C# 鉴权授权学习总结

已于 2023-07-19 12:25:00 修改
阅读量1.2k 收藏 5
点赞数 1
文章标签: c# .net
于 2023-05-10 16:26:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38192821/article/details/130603920
版权

目录

Session/Cookie

是什么

为什么要Session/Cookie

JWT

示意图

单点登录

如何生成签名

密钥类型

RefreshToken实现思路

Token泄露了怎么办

OAuth2.0

是什么

理解

示意图​编辑

授权/身份认证

授权类型

Session/Cookie

是什么

  1. 如果是第一次的HTTP请求,服务端就会自动给当前的HTTP请求分配一个SessionID然后返回给客户 端,客户端会把SessionID存储在Cookie里面。
  2. 浏览器后面再进行HTTP请求的时候就会基于Cookie默认带上这个SessionID,服务器就会检查当前 SessionID是否有效,如果SessionID有效就会从Session对象中获取当前用户的信息,如果SessionID 失效了,就会重定向到登录页面。

为什么要Session/Cookie

HTTP协议本身不能进行用户识别,所以为了证明张三是张三,才有了Cookie和Session。

JWT

示意图

单点登录

鉴权中心根据账号和密码颁发Token,HTTP请求带着Token就可以访问API,API也认可Token,不需 要再去鉴权中心进行校验,第三方的API也认可Token,这种模式就叫做SSO,Single Sign On,单点登录。

如何生成签名

描述

  1. 第一步需要调用base64UrlEncode方法把header和payload进行各自的编码,然后中间在加上一个点, 最后生成data。
  2. 第二步需要调用hmacSha256方法把生成的data和sercret当作方法的参数传进去,生成hashData,如 果是非对称可逆加密那么调用的是RsaSha256方法。
  3. 第三步需要调用base64UrlEncode方法把生成的hashData进行编码,生成signature。
  4. 最后需要组装JWT的格式,就是header.payload.signature。
  5. 当HTTP的请求发送到服务端时,先经过AuthorizeFilter过滤器进行鉴权,看看Token是否有效。
  6. 如果是RsaSha256,也就是非对称可逆加密,服务端会从Token里面获取公钥,能把Token成功解密, 就能证明这个Token是鉴权中心颁发的。
  7. 如果是hmacSha256,也就是对称加密,使用的是相同的密钥生成的签名,那么需要根据服务端的secret 进行验签。具体的流程就是从HTTP的请求中获取到Token的header和payload,然后按照生成Token 签名的流程生成最终的signature,最后和Token中的signature进行对比,看看签名是否一致。

代码

  1. JWT的格式是header.payload.signature。
  2. var data = base64UrlEncode(header) + ”.” + base64UrlEncode(payload)。
  3. var hashData = hmacSha256(data, secret)。
  4. var signature = base64UrlEncode(hashData)。

密钥类型

  1. 第一种是RsaSha256,也就是非对称可逆加密,服务端会从Token里面获取公钥,能把Token成功解密, 就能证明这个Token是鉴权中心颁发的。
  2. 第二种是hmacSha256,也就是对称加密,使用的是相同的密钥生成的签名,所以必须要确保密钥不能 被泄露。

RefreshToken实现思路

  1. RefreshToken的有效时间一定要比Token的有效时间要长。
  2. RefreshToken可以是GUID,雪花ID,或者是时间戳,只要能保证唯一性就行。
  3. 前端每次访问API接口都会在HTTP的请求头中携带Token,如果Token失效了服务端就会返回401状 态码。
  4. 前端判断如果是401状态码,就从localStorage里面获取RefreshToken,再去请求服务端获取Token的 API接口。
  5. 服务端会先检查RefreshToken的合法性。
  6. 如果RefreshToken有效,服务端就会返回一个新的Token和RefreshToken给前端。
  7. 然后前端就会更新localStorage里面的RefreshToken,同时用这个新的Token向服务端发起第三次请求。
  8. 如果RefreshToken无效,服务端还是返回401状态码,前端第二次判断如果还是401状态码,就会跳 转到登陆页面。

Token泄露了怎么办

常规方案

  1. 可以把Token的过期时间设置的短一点,如果过期了就用RefreshToken去获取新的Token。
  2. 可以把生成Token的密钥换的勤一点。
  3. 用户退出登录或者关闭浏览器窗口的时候前端要及时调用注销Token的接口。
  4. 注销Token的接口就是给当前用户生成一个新的Token不返回,原有的Token自然就失效了。
  5. 还可以将HTTP请求的URL,时间戳,Token再进行合并,然后进行加盐签名。
  6. 因为盐值是保密的,其它人如果只是得到Token的话,还是无法进行正确的签名。
  7. 但是服务端可以验证HTTP请求的签名值来判断当前的HTTP请求是否有效。

IP绑定

  1. 还可以在生成Token的时候,在payload中加入当前登录用户的IP地址。
  2. HTTP的请求到达服务端之后,获取payload中的IP地址,判断一下和发送HTTP请求的IP地址是不是 同一个IP地址,如果不是同一个IP地址就直接给前端返回401状态码。

特殊场景无解

  1. 如果有人获取了Token去访问API接口,但是Token这个时候没有过期,而且HTTP请求的IP地址也没 有任何变化,这个时候使用JWT是无解的,没有解决方案,可以考虑使用LDAP协议来进行认证。
  2. 我目前对LDAP协议没有进行深入的研究,因为目前做的这些项目安全程度还没有那么高。

OAuth2.0

是什么

OAuth2.0是一种委托协议,它允许应用也就是WPF,WinForm,MVC,也叫受保护资源的消费者,来代表用户访问受保护的资源。

理解

  1. 用户通过浏览器访问一个应用,需要登录才能使用更多的功能,点击登录,应用收到登录请求以后, 会向授权服务器发送授权码请求。
  2. 假设授权服务器就是IdentityServer4,ids4接受到请求以后会响应登录页面给用户,如果用户没有注册 过ids4就需要注册账户,如果已经注册了就需要输入账号和密码进行登录,也有可能已经登录过ids4, 直接点击登录。
  3. 反正只要确认了登录信息,并且授权同意应用取得对应的资源,就会发送到ids4那里,ids4认证没问 题以后,就会把授权码发送给应用,应用拿到授权码以后再发送请求给ids4,ids4就会返回访问token, 也就是access_token,简单来说就是用授权码交换访问token。
  4. 应用使用这个访问token向资源服务器获取对应的资源,资源服务器看到访问token就返回对应的资源, 这就是常见的OAuth授权码模式。
  5. 用户点击登录的时候,应用会发送访问ids4的请求,这条请求会带有一些参数,因为是授权码模式, 因此会有response_type=code这样的键值对,毕竟在请求授权码。
  6. 还有一个可选的redirect_uri参数,意思就是用户认证完,浏览器要重定向的地址。换句话说,授权码也会一起返回到浏览器,用户和应用都能看到授权码。
  7. 如果不用授权码来换取访问token,而是用授权码直接访问资源服务器的话,那么出现在前端的授权码 可能会被其他人发现,导致安全问题。
  8. 为了把接下来的处理移交到后端,此时应用的前端需要把授权码发送到应用的后端,这样处于明处的 前端就不会暴露访问token。
  9. 应用需要提前到授权服务器那里注册,就是要先到ids4的OAuth服务里进行注册,注册的时候就要注明回调的URL,因为ids4会把授权的信息通过这个URL进行发送,也就是redirect_uri参数。
  10. 注册成功以后应用会得到对应的client_id和client_secret,client_id会在请求授权码那一步一 起发送,这样ids4就知道该处理哪个应用的请求。
  11. 在用授权码来交换访问token这一步的时候,应用需要把client_id,client_secret和授权码一起发送到 ids4,这样才能换取到访问token。
  12. 当然访问token不会长期有效的,而是要考虑到一些安全,因此可以设置refresh_token来刷新 access_token。
  13. OAuth其实做的是授权,不是认证,用户授权应用去访问对应的资源。
  14. OpenID Connect基于OAuth进行了延伸,在一开始发送请求的时候,还有一个参数scope表 示授权的范围,有了这个声明以后,在拿到访问token的时候,会看到多了一个id_token,这个id_token 就是JWT,JWT经过解码以后可以得到用户的信息,比方说用户的标识符和邮箱,这样就更清楚用户是谁。
  15. 授权码模式比较适合有前端和后端的场景。
  16. 隐式模式比较适合SPA这种单页应用。
  17. 客户端凭据模式比较适合服务器对服务器的场景。
  18. 资源拥有者密码模式基本上也只在后端使用。

示意图

授权/身份认证

  1. 授权(Authorization)表示你能干什么。
  2. 身份认证(Authentication)是OpenID Connect,就是看看你是谁。

授权类型

  1. Authorization Code是授权码,代表资源所有者委托给客户端应用的权限。
  2. Implicit Flow是授权码的简化模式,可以直接把AccessToken发送过去。这种模式通常用于”公共”的客户端。最好是客户端应该可以直接从浏览器访问资源。也没有显式的客户端身份认证。
  4. Resource Owner Password Credentials是密码模式。客户端将用户名和密码发送给认证服务器获取令牌。资源所有者的密码凭证,比如用户名和密码会直接被用来请求AccessToken。这种模式通常用于一些遗留的应用。资源所有者和客户端应用之间必须高度信任。其它授权方式不可用的时候才使用这种模式,所以能不用就不用。
  5. Client Credentials是客户端模式。客户端直接从认证服务器获取令牌。客户端应用不代表用户,客户端应用本身就相当于是资源的所有者。这种模式通常用于机器和机器之间的通信。所以这种模式的客户端也需要进行身份认证。而且这种模式没有资源所有者对资源负责,但是客户端还得访问资源。
木子丶鹏
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
.Net6中通过自定义Token进行授权
weixin_38819951的博客
04-16 2546
1、注册自定义token方案 #region 使用自定义token方案,进行 builder.Services.AddAuthentication(config => { config.AddScheme<CtmTokenAuthenticationHandler>("token", "ctmToken"); config.DefaultAuthenticateScheme = "token";//默认方案改成token config.Defau
C#学习总结.docx
06-21
C#学习总结.docx】是我在学习中踩过的坑,希望大家避免了,很有效的,常见的问题点总结都在里面有写的,及其解决方法
c#identity Server 4 身份认证
qq_43510923的博客
09-22 267
c#identity Server 4 身份认证。
使用C#编写.NET当用户更新时分析器高级篇
lkop8555555的博客
07-31 70
随鼠标或触摸移动
新版onenet平台安全的确定与使用
最新发布
A_991128a的博客
04-16 1168
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
二、IDS4配置服务
weixin_30892889的博客
05-22 991
它是根据定义配置服务Config.cs文件来生成客户端和API使用该服务所需的配置数据。 一、IDS4签名服务 1、为项目添加NuGet包。 2、IDS4服务制定的配置Config.cs。 using IdentityServer4.Models; using System; using System.Collections.Generic; using System.Linq...
从壹开始 [ Ids4实战 ] 之三║ 详解授权持久化 & 用户数据迁移
weixin_30457465的博客
05-08 651
回顾 哈喽大家周三好,今天终于又重新开启 IdentityServer4 的落地教程了,不多说,既然开始了,就要努力做好
JWT授权--相当nice
08-14
标题“JWT授权--相当nice”暗示了JWT在授权过程中的高效和便利性。JWT提供了一种轻量级的身份验证机制,使得客户端可以在获得服务器的访问令牌后,无需每次请求都发送用户名和密码,极大地提升了用户体验...
C# 知识点总结.docx
12-14
C#学习过程中的知识点总结 # c语言学习 ### 介绍 C语言学习过程中的知识点总结 ### 使用说明 1. 本文档内容大多从网络学习总结归纳出的知识点,如有侵,请联系删除 2. 红色字体表示重要内容或者易错、较难...
基于C#的软件加密、授权与注册
09-30
本资源介绍了基于本机特征信息(如CPU、主板、BIOS和MAC等) 的软件加密、授权与注册方法,货真价实、童叟无欺!原博客请参考:https://blog.csdn.net/C_xxy/article/details/127104009。
C#软件授权源码-十分完整2019
02-26
C#软件授权源码-十分完整2019
webapi 身份验证DEMO
12-22
WebApiDemo是webapi摘要验证的demo
OneNET平台token计算工具_物联网_
09-21
OneNET平台token计算工具,可以用于token计算
JWT Token生成及验证
11-03
请参考博客:http://www.cnblogs.com/chenwolong/p/Token.html
c#全面经典总结
10-08
本资源集合了C#的全面经典总结,适合初学者及有一定经验的开发者学习和参考。 C#的核心特性包括: 1. 类型系统:C#是一种强类型语言,每个变量都必须预先声明其类型,确保类型安全。它支持值类型(如int、float)...
IdentityServer4 (IDS4) UI界面使用
热门推荐
zhujisoft的专栏
05-21 3万+
在本快速入门中,将对通过OpenID Connect协议进行的交互式用户身份验证的支持添加到上一章中构建的IdentityServer中。 实现后,我们将创建一个将使用IdentityServer进行身份验证的MVC应用程序。 本文假设已创建《IdentityServer4 (IDS4) 快速入门》一文中的IdentityServer服务项目,将修改部分配置以支持带UI的MVC客户端。 系统环境与上文相同。 一、添加UI 从QuickStart\src\IdentitySever目录,运行以下命令
关于C#应用的授权认证
weixin_33881050的博客
04-12 641
1、加壳,不然很容易反编译绕过认证 2、获取机器码,通常是获取CPU,MAC,网卡和UUID等信息加密而成,但是针对虚拟机来说并不好判断,尤其是虚拟机迁移等操作。有针对虚拟机授权的朋友可以指点 3、针对上面的特征码做不可逆的加密计算(网上很多),加密结果放多应用程序目录 4、应用程序每次启动根据本机的机器码做第3步的加密再和本地存储的特征码比对 扩展:也有根据程序模块来授权的,这就需...
关于WEB Service&WCF&WebApi实现身份验证之WebApi篇
weixin_33971205的博客
01-20 249
之前先后总结并发表了关于WEB Service、WCF身份验证相关文章,如下: 关于WEB Service&amp;WCF&amp;WebApi实现身份验证之WEB Service篇、 关于WEB Service&amp;WCF&amp;WebApi实现身份验证之WCF篇(1)、关于WEB Service&amp;WCF&amp;WebApi实现身份验证之WCF篇(2) 今天再来总结关于如何...
c# aws signature
05-24
AWS Signature是一种AWS API请求的身份验证方式。在C#中,你可以使用AWS SDK for .NET来生成AWS Signature。 以下是一个简单的例子: ```csharp using Amazon.Runtime; using Amazon.Runtime.CredentialManagement; using Amazon.S3; using Amazon.S3.Model; //创建一个AWSCredentials对象,该对象包含AWS访问密钥 AWSCredentials awsCredentials = new BasicAWSCredentials("access_key", "secret_key"); //创建一个AmazonS3Client对象,该对象提供了与Amazon S3交互的方法 AmazonS3Client s3Client = new AmazonS3Client(awsCredentials, RegionEndpoint.USWest2); //创建一个GetObjectRequest对象,该对象表示要获取的S3对象的请求 GetObjectRequest request = new GetObjectRequest { BucketName = "my-bucket", Key = "my-object" }; //使用s3Client对象发送请求并获取响应 GetObjectResponse response = s3Client.GetObject(request); ``` 在这个例子中,我们创建了一个AWSCredentials对象,该对象包含AWS访问密钥。然后,我们创建了一个AmazonS3Client对象,该对象提供了与Amazon S3交互的方法。最后,我们使用AmazonS3Client对象发送GetObjectRequest请求来获取S3对象,并获取响应。 在实际使用中,你需要根据具体的API和服务来生成AWS Signature。AWS SDK for .NET提供了丰富的API和工具,可以帮助你完成这些任务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

木子丶鹏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值