Wie zu sichern eine ASP.NET Web-API

Ich bauen will ein Erholsamen web-service mit ASP.NET Web-API, mit der Drittanbieter-Entwickler Zugriff auf meine Anwendung Daten.

Gelesen habe ich sehr viel über OAuth und es scheint die Norm sein, sondern eine gute Probe mit Dokumentation welche erklären, wie es funktioniert (und das tatsächlich funktioniert!) scheint unglaublich schwierig (vor allem für einen Neuling auf OAuth).

Gibt es ein Beispiel, das tatsächlich baut und arbeitet und zeigt, wie diese umzusetzen ist?

Habe ich heruntergeladen zahlreichen Proben:

DotNetOAuth - Dokumentation ist hoffnungslos von einem Neuling Perspektive
Thinktecture - kann nicht ankommen es zu bauen

Habe ich auch angeschaut blogs suggeriert einen einfachen token-basierten System (wie diese) - das scheint neu zu erfinden das Rad, aber es hat auch den Vorteil, dass konzeptionell ziemlich einfach.

Es scheint, es gibt viele Fragen wie diese auf, DAMIT aber keine guten Antworten.

Was jeder tut in diesem Raum?

InformationsquelleAutor Craig Shearer | 2012-08-02

asp.net-mvc asp.net-web-api c#oauth

277

Update:

Ich habe meine andere Antwort wie zu verwenden JWT-Authentifizierung für die Web-API in hier für alle interessierten in der JWT:

JWT-Authentifizierung für Asp.Net Web-Api

Wir es geschafft haben, gelten HMAC-Authentifizierung auf sicheren Web-API, und es war okay. HMAC-Authentifizierung verwendet geheimen Schlüssel für jeden Verbraucher, der Verbraucher-und server beide wissen, hmac-hash einer Nachricht, HMAC256 verwendet werden soll. Die meisten der Fälle, gehashte Passwort der Verbraucher verwendet einen geheimen Schlüssel.

Die Nachricht normal ist gebaut von Daten in der HTTP-Anforderung, oder sogar kundenspezifische Daten, die Hinzugefügt wird, um HTTP-header der Nachricht enthalten sein:
1. Timestamp: die Zeit, die Anfrage wird gesendet (UTC oder GMT)
2. HTTP-Verben: GET, POST, PUT, DELETE.
3. post-Daten und query-string,
4. URL
Unter der Haube, HMAC-Authentifizierung:

Verbraucher sendet einen HTTP-request zum web-server, nach der Erstellung der Signatur (Ausgabe von hmac hash), die Vorlage der HTTP-Requests:
```
User-Agent: {agent}   
Host: {host}   
Timestamp: {timestamp}
Authentication: {username}:{signature}
```
Beispiel für eine GET Anfrage:
```
GET /webapi.hmac/api/values

User-Agent: Fiddler    
Host: localhost    
Timestamp: Thursday, August 02, 2012 3:30:32 PM 
Authentication: cuongle:LohrhqqoDy6PhLrHAXi7dUVACyJZilQtlDzNbLqzXlw=
```
Den Nachricht-hash zu erhalten, Signatur:
```
GET\n
Thursday, August 02, 2012 3:30:32 PM\n
/webapi.hmac/api/values\n
```
Beispiel für POST-request mit query-string (Signatur unten ist nicht korrekt, nur ein Beispiel)
```
POST /webapi.hmac/api/values?key2=value2

User-Agent: Fiddler    
Host: localhost    
Content-Type: application/x-www-form-urlencoded
Timestamp: Thursday, August 02, 2012 3:30:32 PM 
Authentication: cuongle:LohrhqqoDy6PhLrHAXi7dUVACyJZilQtlDzNbLqzXlw=

key1=value1&key3=value3
```
Den Nachricht-hash zu erhalten, Signatur
```
GET\n
Thursday, August 02, 2012 3:30:32 PM\n
/webapi.hmac/api/values\n
key1=value1&key2=value2&key3=value3
```
Bitte beachten Sie, dass die Formular-Daten und query-string sollte in Ordnung sein, damit der code auf dem server get-query-string und form-Daten zur Erstellung der richtigen Nachricht.

Wenn die HTTP-Anforderung an den server, eine Authentifizierungs-action-filter ist implementiert, um eine Analyse der Anfrage, Informationen zu erhalten: HTTP-verb, timestamp -, uri -, form-Daten und query-string, der dann auf dieser Grundlage zu bauen, Unterschrift (verwenden Sie hmac-hash) mit dem geheimen Schlüssel (Hash-Passwort) auf dem server.

Geheime Schlüssel habe aus der Datenbank mit dem Benutzernamen auf Anfrage.

Dann auf server-code vergleicht die Unterschrift auf dem Antrag mit der Unterschrift gebaut; wenn gleich, ist die Authentifizierung übergeben, andernfalls fehlgeschlagen.

Den code zu bauen-Signatur:
```
private static string ComputeHash(string hashedPassword, string message)
{
    var key = Encoding.UTF8.GetBytes(hashedPassword.ToUpper());
    string hashString;

    using (var hmac = new HMACSHA256(key))
    {
        var hash = hmac.ComputeHash(Encoding.UTF8.GetBytes(message));
        hashString = Convert.ToBase64String(hash);
    }

    return hashString;
}
```
So, wie verhindern von replay-Angriff?

