Manuelles entschlüsseln einer ASP.NET Core-Authentifizierungs-cookie?

Betrachten wir einen gemeinsamen bekannten ASP.NET Core-Szenario. Zunächst fügen wir die middleware:

public void Configure(IApplicationBuilder app)
{
    app.UseCookieAuthentication(new CookieAuthenticationOptions()
    {
        AuthenticationScheme = "MyCookie",
        CookieName = "MyCookie",
        LoginPath = new PathString("/Home/Login/"),
        AccessDeniedPath = new PathString("/Home/AccessDenied/"),
        AutomaticAuthenticate = true,
        AutomaticChallenge = true
    });
    //...
}

Dann serialisieren eines Auftraggebers:

await HttpContext.Authentication.SignInAsync("MyCookie", principal);

Nachdem diese beiden Aufrufe wird ein verschlüsseltes cookie gespeichert wird auf der client-Seite. Sie können sehen, das cookie (in meinem Fall war es chunked) in einem browser-devtools:

Manuelles entschlüsseln einer ASP.NET Core-Authentifizierungs-cookie?

Ist es kein problem (und keine Frage), um cookies von Anwendungs-code.

Meine Frage ist: wie zum entschlüsseln des Cookies außerhalb der Anwendung? Ich denke, ein privater Schlüssel benötigt, der, wie um es zu bekommen?

Überprüfte ich die docs und fand nur gebräuchliche Wörter:

Dadurch wird ein verschlüsseltes cookie und fügt es der aktuellen
Antwort. Die AuthenticationScheme während der Konfiguration angegeben haben müssen
auch beim Aufruf SignInAsync.

Unter der Decke der Verschlüsselung verwendet wird ASP.NET's Datenschutz
system. Wenn Sie hosting auf mehreren Maschinen, load balancing oder
mit einer web-farm, dann müssen Sie konfigurieren, Datenschutz
verwenden Sie den gleichen Schlüssel ring-und application identifier.

So, ist es möglich, zu entschlüsseln, die das Authentifizierungs-cookie, und wenn ja, wie?

UPDATE #1:
Basierend auf Ron C tolle Antwort und Kommentare, ich habe endete mit code:

public class Startup
{
    //constructor is omitted...

    public void ConfigureServices(IServiceCollection services)
    {
        services.AddDataProtection().PersistKeysToFileSystem(
            new DirectoryInfo(@"C:\temp-keys\"));

        services.AddMvc();
    }

    public void Configure(IApplicationBuilder app)
    {
        app.UseCookieAuthentication(new CookieAuthenticationOptions()
        {
            AuthenticationScheme = "MyCookie",
            CookieName = "MyCookie",
            LoginPath = new PathString("/Home/Index/"),
            AccessDeniedPath = new PathString("/Home/AccessDenied/"),
            AutomaticAuthenticate = true,
            AutomaticChallenge = true
        });

        app.UseStaticFiles();
        app.UseMvcWithDefaultRoute();
    }
}

public class HomeController : Controller
{
    public async Task<IActionResult> Index()
    {
        await HttpContext.Authentication.SignInAsync("MyCookie", new ClaimsPrincipal());

        return View();
    }

    public IActionResult DecryptCookie()
    {
        var provider = DataProtectionProvider.Create(new DirectoryInfo(@"C:\temp-keys\"));

        string cookieValue = HttpContext.Request.Cookies["MyCookie"];

        var dataProtector = provider.CreateProtector(
            typeof(CookieAuthenticationMiddleware).FullName, "MyCookie", "v2");

        UTF8Encoding specialUtf8Encoding = new UTF8Encoding(false, true);
        byte[] protectedBytes = Base64UrlTextEncoder.Decode(cookieValue);
        byte[] plainBytes = dataProtector.Unprotect(protectedBytes);
        string plainText = specialUtf8Encoding.GetString(plainBytes);

        return Content(plainText);
    }
}

Leider ist dieser code erzeugt immer Ausnahme auf Unprotect Aufruf der Methode:

CryptographicException in Microsoft.AspNetCore.DataProtection.dll:
Zusätzliche Informationen: Die Nutzlast war ungültig.

