如何使用 Thinktecture IdentityModel 令牌防止重放攻击？答案

【问题标题】：How do you prevent replay attacks with Thinktecture IdentityModel token?如何使用 Thinktecture IdentityModel 令牌防止重放攻击？
【发布时间】：2013-12-07 23:06:46
【问题描述】：

我在不同的域上有两个站点。我正在使用 Thinktecture IdentityModel 实现 SSO。

用户登录站点 A。在某个时候，他们单击链接将他们带到站点 B。站点 A 使用 JWT 令牌将用户重定向到站点 B/Login.aspx?token=。然后站点 B 通过调用站点 A 上的 API 对用户进行身份验证来验证令牌。如果通过身份验证，用户将自动登录到站点 B。

默认情况下，Thinktecture 令牌持续 10 小时，无法杀死令牌（据我所知）。如果用户退出站点，令牌仍然有效。我可以查看浏览器历史记录并获取“Login.aspx?token=” url 并自动重新登录。有没有办法在用户注销时杀死所有用户令牌？令牌不应该作为查询字符串的一部分传递吗？防止重放攻击的最佳方法是什么？

【问题讨论】：

好吧 - 与其提出自己的手动 SSO 协议 - 为什么不使用一些标准的东西（如 WS-Fed 或 OpenID Connect）并从他们的威胁模型和缓解技术中受益？跨度>
Thinktecture 是否支持联合注销或取消安全令牌？
WS-Federation 直接内置在 .NET 4.5 中，包括注销 - Thinktecture 不是协议 - 只是一个辅助库。

标签： asp.net security asp.net-web-api thinktecture-ident-server thinktecture-ident-model

【解决方案1】：

正如@leastprivilege 对您的问题所评论的那样，您只需将两个站点定义为信任相同 IDP 的 RP（依赖方）即可轻松实现两个站点的 SSO。这当然会简化您的身份验证解决方案架构。

话虽如此，使用 WS-Fed 的被动身份验证仍然容易受到重放攻击。尽管令牌已发布到您的网站，但在您的浏览器上点击几次“返回”（即使在退出后）也会将令牌重新发布到您的网站并让用户重新登录。

幸运的是，WIF 有办法缓解这种攻击。通过配置：

    <identityConfiguration>
     .......
 <tokenReplayDetection enabled="true" />
     .....
    </identityConfiguration>

然后，Wif 将使用过的令牌缓存在服务器上，并确保它只使用一次。（如果检测到重放攻击，则会引发适当的异常SecurityTokenReplayDetectedException）。

这个缓存当然不会在进程回收后继续存在，并且在网络农场场景中是不够的。如果您还想在这些场景中减轻这种攻击，您将需要某种分布式和持久缓存。

我实现了一个a contribution to Thinktecture.IdentityModel，你可以看看并使用它。

【讨论】：

这个设置在哪里？我想你刚刚描述了我未经授权的错误的原因。
@PeterWone 此设置位于 system.identityModel 下的 web.config - Windows Identity Foundation (WIF) 配置下。

【解决方案2】：

听起来像 POST 令牌应该可以解决问题，至少在您描述的这个最明显的场景中。没有使用过 JWT 令牌，但通常会发布 SAML 令牌。我敢打赌，服务器也可以配置为发布 jwt 令牌。

【讨论】：