4

現在、.NET上に構築されたカスタムの認証コードを自分のサイトに使用しています。私が見つけたすべての例は、私が使用していないWebFormsと緊密に統合されていたため、標準のFormsAuthルートを採用しませんでした。すべての意図と目的のために、私はすべて静的HTMLを持っており、すべてのロジックはJavascriptとWebサービス呼び出しを介して行われます。ログイン、ログオフ、新しいアカウントの作成などは、ページを離れることなく実行されます。

現在の動作は次のとおりです。データベースには、、、、User IDおよびSecurity IDがありSession IDます。3つはすべてUUIDであり、最初の2つは変更されません。ユーザーがログオンするたびに、userそのユーザー名とハッシュ化されたパスワードに一致する行がないかテーブルを確認し、Session ID新しいUUIDに。次に、3つのUUIDすべてのシリアル化された表現であるCookieを作成します。安全なWebサービス呼び出しでは、そのCookieを逆シリアル化して、usersテーブルにこれらの3つのUUIDを持つ行があることを確認します。これはかなり単純なシステムであり、うまく機能しますが、ユーザーが一度に1つのクライアントでしかログオンできないという事実はあまり好きではありません。モバイルアプリやタブレットアプリを作成するときに問題が発生します。複数のコンピューターやWebブラウザーがある場合は、すでに問題が発生しています。そのため、このシステムを捨てて、何か新しいことを考えています。何年も前に書いたので、もっとお勧めの何かがあるのではないかと思います。

FormsAuthentication.NET Frameworkのクラスを読んでいます。このクラスは、認証Cookieを処理し、HttpModule各リクエストを検証するために実行されます。これを新しいデザインで活用できるかと思います。

Cookieはステートレスのようであり、データベース内でセッションを追跡する必要はありません。これは、Cookieがサーバー上の秘密鍵で暗号化され、Webサーバーのクラスター間で共有することもできるという事実によって行われます。私が次のようなことをした場合:

FormsAuthentication.SetAuthCookie("Bob", true);

その後のリクエストでは、Cookieを偽造することは不可能ではないにしても非常に難しいため、ボブは確かに有効なユーザーであると確信できます。

FormsAuthenticationクラスを使用して現在の認証モデルを置き換えるのが賢明ですか?データベースに列を作成するのではなく、Session ID有効なセッションを表すために暗号化されたCookieを使用します。

私のアーキテクチャでより適切に機能する可能性のあるサードパーティ/オープンソースの.NET認証フレームワークはありますか?

この認証メカニズムは、iPhoneアプリやWindows 8 Surfaceアプリなどのモバイルクライアントやタブレットクライアントで実行されているコードに不満を引き起こしますか?これらのアプリがCookieを処理できる限り、これは機能すると思います。ありがとう!

4

1 に答える 1

1

返事がなかったので、自分で撮ってみることにしました。まず、アルゴリズムにとらわれない方法でセッションCookieを実装するオープンソースプロジェクトを見つけました。同様のハンドラーを実装するための開始点としてこれを使用しました。

組み込みのASP.NET実装で発生した問題の1つは、AppHarbor実装の同様の制限であり、セッションは文字列のユーザー名でのみキー設定されることです。データベース内のユーザーのUUIDやログオン名など、ユーザーを識別するための任意のデータを保存できるようにしたかったのです。私の既存のコードの多くは、このデータがCookieで利用可能であると想定しているため、このデータが利用できなくなった場合、多くのリファクタリングが必要になります。さらに、データベースにアクセスしなくても基本的なユーザー情報を保存できるというアイデアが気に入っています。

この未解決の問題で指摘されているように、AppHarborプロジェクトのもう1つの問題は、暗号化アルゴリズムが検証されていないことです。AppHarborはアルゴリズムに依存しないため、これは正確には当てはまりませんが、サンプルプロジェクトでPBKDF2の使用方法を示す必要があります。そのため、コードでこのアルゴリズム(Rfc2898DeriveBytesクラスを介して.NET Frameworkに実装されている)を使用することにしました。

これが私が思いついたものです。これは、独自のセッション管理を実装しようとしている人の出発点となることを目的としているため、適切と思われる目的に自由に使用してください。

using System;
using System.IO;
using System.Linq;
using System.Runtime.Serialization.Formatters.Binary;
using System.Security;
using System.Security.Cryptography;
using System.Security.Principal;
using System.Web;

namespace AuthTest
{
   [Serializable]
   public class AuthIdentity : IIdentity
   {
      public Guid Id { get; private set; }
      public string Name { get; private set; }

      public AuthIdentity() { }

      public AuthIdentity(Guid id, string name)
      {
         Id = id;
         Name = name;
      }

      public string AuthenticationType
      {
         get { return "CookieAuth"; }
      }

      public bool IsAuthenticated
      {
         get { return Id != Guid.Empty; }
      }
   }

   [Serializable]
   public class AuthToken : IPrincipal
   {
      public IIdentity Identity { get; set; }

      public bool IsInRole(string role)
      {
         return false;
      }
   }

   public class AuthModule : IHttpModule
   {
      static string COOKIE_NAME = "AuthCookie";

      //Note: Change these two keys to something else (VALIDATION_KEY is 72 bytes, ENCRYPTION_KEY is 64 bytes)
      static string VALIDATION_KEY = @"MkMvk1JL/ghytaERtl6A25iTf/ABC2MgPsFlEbASJ5SX4DiqnDN3CjV7HXQI0GBOGyA8nHjSVaAJXNEqrKmOMg==";
      static string ENCRYPTION_KEY = @"QQJYW8ditkzaUFppCJj+DcCTc/H9TpnSRQrLGBQkhy/jnYjqF8iR6do9NvI8PL8MmniFvdc21sTuKkw94jxID4cDYoqr7JDj";

      static byte[] key;
      static byte[] iv;
      static byte[] valKey;

      public void Dispose()
      {
      }

      public void Init(HttpApplication context)
      {
         context.AuthenticateRequest += OnAuthenticateRequest;
         context.EndRequest += OnEndRequest;

         byte[] bytes = Convert.FromBase64String(ENCRYPTION_KEY); //72 bytes (8 for salt, 64 for key)
         byte[] salt = bytes.Take(8).ToArray();
         byte[] pw = bytes.Skip(8).ToArray();

         Rfc2898DeriveBytes k1 = new Rfc2898DeriveBytes(pw, salt, 1000);
         key = k1.GetBytes(16);
         iv = k1.GetBytes(8);

         valKey = Convert.FromBase64String(VALIDATION_KEY); //64 byte validation key to prevent tampering
      }

      public static void SetCookie(AuthIdentity token, bool rememberMe = false)
      {
         //Base64 encode token
         var formatter = new BinaryFormatter();
         MemoryStream stream = new MemoryStream();
         formatter.Serialize(stream, token);
         byte[] buffer = stream.GetBuffer();
         byte[] encryptedBytes = EncryptCookie(buffer);

         string str = Convert.ToBase64String(encryptedBytes);

         var cookie = new HttpCookie(COOKIE_NAME, str);
         cookie.HttpOnly = true;

         if (rememberMe)
         {
            cookie.Expires = DateTime.Today.AddDays(100);
         }

         HttpContext.Current.Response.Cookies.Add(cookie);
      }

      public static void Logout()
      {
         HttpContext.Current.Response.Cookies.Remove(COOKIE_NAME);
         HttpContext.Current.Response.Cookies.Add(new HttpCookie(COOKIE_NAME, "")
            {
               Expires = DateTime.Today.AddDays(-1)
            });
      }

      private static byte[] EncryptCookie(byte[] rawBytes)
      {
         TripleDES des = TripleDES.Create();
         des.Key = key;
         des.IV = iv;

