我有一个传统的 ASP.NET 应用程序,我想迁移到 ASP.NET 5 (vNext)。我这样做是一种学习练习。
我当前的应用程序使用基于表单的身份验证。但是,我想使用 OAuth。我正在查看Security module 并且很好奇 OAuth 应该使用什么。我看到Microsoft.AspNet.Authentication.OAuth 和Microsoft.AspNet.Authentication.OAuthBearer 的选项。
其中哪些用于让用户登录?
有谁知道展示这些操作的示例/示例?
【问题讨论】:
标签: c# asp.net oauth asp.net-core asp.net-core-mvc
Microsoft.AspNet.Authentication.OAuth
一旦您的用户通过第三方身份验证,OWIN 中间件就会读取他们的 OAuth cookie 并创建一个特定于域的基于声明的 cookie。只要 cookie 可用(存在、未过期和未损坏),您的用户就会保持身份验证。
An introduction to the ASP.NET 5 Generic OAuth Provider
Microsoft.AspNet.Authentication.OAuthBearer
创建不记名令牌。当用户登录到一个端点(Web-API),或被第三方认证时,OWIN 中间件返回一个不记名令牌。不记名令牌与所有服务请求一起发送,以代替 Cookie 来识别您的用户。
在启动中
app.UseOAuthBearerAuthentication(options =>
{
options.Authority = "http://localhost:5000/oauth/";
options.Audience = "http://localhost:5000/oauth/resources";
options.TokenValidationParameters = new TokenValidationParameters
{
IssuerSigningKeys = new[] { new X509SecurityKey(cert) },
ValidateLifetime = false,
};
options.AutomaticAuthentication = true;
options.SecurityTokenValidators = new[]
{
new JwtSecurityTokenHandler()
};
});
不记名令牌用于创建 SPA(单页应用程序)或保护 AJAX 请求。
Cookie 身份验证被认为足以满足服务器请求。但是服务端点(无论它们是否允许 Cross Origin Resource Sharing)更容易受到攻击CSRF 和 XSS 攻击。
许多应用程序同时使用这两种方法:
一种常见的做法是对页面请求使用 cookie 身份验证,对 AJAX 请求使用不记名令牌。
您需要区分使用 cookie 的资源和使用令牌的资源。
在这个Stackoverflow answer 中,Matt DeKrey 很好地概述了他的实现,利用
[Authorize("Bearer")]
对于应该使用不记名令牌而不是基于标准 cookie 的 [Authorize] 属性的控制器或方法。
许多应用程序仅依赖 Cookie:
在依赖 cookie 时,您的应用程序对 CSRF 攻击的脆弱性如何?这是值得商榷的。许多网站仅依靠 cookie,从不遇到问题。答案可能更多取决于您的流量级别和安全需求。
如果您正在为数以万计的用户开发网站,那么依靠 cookie 可能是安全的。
如果您要为数百万用户提供服务或保护重要的财务数据,您的异步调用应该依赖不记名令牌。
注意:您提到使用表单身份验证,我强烈建议使用 Identity。该框架与 OWIN 开箱即用地集成,为您提供两种类型的功能。
【讨论】: