问题
如何在ASP.NET Core Web应用程序中使用自定义成员身份验证实现基本身份验证?
注
在MVC 5中,我正在使用文章中的指示,需要在
WebConfig中添加模块。我仍然将我的新的
MVC Core应用程序部署在IIS上,但这种方法似乎无效。我也不想使用IIS的内置基本身份验证支持,因为它使用Windows凭据。
ASP.NET Core中的基本身份验证
60
- A-Sharabiani
5个回答
35
由于基本认证中间件可能存在安全性和性能问题,ASP.NET安全性将不包括基本认证中间件。
如果您需要进行测试而需要基本认证中间件,请查看https://github.com/blowdart/idunno.Authentication
- blowdart
14
2我们在工作中的一个项目中使用了来自kukkimonsuta的Odachi库,因为出于一些兼容性问题。它很好地满足了我们的需求。 - user5834716
7在像我们正在尝试为Visual Studio Team Services编写Web Hook(https://www.visualstudio.com/en-us/docs/marketplace/integrate/service-hooks/services/webhooks)这样仅支持基本身份验证的情况下,我们该怎么办? - Scott Chamberlain
8为什么只能用于测试目的?为什么不能在生产中使用这种方法? - NickG
13能否详细说明“潜在的不安全性和性能问题”?基于HTTPS的基本身份验证是完全安全的,并且被广泛用于生产环境中(例如stripe、mailchimp、aws等)。“测试目的”既是错误的指导,也缺乏足够的上下文。除非我们忽略了asp.net安全机制本身存在某些问题。 - DeepSpace101
2同意基本身份验证很糟糕,但似乎Azure DevOps服务钩子不支持其他任何东西。 - span
显示剩余9条评论
13
我对ASP.NET Core身份验证中间件的设计感到失望。作为一个框架,它应该简化并提高生产力,但这里不是这种情况。
无论如何,一种简单而安全的方法是基于授权过滤器,例如IAsyncAuthorizationFilter。请注意,在MVC选择特定控制器操作并移动到过滤器处理时,授权过滤器将在其他中间件之后执行。但是在过滤器中,授权过滤器首先执行(详情)。
我本来只想评论Clay对Hector答案的评论,但不喜欢Hector的示例会抛出异常并且没有任何挑战机制,所以这里有一个可行的示例。
请记住:
- 在生产环境中,没有HTTPS的基本认证非常糟糕。确保您的HTTPS设置已经强化(例如,禁用所有SSL和TLS<1.2等)
- 今天,大多数使用基本身份验证的情况是当暴露受API密钥保护的API时(参见Stripe.NET,Mailchimp等)。可以用于curl友好的API,其安全性与服务器上的HTTPS设置一样高。
在此基础上,不要相信任何有关基本身份验证的FUD。跳过像基本身份验证这样基本的东西是主观的,而不是实质性的。您可以在这里的评论中看到对此设计的失望here。
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Identity;
using Microsoft.AspNetCore.Mvc.Filters;
using Microsoft.EntityFrameworkCore;
using System;
using System.Linq;
using System.Security.Claims;
using System.Text;
using System.Threading.Tasks;
namespace BasicAuthFilterDemo
{
public class BasicAuthenticationFilterAttribute : Attribute, IAsyncAuthorizationFilter
{
public string Realm { get; set; }
public const string AuthTypeName = "Basic ";
private const string _authHeaderName = "Authorization";
public BasicAuthenticationFilterAttribute(string realm = null)
{
Realm = realm;
}
public async Task OnAuthorizationAsync(AuthorizationFilterContext context)
{
try
{
var request = context?.HttpContext?.Request;
var authHeader = request.Headers.Keys.Contains(_authHeaderName) ? request.Headers[_authHeaderName].First() : null;
string encodedAuth = (authHeader != null && authHeader.StartsWith(AuthTypeName)) ? authHeader.Substring(AuthTypeName.Length).Trim() : null;
if (string.IsNullOrEmpty(encodedAuth))
{
context.Result = new BasicAuthChallengeResult(Realm);
return;
}
var (username, password) = DecodeUserIdAndPassword(encodedAuth);
// Authenticate credentials against database
var db = (ApplicationDbContext)context.HttpContext.RequestServices.GetService(typeof(ApplicationDbContext));
var userManager = (UserManager<User>)context.HttpContext.RequestServices.GetService(typeof(UserManager<User>));
var founduser = await db.Users.Where(u => u.Email == username).FirstOrDefaultAsync();
if (!await userManager.CheckPasswordAsync(founduser, password))
{
// writing to the Result property aborts rest of the pipeline
// see https://learn.microsoft.com/en-us/aspnet/core/mvc/controllers/filters?view=aspnetcore-3.0#cancellation-and-short-circuiting