         MemoryStream encryptionStream = new MemoryStream();
         CryptoStream encrypt = new CryptoStream(encryptionStream, des.CreateEncryptor(), CryptoStreamMode.Write);

         encrypt.Write(rawBytes, 0, rawBytes.Length);
         encrypt.FlushFinalBlock();
         encrypt.Close();
         byte[] encBytes = encryptionStream.ToArray();

         //Add validation hash (compute hash on unencrypted data)
         HMACSHA256 hmac = new HMACSHA256(valKey);
         byte[] hash = hmac.ComputeHash(rawBytes);

         //Combine encrypted bytes and validation hash
         byte[] ret = encBytes.Concat<byte>(hash).ToArray();

         return ret;
      }

      private static byte[] DecryptCookie(byte[] encBytes)
      {
         TripleDES des = TripleDES.Create();
         des.Key = key;
         des.IV = iv;

         HMACSHA256 hmac = new HMACSHA256(valKey);
         int valSize = hmac.HashSize / 8;
         int msgLength = encBytes.Length - valSize;
         byte[] message = new byte[msgLength];
         byte[] valBytes = new byte[valSize];
         Buffer.BlockCopy(encBytes, 0, message, 0, msgLength);
         Buffer.BlockCopy(encBytes, msgLength, valBytes, 0, valSize);

         MemoryStream decryptionStreamBacking = new MemoryStream();
         CryptoStream decrypt = new CryptoStream(decryptionStreamBacking, des.CreateDecryptor(), CryptoStreamMode.Write);
         decrypt.Write(message, 0, msgLength);
         decrypt.Flush();

         byte[] decMessage = decryptionStreamBacking.ToArray();

         //Verify key matches
         byte[] hash = hmac.ComputeHash(decMessage);
         if (valBytes.SequenceEqual(hash))
         {
            return decMessage;
         }

         throw new SecurityException("Auth Cookie appears to have been tampered with!");
      }

      private void OnAuthenticateRequest(object sender, EventArgs e)
      {
            var context = ((HttpApplication)sender).Context;
         var cookie = context.Request.Cookies[COOKIE_NAME];
         if (cookie != null && cookie.Value.Length > 0)
         {
            try
            {
               var formatter = new BinaryFormatter();
               MemoryStream stream = new MemoryStream();
               var bytes = Convert.FromBase64String(cookie.Value);
               var decBytes = DecryptCookie(bytes);
               stream.Write(decBytes, 0, decBytes.Length);
               stream.Seek(0, SeekOrigin.Begin);
               AuthIdentity auth = formatter.Deserialize(stream) as AuthIdentity;
               AuthToken token = new AuthToken() { Identity = auth };
               context.User = token;

               //Renew the cookie for another 100 days (TODO: Should only renew if cookie was originally set to persist)
               context.Response.Cookies[COOKIE_NAME].Value = cookie.Value;
               context.Response.Cookies[COOKIE_NAME].Expires = DateTime.Today.AddDays(100);
            }
            catch { } //Ignore any errors with bad cookies
         }
      }

      private void OnEndRequest(object sender, EventArgs e)
      {
         var context = ((HttpApplication)sender).Context;
         var response = context.Response;
         if (response.Cookies.Keys.Cast<string>().Contains(COOKIE_NAME))
         {
            response.Cache.SetCacheability(HttpCacheability.NoCache, "Set-Cookie");
         }
      }
   }
}

web.configまた、ファイルには必ず次のモジュールを含めてください。

<httpModules>
  <add name="AuthModule" type="AuthTest.AuthModule" />
</httpModules>

コードでは、現在ログオンしているユーザーを次のように検索できます。

var id = HttpContext.Current.User.Identity as AuthIdentity;

そして、次のように認証Cookieを設定します。

AuthIdentity token = new AuthIdentity(Guid.NewGuid(), "Mike");
AuthModule.SetCookie(token, false);
于 2012-10-26T22:12:55.957 に答える