Überprüfen Google-Id Token

Ich bin mit ASP.NET Kern zu dienen, eine API auf ein Android-client. Android Zeichen als ein Google-Konto und geht ein JWT, die den ID-Token zur API als bearer-token. Ich habe die app arbeiten, es geht vorbei, die auth-Prüfungen, aber ich glaube nicht, dass es die Validierung der token-Signatur.

Pro Google-Dokumente, kann ich rufen Sie diese url, um es zu tun: https://www.googleapis.com/oauth2/v3/tokeninfo?id_token=XYZ123, aber ich kann nicht finden die passenden Haken auf der server-Seite, es zu tun. Auch laut der Google-docs, ich kann irgendwie mit dem Client-Access-APIs, um es zu tun, ohne den Aufruf an den server jedes mal.

Meine Konfiguration code:

app.UseJwtBearerAuthentication( new JwtBearerOptions()
{

    Authority = "https://accounts.google.com",
    Audience = "hiddenfromyou.apps.googleusercontent.com",
    TokenValidationParameters = new TokenValidationParameters()
    {
        ValidateAudience = true,
        ValidIssuer = "accounts.google.com"
    },
    RequireHttpsMetadata = false,
    AutomaticAuthenticate = true,
    AutomaticChallenge = false,
});

Wie bekomme ich die JWTBearer middleware überprüfen der Signatur? Ich bin nahe dran aufzugeben, auf die Verwendung des MS-middleware und Rollen meine eigenen.

InformationsquelleAutor Darthg8r | 2016-08-21
  1. 30

    Gibt es ein paar verschiedene Möglichkeiten, in dem Sie überprüfen können, die Integrität der ID-token auf der server-Seite:

    1. "Manuell" - ständig download Google ' s öffentlicher Schlüssel, Signatur überprüfen und dann jedes Feld, einschließlich der iss; der wesentliche Vorteil (wenn auch kleinen meiner Meinung nach) ich sehe hier, dass Sie können minimiert die Anzahl von Anfragen an Google gesendet werden.
    2. "Automatisch" - führen Sie eine Google-Endpunkt, um zu überprüfen, diese token
      https://www.googleapis.com/oauth2/v3/tokeninfo?id_token={0}
    3. Ein Google-API-Client-Bibliothek, die - wie die offizielle.

    Hier ist, wie der zweite Aussehen könnte:

    private const string GoogleApiTokenInfoUrl = "https://www.googleapis.com/oauth2/v3/tokeninfo?id_token={0}";

public ProviderUserDetails GetUserDetails(string providerToken)
{
    var httpClient = new MonitoredHttpClient();
    var requestUri = new Uri(string.Format(GoogleApiTokenInfoUrl, providerToken));

    HttpResponseMessage httpResponseMessage;
    try
    {
        httpResponseMessage = httpClient.GetAsync(requestUri).Result;
    }
    catch (Exception ex)
    {
        return null;
    }

    if (httpResponseMessage.StatusCode != HttpStatusCode.OK)
    {
        return null;
    }

    var response = httpResponseMessage.Content.ReadAsStringAsync().Result;
    var googleApiTokenInfo = JsonConvert.DeserializeObject<GoogleApiTokenInfo>(response);

    if (!SupportedClientsIds.Contains(googleApiTokenInfo.aud))
    {
        Log.WarnFormat("Google API Token Info aud field ({0}) not containing the required client id", googleApiTokenInfo.aud);
        return null;
    }

    return new ProviderUserDetails
    {
        Email = googleApiTokenInfo.email,
        FirstName = googleApiTokenInfo.given_name,
        LastName = googleApiTokenInfo.family_name,
        Locale = googleApiTokenInfo.locale,
        Name = googleApiTokenInfo.name,
        ProviderUserId = googleApiTokenInfo.sub
    };
}

    GoogleApiTokenInfo Klasse:

    public class GoogleApiTokenInfo
{
///<summary>
///The Issuer Identifier for the Issuer of the response. Always https://accounts.google.com or accounts.google.com for Google ID tokens.
///</summary>
public string iss { get; set; }

///<summary>
///Access token hash. Provides validation that the access token is tied to the identity token. If the ID token is issued with an access token in the server flow, this is always
///included. This can be used as an alternate mechanism to protect against cross-site request forgery attacks, but if you follow Step 1 and Step 3 it is not necessary to verify the 
///access token.
///</summary>
public string at_hash { get; set; }

///<summary>
///Identifies the audience that this ID token is intended for. It must be one of the OAuth 2.0 client IDs of your application.
///</summary>
public string aud { get; set; }

///<summary>
///An identifier for the user, unique among all Google accounts and never reused. A Google account can have multiple emails at different points in time, but the sub value is never
///changed. Use sub within your application as the unique-identifier key for the user.
///</summary>
public string sub { get; set; }

///<summary>
///True if the user's e-mail address has been verified; otherwise false.
///</summary>
public string email_verified { get; set; }

///<summary>
///The client_id of the authorized presenter. This claim is only needed when the party requesting the ID token is not the same as the audience of the ID token. This may be the
///case at Google for hybrid apps where a web application and Android app have a different client_id but share the same project.
///</summary>
public string azp { get; set; }

///<summary>
///The user's email address. This may not be unique and is not suitable for use as a primary key. Provided only if your scope included the string "email".
///</summary>
public string email { get; set; }

///<summary>
///The time the ID token was issued, represented in Unix time (integer seconds).
///</summary>
public string iat { get; set; }

///<summary>
///The time the ID token expires, represented in Unix time (integer seconds).
///</summary>
public string exp { get; set; }

///<summary>
///The user's full name, in a displayable form. Might be provided when:
///The request scope included the string "profile"
///The ID token is returned from a token refresh
///When name claims are present, you can use them to update your app's user records. Note that this claim is never guaranteed to be present.
///</summary>
public string name { get; set; }

///<summary>
///The URL of the user's profile picture. Might be provided when:
///The request scope included the string "profile"
///The ID token is returned from a token refresh
///When picture claims are present, you can use them to update your app's user records. Note that this claim is never guaranteed to be present.
///</summary>
public string picture { get; set; }

public string given_name { get; set; }

public string family_name { get; set; }

public string locale { get; set; }

public string alg { get; set; }

public string kid { get; set; }
}
    • Wow ich habe einen Beitrag auf dem Offiziellen Google -.Net-client-Bibliothek seit 2012. Sind Sie sicher, dass C# nicht besitzen? Auch die spamming tokeninfo nicht empfehlen, die von Google sollten Sie überprüfen, die Token_id lokal. github.com/google/google-api-dotnet-client
    • Entschuldigung @DalmTo, du hast Recht! Ich hab meine Antwort bearbeitet
    • Wo ist GoogleApiTokenInfo definiert? Dies ist eine benutzerdefinierte Klasse, die Sie erstellt haben, oder in die Google-SDK?
    • Ich aktualisiert meine Antwort zu enthalten; es ist angelegt als pro Google-specs
    • Für diese Gebäude eine Erweiterung für Google Chrome oder Chrome-App, die chrome.identity.getAuthToken() Methode stellt nur eine access_token. Glücklicherweise ist die endpoint @AlexandruMarculescu schlägt in option 2 unterstützt die überprüfung dieser Typ des Tokens als auch: googleapis.com/oauth2/v3/tokeninfo?access_token={0}
    InformationsquelleAutor Alexandru Marculescu
  2. 14

    Nach diesem github Problem, jetzt können Sie GoogleJsonWebSignature.ValidateAsync Methode zur überprüfung eines Google-signiert JWT. Übergeben Sie einfach die idToken string an die Methode.

    var validPayload = await GoogleJsonWebSignature.ValidateAsync(idToken);
Assert.IsNotNull(validPayload);

    Wenn es nicht ein gültiges token zurück null.

    Beachten Sie, dass diese Methode verwenden, müssen Sie installieren Google.Apis.Auth nuget aus Erster Hand.

    InformationsquelleAutor edmundpie
  3. 3

    Google erklärt in der Dokumentation für openId connect

    Für debugging-Zwecke, die Sie verwenden können, Google tokeninfo Endpunkt. Angenommen, Ihre ID-token Wert ist XYZ123.

    Sollten Sie nicht verwenden, dass die endpoint-überprüfung Ihres JWT.

    Validierung von einem ID-token erfordert mehrere Schritte:

    1. Stellen Sie sicher, dass der ID-token ist ordnungsgemäß unterzeichnet durch die Emittentin. Google-ausgestellte Token sind signiert mit eines der gefundenen Zertifikate in der URI angegeben, in der jwks_uri Bereich der discovery-Dokument.
    2. Stellen Sie sicher, dass der Wert der iss in den ID-token ist gleich https://accounts.google.com oder accounts.google.com.
    3. Stellen Sie sicher, dass der Wert von aud dem ID-token ist gleich um die app-client-ID.
    4. Stellen Sie sicher, dass das Ablaufdatum (exp) von dem ID-token, nicht bestanden hat.
    5. Wenn Sie übergeben eine hd parameter in der Anfrage, stellen Sie sicher, dass der ID-token eine hd-Anspruch, das entspricht die G-Suite gehostete domain.

    Es ist ein offizieller Probe-Projekts, wie Sie zu bestätigen hier. Leider haben wir nicht Hinzugefügt, das die Google .Net-Client-Bibliothek noch nicht. Es wurde protokolliert, wie ein Problem

    InformationsquelleAutor DaImTo
  4. 2

    So, was ich gefunden habe ist, dass die OpenIDConnect Spezifikationen ein.bekannte/url enthält die Informationen, die Sie benötigen, um ein token zu validieren. Dies beinhaltet den Zugriff auf die öffentlichen Schlüssel für die Signatur. Die JWT-middleware-Formulare .bekannte url aus der Behörde, ruft die Informationen, und Erlöse zu überprüfen es auf seine eigene.

    Die kurze Antwort zu der Frage ist, dass die Validierung geschieht bereits in der middleware, es gibt nichts mehr zu tun.

    InformationsquelleAutor Darthg8r
Schreibe einen Kommentar