context.Result = new StatusCodeOnlyResult(StatusCodes.Status401Unauthorized);
}
// Populate user: adjust claims as needed
var claims = new[] { new Claim(ClaimTypes.Name, username, ClaimValueTypes.String, AuthTypeName) };
var principal = new ClaimsPrincipal(new ClaimsIdentity(claims, AuthTypeName));
context.HttpContext.User = principal;
}
catch
{
// log and reject
context.Result = new StatusCodeOnlyResult(StatusCodes.Status401Unauthorized);
}
}
private static (string userid, string password) DecodeUserIdAndPassword(string encodedAuth)
{
var userpass = Encoding.UTF8.GetString(Convert.FromBase64String(encodedAuth));
var separator = userpass.IndexOf(':');
if (separator == -1)
return (null, null);
return (userpass.Substring(0, separator), userpass.Substring(separator + 1));
}
}
}
这些是支持类
public class StatusCodeOnlyResult : ActionResult
{
protected int StatusCode;
public StatusCodeOnlyResult(int statusCode)
{
StatusCode = statusCode;
}
public override Task ExecuteResultAsync(ActionContext context)
{
context.HttpContext.Response.StatusCode = StatusCode;
return base.ExecuteResultAsync(context);
}
}
public class BasicAuthChallengeResult : StatusCodeOnlyResult
{
private string _realm;
public BasicAuthChallengeResult(string realm = "") : base(StatusCodes.Status401Unauthorized)
{
_realm = realm;
}
public override Task ExecuteResultAsync(ActionContext context)
{
context.HttpContext.Response.StatusCode = StatusCode;
context.HttpContext.Response.Headers.Add("WWW-Authenticate", $"{BasicAuthenticationFilterAttribute.AuthTypeName} Realm=\"{_realm}\"");
return base.ExecuteResultAsync(context);
}
}
- DeepSpace101
12
ASP.NET Core 2.0对身份验证和身份的变更产生了破坏性影响。
在1.x中,身份验证提供程序是通过中间件配置的(如被接受答案的实现)。在2.0中,它基于服务。
有关详细信息,请参阅MS文档: https://learn.microsoft.com/en-us/aspnet/core/migration/1x-to-2x/identity-2x
我已经为ASP.NET Core 2.0编写了一个基本的身份验证实现并发布到NuGet: https://github.com/bruno-garcia/Bazinga.AspNetCore.Authentication.Basic
- Bruno Garcia
2
1这在ASP.NET Core 6.0中还有效吗?我需要更改IIS身份验证设置吗? - Pawel
应该能正常工作。如果不能,可以在 GitHub 上提出问题。 - Bruno Garcia
8
.NET Core中的超级简单基本认证:
1. 添加此实用程序方法:
static System.Text.Encoding ISO_8859_1_ENCODING = System.Text.Encoding.GetEncoding("ISO-8859-1");
public static (string, string) GetUsernameAndPasswordFromAuthorizeHeader(string authorizeHeader)
{
if (authorizeHeader == null || !authorizeHeader.Contains("Basic "))
return (null, null);
string encodedUsernamePassword = authorizeHeader.Substring("Basic ".Length).Trim();
string usernamePassword = ISO_8859_1_ENCODING.GetString(Convert.FromBase64String(encodedUsernamePassword));
string username = usernamePassword.Split(':')[0];
string password = usernamePassword.Split(':')[1];
return (username, password);
}
2. 更新控制器动作以从授权头中获取用户名和密码:
public async Task<IActionResult> Index([FromHeader]string Authorization)
{
(string username, string password) = GetUsernameAndPasswordFromAuthorizeHeader(Authorization);
// Now use username and password with whatever authentication process you want
return View();
}
示例
此示例演示如何在ASP.NET Core Identity中使用此功能。
public class HomeController : Controller
{
private readonly UserManager<IdentityUser> _userManager;
public HomeController(UserManager<IdentityUser> userManager)
{
_userManager = userManager;
}
[AllowAnonymous]
public async Task<IActionResult> MyApiEndpoint([FromHeader]string Authorization)
{
(string username, string password) = GetUsernameAndPasswordFromAuthorizeHeader(Authorization);
IdentityUser user = await _userManager.FindByNameAsync(username);
bool successfulAuthentication = await _userManager.CheckPasswordAsync(user, password);
if (successfulAuthentication)
return Ok();
else
return Unauthorized();
}
}
- Josh Withee
4
这是一个很好的例子!我希望微软能够使用这个而不是他们在过去20年中使用的无数不同的身份验证解决方案。我还会在未经授权之前添加额外的“WWW-Authenticate”响应头,以向人们展示如何显示对话框。谢谢! - Robert4Real
2将
Constants.ISO_8859_1_ENCODING 替换为 static Encoding ISO_8859_1_ENCODING = System.Text.Encoding.GetEncoding("ISO-8859-1") 以使其正常工作。 - rlv-dan只是为了小应用。 - Emanuele
如果你只是在
return Unauthorized(); 上面添加 Response.Headers.WWWAuthenticate = "Basic";,浏览器将会要求用户输入密码并重试。 - Christian Davén6
我们通过使用ActionFilter为一个内部服务实现了摘要安全性:
public class DigestAuthenticationFilterAttribute : ActionFilterAttribute
{
private const string AUTH_HEADER_NAME = "Authorization";
private const string AUTH_METHOD_NAME = "Digest ";
private AuthenticationSettings _settings;
public DigestAuthenticationFilterAttribute(IOptions<AuthenticationSettings> settings)
{
_settings = settings.Value;
}
public override void OnActionExecuting(ActionExecutingContext context)
{
ValidateSecureChannel(context?.HttpContext?.Request);
ValidateAuthenticationHeaders(context?.HttpContext?.Request);
base.OnActionExecuting(context);
}
private void ValidateSecureChannel(HttpRequest request)
{
if (_settings.RequireSSL && !request.IsHttps)
{
throw new AuthenticationException("This service must be called using HTTPS");
}
}
private void ValidateAuthenticationHeaders(HttpRequest request)
{
string authHeader = GetRequestAuthorizationHeaderValue(request);
string digest = (authHeader != null && authHeader.StartsWith(AUTH_METHOD_NAME)) ? authHeader.Substring(AUTH_METHOD_NAME.Length) : null;
if (string.IsNullOrEmpty(digest))
{
throw new AuthenticationException("You must send your credentials using Authorization header");
}
if (digest != CalculateSHA1($"{_settings.UserName}:{_settings.Password}"))
{
throw new AuthenticationException("Invalid credentials");
}
}
private string GetRequestAuthorizationHeaderValue(HttpRequest request)
{
return request.Headers.Keys.Contains(AUTH_HEADER_NAME) ? request.Headers[AUTH_HEADER_NAME].First() : null;
}
public static string CalculateSHA1(string text)
{
var sha1 = System.Security.Cryptography.SHA1.Create();
var hash = sha1.ComputeHash(Encoding.UTF8.GetBytes(text));
return Convert.ToBase64String(hash);
}
}
之后,您可以注释您希望使用摘要安全性访问的控制器或方法:
[Route("api/xxxx")]
[ServiceFilter(typeof(DigestAuthenticationFilterAttribute))]
public class MyController : Controller
{
[HttpGet]
public string Get()
{
return "HELLO";
}
}
要实现基本的安全性,只需将DigestAuthenticationFilterAttribute更改为不使用SHA1而是直接对Authorization头进行Base64解码。
- Héctor Espí Hernández
1
5对于考虑使用此方法的人,需要了解它的缺点是认证过滤器(Authentication)非常晚才会运行——在授权过滤器(Authorization)之后运行,这使得授权过滤器无效。 - Clay Lenhart
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接