Getestet habe ich verschiedene Variationen dieser code auf mehreren Maschinen ohne positives Ergebnis. Wahrscheinlich machte ich einen Fehler, aber wo?

UPDATE #2: Mein Fehler war, den DataProtectionProvider wurde noch nicht festgelegt in UseCookieAuthentication. Dank @RonC wieder.

  • könnte Sie aktualisieren Sie Ihre Antwort mit dem richtigen code?
  • Die akzeptierte Antwort wurde gegeben durch @RonC, nicht mich. Sein code richtig ist.
InformationsquelleAutor Ilya Chumakov | 2017-03-16
  1. 23

    Entschlüsselung der Authentifizierungs-Cookie, ohne die Tasten

    Es ist erwähnenswert, dass Sie nicht brauchen, um Zugang zum Schlüssel zu entschlüsseln, die das Authentifizierungs-cookie. Sie müssen einfach nur die richtigen IDataProtector erstellt mit den richtigen Zweck parameter, und subpurpose Parameter.

    Basiert auf der CookieAuthenticationMiddleware Quellcode https://github.com/aspnet/Security/blob/rel/1.1.1/src/Microsoft.AspNetCore.Authentication.Cookies/CookieAuthenticationMiddleware.cs#L4 es sieht aus wie der Zweck, die Sie übergeben müssen, ist typeof(CookieAuthenticationMiddleware). Und da Sie die übergabe von zusätzlichen Parametern an die IDataProtector Sie müssen zu Ihnen passen. Also diese code-Zeile sollte Euch ein IDataProtector verwendet werden können, zu entschlüsseln, die das Authentifizierungs-cookie:

    var dataProtector = provider.CreateProtector(typeof(CookieAuthenticationMiddleware).FullName, Options.AuthenticationScheme, "v2");

    Beachten Sie, dassOptions.AuthenticationScheme nur "MyCookie" in diesem Fall, da das ist, was es war in der Configure Methode der Inbetriebnahme.cs-Datei.

    Hier ist ein Beispiel action-Methode für die Entschlüsselung der Authentifizierungs-cookie, der zwei verschiedene Wege:

    public IActionResult DecryptCookie() {

    //Get the encrypted cookie value
    string cookieValue = HttpContext.Request.Cookies["MyCookie"];

    //Get a data protector to use with either approach
    var dataProtector = provider.CreateProtector(typeof(CookieAuthenticationMiddleware).FullName, "MyCookie", "v2");


    //Get the decrypted cookie as plain text
    UTF8Encoding specialUtf8Encoding = new UTF8Encoding(encoderShouldEmitUTF8Identifier: false, throwOnInvalidBytes: true);
    byte[] protectedBytes = Base64UrlTextEncoder.Decode(cookieValue);
    byte[] plainBytes = dataProtector.Unprotect(protectedBytes);
    string plainText = specialUtf8Encoding.GetString(plainBytes);


    //Get the decrypted cookie as a Authentication Ticket
    TicketDataFormat ticketDataFormat = new TicketDataFormat(dataProtector);
    AuthenticationTicket ticket = ticketDataFormat.Unprotect(cookieValue);

    return View();
}

    Diese Methode verwendet eine IDataProtectionProvider genannt provider ist Konstruktor injiziert.

    Entschlüsselung der Authentifizierungs-Cookie, wenn anhaltende Schlüssel zu einem Verzeichnis

    Wenn Sie möchten, teilen Sie cookies zwischen den Anwendungen dann können Sie sich entscheiden, bestehen die Datenschutz-Tasten in ein Verzeichnis. Dies kann durch hinzufügen des folgenden in die ConfigureServices Methode der Inbetriebnahme.cs-Datei:

    services.AddDataProtection().PersistKeysToFileSystem(
        new DirectoryInfo(@"C:\temp-keys\"));

    VORSICHTIG SEIN zwar, weil die Schlüssel nicht verschlüsselt sind, so ist es bis zu Ihnen, um Sie zu schützen!!! Nur bestehen die Schlüssel zu einem Verzeichnis, wenn Sie absolut müssen, (oder wenn Sie nur versuchen, zu verstehen, wie das system funktioniert). Sie auch angeben müssen, ein cookie DataProtectionProvider verwendet diese Schlüssel. Diese kann getan werden, mit Hilfe der UseCookieAuthentication Konfiguration in der Configure Methode der Inbetriebnahme.cs-Klasse in etwa so:

    app.UseCookieAuthentication(new CookieAuthenticationOptions() {
        DataProtectionProvider = DataProtectionProvider.Create(new DirectoryInfo(@"C:\temp-keys\")),
        AuthenticationScheme = "MyCookie",
        CookieName = "MyCookie",
        LoginPath = new PathString("/Home/Login"),
        AccessDeniedPath = new PathString("/Home/AccessDenied"),
        AutomaticAuthenticate = true,
        AutomaticChallenge = true
    });

    Mit dieser Konfiguration durchgeführt. Jetzt können Sie entschlüsseln das Authentifizierungs-cookie mit dem folgenden code:

     public IActionResult DecryptCookie() {
        ViewData["Message"] = "This is the decrypt page";
        var user = HttpContext.User;        //User will be set to the ClaimsPrincipal

        //Get the encrypted cookie value
        string cookieValue = HttpContext.Request.Cookies["MyCookie"];


        var provider = DataProtectionProvider.Create(new DirectoryInfo(@"C:\temp-keys\"));

        //Get a data protector to use with either approach
        var dataProtector = provider.CreateProtector(typeof(CookieAuthenticationMiddleware).FullName, "MyCookie", "v2");


        //Get the decrypted cookie as plain text
        UTF8Encoding specialUtf8Encoding = new UTF8Encoding(encoderShouldEmitUTF8Identifier: false, throwOnInvalidBytes: true);
        byte[] protectedBytes = Base64UrlTextEncoder.Decode(cookieValue);
        byte[] plainBytes = dataProtector.Unprotect(protectedBytes);
        string plainText = specialUtf8Encoding.GetString(plainBytes);


        //Get teh decrypted cookies as a Authentication Ticket
        TicketDataFormat ticketDataFormat = new TicketDataFormat(dataProtector);
        AuthenticationTicket ticket = ticketDataFormat.Unprotect(cookieValue);

        return View();
    }

    Erfahren Sie mehr über dieses letztere Szenario hier: https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/compatibility/cookie-sharing

    • Danke! Ich habe erfolgreich den key bekommen. Jedoch, der Wert des Cookies ist keine gültige Base64-string, weil er ungültige Zeichen enthält wie _ oder -. Direkte protector.Unprotect aufrufen auch nicht funktioniert mit string. Haben Sie keine Idee, wie formatieren Sie den cookie-Wert? Wie CfDJ8Id0LxnC1ZdOqPkWYYQ7uRQKZub1FQoPnSDNwhgiuuJXOUXQYAEMUuYj886KD5vjOFdFEubf_eLlJQU4IZSsO6DNds_FSFCj3wqUTZZEF9BmHMnT40BOrVo03YBH7QGG_XG4EhHl20445H94ywhwGIAefKOhEPqd0m-xpyPFuKwkpPxuMXFl8HKhpI_uoMJJvEalFMOvxfJylTl2kMfmcBW2tgY5J9jjkDgIz-SFUpxZgPcogjTG3hunW-fpgCdLMlGCUKSKTZEYF-hkNCcswGI
    • Sieht aus wie die konvertierte Sie die + und / chars zu - und _, aber nicht unbedingt in dieser Reihenfolge. Ich werde sehen, ob ich finden kann, den code, wo der das getan hat.
    • Müssen Sie rufen Sie Base64UrlTextEncoder.Decode(cookieValue), um die verschlüsselten bytes.
    • Rufen Sie protector.Unprotect(Base64UrlTextEncoder.Decode(cookieValue)); wirft CryptographicException in Microsoft.AspNetCore.DataProtection.dll: Additional information: The payload was invalid. ich habe versucht, die neu-Taste und rufen Sie Unprotect innerhalb des gleichen Prozesses, die das cookie erstellt aber ohne Erfolg.
    • Ich aktualisiert meine Antwort den vollen code. Getestet habe ich den code vor der Veröffentlichung. Ist es sinnvoll, Sie zu Fragen, eine separate Fragen zum Thema "Wie Sie den Zugang zu Asp.Net Core-Verschlüsselungs-Schlüssel" und ich kann mich bewegen, dass ein Teil meiner Antwort auf diese Frage. Damit wären die Infos immer zur Verfügung, um andere, anstatt zwei Fragen in dieser einen Frage. Kann man das machen?
    • Wirklich schöner Beitrag über etwas, was ich schon hinterfragt, aber noch nicht gebraucht zu tief Tauchen.
    • Ich habe die Frage gepostet. Fühlen Sie sich frei, um es zu Bearbeiten: stackoverflow.com/questions/42913017/....
    • Ich kann immer noch nicht mit dieser Lösung arbeiten. Es ist The payload was invalid Nachricht die ganze Zeit. Rufen Sie services.AddDataProtection().PersistKeysToFileSystem(someDir) im Startup.ConfigureServices? Gib mir etwas Zeit, ich werde überprüfen Sie den code unter unterschiedlichen Umwelt.
    • Sie nicht brauchen, um bestehen Sie die Tasten, um eine Datei zu bekommen die oben genannten action-Methode zum entschlüsseln der Authentifizierungs-cookie. (Doch dies sollte nicht verhindern, dass es funktioniert) habe ich noch nie genutzt stack-overflow-chat vor, aber ich würde gerne versuchen, wenn Sie wollen mehr interaktive Hilfe. Es ist wichtig zu beachten, dass das, was Sie rufen Sie die AuthenticationScheme in Ihrem CookieAuthenticationOptions im Autostart.cs-Klasse MUSS mit dem ÜBEREINSTIMMEN, was Sie übergeben, die CreateProtector Methode. In diesem Fall ist 'MyCookieMiddlewareInstance'. Wenn Sie unterschiedlich sind, das ist ein Weg, um den Fehler zu sehen sind.
    • denken Sie daran, zu akzeptieren, die Antworten, wenn Sie Ihre Fragen beantworten.
    • Ich versuchte es wieder und kann immer noch nicht das Rätsel zu lösen. Könnte man sich meine ursprüngliche Frage für einen moment? Ich habe ein code-Beispiel.
    • Aktualisiert meine Antwort an Informationen bieten, wie zu entschlüsseln, die das Authentifizierungs-cookie, wenn die Schlüssel werden persistent auf ein Verzeichnis. Der wichtige Teil ist, dass die cookie-DataProtectionProvider muss angegeben werden, in dem Autostart.cs Configure Methode.
    • Hurra! Einstellung der DataProtectionProvider im UseCookieAuthentication ist das Problem behoben. Tausend mal danke.
    • Sieht aus wie in der Core-2.0 die CookieAuthenticationMiddleware-Klasse ersetzt wurde, sondern der string-Wert "von Microsoft.AspNetCore.Die Authentifizierung.Cookies.CookieAuthenticationMiddleware" wird immer noch benutzt. github.com/aspnet/Security/blob/...
    • Ich habe immer noch Probleme mit diesem arbeiten .NET-core-2.0-und eine in Abschnitte aufgeteilte cookie. Irgendwelche Ideen? Ich bin Verkettung der cookie-Werte zusammen und mit dem cookie-Namen in die DataProtectionProvider. Danke.
    • In Fall, dass Sie spezifiziert den Namen einer Anwendung, wenn Sie den Daten-Schutz-service services.AddDataProtection().PersistKeysToFileSystem(new System.IO.DirectoryInfo(@"C:\temp-keys\")).SetApplicationName("MyApplicationName"); sicher, dass Sie den gleichen Namen in der DataProtectionProvider.Create nennen: var dataProtection = DataProtectionProvider.Create(new DirectoryInfo(@"C:\temp-keys\"), cfg => cfg.SetApplicationName("MyApplicationName"));
    • Für alle Fälle: Standard-Authentifizierung Schema ist Identity.Application (im Beispiel oben ist es umbenannt in MyCookie). So, die Erstellung des Protektors sieht aus wie dataProtectionProvider.CreateProtector("Microsoft.AspNetCore.Authentication.Cookies.CookieAuthenticationMiddleware","Identity.Application", "v2") zu vermeiden The payload was invalid. Ausnahme. Ich verbringe eine Menge Zeit mit dem Versuch zu finden, Standardwert und entschlüsseln meine cookies.
    • ist Ihre Bemerkung in der Antwort auf James H Kommentar? Ich glaube, dass der code in meiner Antwort letztlich verwendet (durch Variablen), die hartcodierte Werte, die Sie erwähnen.

    InformationsquelleAutor Ron C
  2. 8

    Unten finden Sie eine helper-Methode für .NET Core 2 um Ansprüche aus einem cookie: 

    private IEnumerable<Claim> GetClaimFromCookie(HttpContext httpContext, string cookieName, string cookieSchema)
{
    //Get the encrypted cookie value
    var opt = httpContext.RequestServices.GetRequiredService<IOptionsMonitor<CookieAuthenticationOptions>>();
    var cookie = opt.CurrentValue.CookieManager.GetRequestCookie(httpContext, cookieName);

    //Decrypt if found
    if (!string.IsNullOrEmpty(cookie))
    {
        var dataProtector = opt.CurrentValue.DataProtectionProvider.CreateProtector("Microsoft.AspNetCore.Authentication.Cookies.CookieAuthenticationMiddleware", cookieSchema, "v2");

        var ticketDataFormat = new TicketDataFormat(dataProtector);
        var ticket = ticketDataFormat.Unprotect(cookie);
        return ticket.Principal.Claims;
    }
    return null;
}

    Als wurde darauf von @Cirem, die fragwürdige Möglichkeit zu schaffen, ein Beschützer ist, genau wie Microsoft es tut (siehe Ihr code hier). Daher kann es in zukünftigen Versionen ändern.

    • Es funktionierte großartig für mich und scheint viel einfacher zu bedienen als Antwort akzeptiert. Vielen Dank.
    InformationsquelleAutor Alex Klaus
  3. 1

    Andere Variante für ASP.NET Core 2.2:

    var cookieManager = new ChunkingCookieManager();
var cookie = cookieManager.GetRequestCookie(HttpContext, ".AspNetCore.Identity.Application");

var dataProtector = dataProtectionProvider.CreateProtector("Microsoft.AspNetCore.Authentication.Cookies.CookieAuthenticationMiddleware", "Identity.Application", "v2");

//Get the decrypted cookie as plain text
UTF8Encoding specialUtf8Encoding = new UTF8Encoding(encoderShouldEmitUTF8Identifier: false, throwOnInvalidBytes: true);
byte[] protectedBytes = Base64UrlTextEncoder.Decode(cookie);
byte[] plainBytes = dataProtector.Unprotect(protectedBytes);
string plainText = specialUtf8Encoding.GetString(plainBytes);


//Get teh decrypted cookies as a Authentication Ticket
TicketDataFormat ticketDataFormat = new TicketDataFormat(dataProtector);
AuthenticationTicket ticket = ticketDataFormat.Unprotect(cookie);
    InformationsquelleAutor Adiqq
Schreibe einen Kommentar