IdentityModelEventSource 有一个名为ShowPII 的属性,这意味着个人身份信息将被添加到日志中(与安全相关)。该值用于决定何时记录一些 OAuth2 敏感数据。
我正在尝试了解将记录什么样的个人身份信息:
我知道它无法访问用户名和密码,因为它们只与 IDP 直接交换。
但是我需要知道是否需要找到一种方法来锁定我的日志文件,因为它会包含构成安全漏洞的数据。
【问题讨论】:
标签: asp.net-core oauth-2.0 openid-connect .net-standard .net-standard-2.0
这可能是IdentityModel的日志消息:LogMessages.cs
关于
我正在尝试了解将记录什么样的个人身份信息
我不会从那里复制粘贴日志消息(尤其是因为它们随时可能更改)。您可以自己检查它们并决定应该将什么视为 PII。
但这里有一个有趣的例子:
"IDX10615: Encryption failed. No support for: Algorithm: '{0}', SecurityKey: '{1}'."
而this是如何使用的:
throw LogHelper.LogExceptionMessage(new SecurityTokenEncryptionFailedException(LogHelper.FormatInvariant(TokenLogMessages.IDX10615, encryptingCredentials.Enc, encryptingCredentials.Key)));
如果您跟踪跟踪,您会发现如果ShowPII = true 将记录encryptingCredentials.Key,如果ShowPII = false 将不会记录ShowPII = false。
当然,根据您的使用情况,此特定消息可能永远不会出现在您的日志中。并不是所有的消息都泄露得如此离谱。但你永远不知道:
那么
如果我需要找到锁定日志文件的方法
是的,你绝对需要。
或者更好 - 不要在生产环境中使用 ShowPII = true 进行监控,仅在开发环境中使用它来进行调试。
【讨论】:
SecurityKey.ToString() 被实现为仅呈现键类型和一些 ID。 (JsonWebKey 扩展了这个,但它仍然不记录实际的关键数据。)
查看the source,似乎当ShowPII 开启时 - 它会做两件事:
在这种情况下,“库特定”是 is of type Exception and its full type name starts with "Microsoft.IdentityModel." 的一个例外(库定义了一些)
根据您的用例,您会看到可以记录自定义异常的各种参数。 quick search for FormatInvariant 会产生很多供您考虑。
同样,根据您的使用方式,您可以通过查看特定命名空间中的相关 LogMessages.cs 文件来更好地了解错误消息的含义。
P.S.:附带说明一下,默认 ShowPII 设置 is GDPR-compliant
【讨论】: