęstszym zamienniki są -na miejscu +i _na miejscu /. Co do wyściółki: wystarczy ją usunąć (the =); można wywnioskować ilość potrzebnej wyściółki. Z drugiej strony: po prostu odwróć proces:

string returnValue = System.Convert.ToBase64String(toEncodeAsBytes)
        .TrimEnd(padding).Replace('+', '-').Replace('/', '_');

z:

static readonly char[] padding = { '=' };

i odwrócić:

string incoming = returnValue
    .Replace('_', '/').Replace('-', '+');
switch(returnValue.Length % 4) {
    case 2: incoming += "=="; break;
    case 3: incoming += "="; break;
}
byte[] bytes = Convert.FromBase64String(incoming);
string originalText = Encoding.ASCII.GetString(bytes);

Jednak interesujące pytanie brzmi: czy jest to to samo podejście, którego używa „biblioteka wspólnych kodeków”? Z pewnością rozsądnie byłoby najpierw przetestować - to dość powszechne podejście.

— Marc Gravell
źródło

1

W Common Codec używają znaku [0-9a-zA-Z_-] dla trybu bezpiecznego adresu URL.

— Vishvesh Phadnis

jest to również wspomniane na stronie wiki dla Base64 w aplikacjach URL. en.wikipedia.org/wiki/Base64

— wonster

2

Masz również tę funkcję „ stackoverflow.com/questions/1886686/… ”, która wykonuje całą ciężką pracę za Ciebie.

— toy4fun

1

Dlaczego nie potrzebujemy: przypadek 1: przychodzące + = "==="; przerwa; ?

— alex da franca

5

@alexdafranca, ponieważ nigdy nie będzie miał długości mod 4 z 1. 3x8 bitów stanie się 4x6 bitów (a każde 6 bitów to jeden z 64 znaków w wybranym alfabecie), 0x8 bitów jest kodowane jako 0x6 bitów bez wypełnienia, 1x8 bitów jest kodowane jako 2x6 bitów z ==dopełnieniem, 2x8 jest kodowane jako 3x6 z =dopełnieniem, 3x8 jest kodowane jako 4x6 bez dopełnienia, a następnie jest wyrównane, aby się powtarzało. Nic nie jest nigdy kodowane do bitów 1x6, więc nigdy nie potrzebujesz ===dopełniania.

— George Helyar

83

Możesz użyć klasy Base64UrlEncoderz przestrzeni nazw Microsoft.IdentityModel.Tokens.

const string StringToEncode = "He=llo+Wo/rld";

var encodedStr = Base64UrlEncoder.Encode(StringToEncode);
var decodedStr = Base64UrlEncoder.Decode(encodedStr);

if (decodedStr == StringToEncode)
    Console.WriteLine("It works!");
else
    Console.WriteLine("Dangit!");

— Jerome
źródło

1

Jest to o wiele czystsze niż zaakceptowana odpowiedź. Jakieś wady?

— taktak004

18

Tylko uwaga: Microsoft.IdentityModel.Tokens to pakiet NuGet, który należy pobrać.

— Uber Schnoz

Zakładam, że nie jest to platforma wieloplatformowa. Czy tak jest?

— Brandon S.

24

Inną opcją, jeśli używasz ASP.NET Core, byłoby użycie Microsoft.AspNetCore.WebUtilities.WebEncoders.Base64UrlEncode.

Jeśli nie używasz ASP.NET Core źródłowy jest dostępny pod Apache 2.0 License .WebEncoders

— Kevinoid
źródło

8

Opierając się na odpowiedziach tutaj z pewnymi ulepszeniami wydajności, opublikowaliśmy bardzo łatwą w użyciu implementację base64 z bezpiecznym adresem URL w NuGet z kodem źródłowym dostępnym w GitHub (na licencji MIT).

Użycie jest tak proste, jak

var bytes = Encoding.UTF8.GetBytes("Foo");
var encoded = UrlBase64.Encode(bytes);
var decoded = UrlBase64.Decode(encoded);

— Mahmoud Al-Qudsi
źródło

Niesamowite dziękuję. W interesie, dlaczego zdecydowałeś się na "string".Replacetę encodemetodę, ale pętla z ręcznym zastąpieniem decode?

— ᴍᴀᴛᴛ ʙᴀᴋᴇʀ

@ ᴍᴀᴛᴛʙᴀᴋᴇʀ Muszę wrócić do tego i przeprowadzić testy porównawcze, ale to dlatego, że dodajemy do tego ostatniego, więc jest reprezentowany przez rosnącą listę znaków zamiast niezmiennego ciągu.

— Mahmoud Al-Qudsi,

Inna klasa z return type = string zamiast: github.com/vndevpro/architecture-common/blob/master/…

— hazjack,

8

Aby uzyskać bezpieczne kodowanie w formacie base64, ale nie „base64url” zgodnie z RFC4648, użyj System.Web.HttpServerUtility.UrlTokenEncode(bytes)do kodowania i System.Web.HttpServerUtility.UrlTokenDecode(bytes)dekodowania.

— Karanvir Kang
źródło

6

Nie zapewnia to zgodnego ze standardami kodowania Base64 bezpiecznego dla adresów URL zgodnie z RFC4648. Zobacz także te pytania i odpowiedzi . Używaj ostrożnie.

— Artjom B.

1

Najprostsze rozwiązanie: (bez wypełnienia)

private static string Base64UrlEncode(string input) {
    var inputBytes = System.Text.Encoding.UTF8.GetBytes(input);
    // Special "url-safe" base64 encode.
    return Convert.ToBase64String(inputBytes)
      .Replace('+', '-') // replace URL unsafe characters with safe ones
      .Replace('/', '_') // replace URL unsafe characters with safe ones
      .Replace("=", ""); // no padding
  }

Kredyt trafia do: Tholle

— Ashi
źródło

0

Oto inna metoda dekodowania bezpiecznego adresu URL base64, który został zakodowany w ten sam sposób z Markiem. Po prostu nie rozumiem, dlaczego4-length%4 zadziałało (działa).

Jak poniżej, tylko długość bitu początku jest wspólną wielokrotnością 6 i 8, base64 nie dodaje „=” do wyniku.

1 2 3 4 5 6 7 8|1 2 3 4 5 6 7 8|1 2 3 4 5 6 7 8 
1 2 3 4 5 6|1 2 3 4 5 6|1 2 3 4 5 6|1 2 3 4 5 6
                "=="            "="

Możemy więc zrobić to na odwrót, jeśli długość bitu wyniku nie może być podzielna przez 8, została dodana:

base64String = base64String.Replace("-", "+").Replace("_", "/");
var base64 = Encoding.ASCII.GetBytes(base64String);
var padding = base64.Length * 3 % 4;//(base64.Length*6 % 8)/2
if (padding != 0)
{
    base64String = base64String.PadRight(base64String.Length + padding, '=');
}
return Convert.FromBase64String(base64String);

— joyjy
źródło

0

Korzystanie z aparatu kryptograficznego firmy Microsoft na platformie UWP.

uint length = 32;

IBuffer buffer = CryptographicBuffer.GenerateRandom(length);
string base64Str = CryptographicBuffer.EncodeToBase64String(buffer)
                   // ensure url safe
                   .TrimEnd('=').Replace('+', '-').Replace('/', '_');

return base64Str;

— wisk
źródło

0

Odpowiedź Karanvira Kanga jest dobra i głosowałem za nią. Jednak na końcu ciągu pozostawia nieparzysty znak (wskazujący liczbę usuniętych znaków wypełniających). Oto moje rozwiązanie.

var bytesToEncode = System.Text.Encoding.UTF8.GetBytes("StringToEncode"); 
var bytesEncodedPadded = HttpServerUtility.UrlTokenEncode(bytesToEncode);
var objectIdBase64 = bytesEncodedPadded.Substring(0, bytesEncodedPadded.Length - 1);

— Joshcodes
źródło