Add constraint für den Zeitstempel, so etwas wie:
```
servertime - X minutes|seconds  <= timestamp <= servertime + X minutes|seconds 
```
(servertime: Zeitpunkt der Anfrage kommen zu server)

Und cache die Signatur der Anfrage im Speicher (verwenden Sie MemoryCache, sollte Sie in der limit-Zeit). Wenn die nächste Anfrage kommt mit der gleichen Signatur mit der vorherigen Anfrage, es wird abgelehnt werden.

Den demo-code ist gesetzt als hier:
https://github.com/cuongle/Hmac.WebApi

Danke, das ist nützlich-code zu sehen. Haben Sie einige client-code zu?
nur der timestamp scheint nicht ausreichend viel, während die wenig Zeit haben, können Sie simulieren die Anfrage und zum server gesendet, ich habe gerade editiert meinen post, verwenden Sie beide das beste wäre.
Sind Sie sicher, dass diese funktioniert, wie es sollte? Sie sind hashing der Zeitstempel der Nachricht und Zwischenspeichern der Nachricht ist. Dies würde bedeuten, eine andere Unterschrift, jede Anfrage zu machen, müsste Ihrer Cache-Signatur nutzlos.
scheint, dass ich nicht Ihr Punkt, der Grund für die Verwendung von Cache hier ist, um zu verhindern, dass relay-Angriffs ist, nichts mehr
Sie können finden Sie [diese Seite] (jokecamp.wordpress.com/2012/10/21/...). Ich werde aktualisieren diese Quelle bald

InformationsquelleAutor cuongle
30

Ich würde vorschlagen, beginnend mit der einfachsten Lösungen erst - vielleicht auch einfach die HTTP-Basic-Authentifizierung + HTTPS ist genug in Ihrem Szenario.

Falls nicht (zum Beispiel können Sie nicht verwenden, https, oder benötigen weitere komplexe Schlüssel-management), können Sie einen Blick auf HMAC-basierten Lösungen vorgeschlagen, die von anderen. Ein gutes Beispiel einer solchen API wäre Amazon S3 (http://s3.amazonaws.com/doc/s3-developer-guide/RESTAuthentication.html)

Schrieb ich einen blog-post über HMAC-basierte Authentifizierung in ASP.NET Web-API. Es beschreibt sowohl die Web-API-service und Web-API-client und der code ist verfügbar auf bitbucket. http://www.piotrwalat.net/hmac-authentication-in-asp-net-web-api/

Hier ist ein Beitrag über die Basic-Authentifizierung in der Web-API: http://www.piotrwalat.net/basic-http-authentication-in-asp-net-web-api-using-message-handlers/

Denken Sie daran, dass, wenn Sie gehen, um eine API zu 3. Parteien, höchstwahrscheinlich werdet Ihr auch verantwortlich für die Bereitstellung von client-Bibliotheken. Die Standardauthentifizierung hat einen deutlichen Vorteil hier, wie es ist unterstützt auf den meisten Plattformen out of the box. HMAC, auf der anderen Seite, ist nicht standardisiert und erfordert eine benutzerdefinierte Implementierung. Diese sollte relativ einfach sein, aber immer noch Arbeit erfordern.

PS. Es gibt auch eine option zum verwenden von HTTPS - + - Zertifikate. http://www.piotrwalat.net/client-certificate-authentication-in-asp-net-web-api-and-windows-store-apps/

InformationsquelleAutor Piotr Walat

Haben Sie versucht, DevDefined.OAuth?

Habe ich es benutzt zum sichern meiner WebApi mit 2-Legged OAuth. Ich habe auch erfolgreich getestet mit PHP-clients.

Ist es relativ einfach, um Unterstützung für OAuth verwenden diese Bibliothek. Hier ist, wie Sie implementieren können, der Anbieter für ASP.NET MVC-Web-API:

1) Holen Sie sich den source-code von DevDefined.OAuth: https://github.com/bittercoder/DevDefined.OAuth - die neueste version ermöglicht OAuthContextBuilder Erweiterbarkeit.

2) Aufbau der Bibliothek und verweisen Sie in Ihrem Web-API-Projekt.

3) Erstellen Sie eine benutzerdefinierte Kontext-generator zur Unterstützung der Erstellung einer Kontext von HttpRequestMessage:

using System;
using System.Collections.Generic;
using System.Collections.Specialized;
using System.Diagnostics.CodeAnalysis;
using System.Linq;
using System.Net.Http;
using System.Web;

using DevDefined.OAuth.Framework;

public class WebApiOAuthContextBuilder : OAuthContextBuilder
{
    public WebApiOAuthContextBuilder()
        : base(UriAdjuster)
    {
    }

    public IOAuthContext FromHttpRequest(HttpRequestMessage request)
    {
        var context = new OAuthContext
            {
                RawUri = this.CleanUri(request.RequestUri), 
                Cookies = this.CollectCookies(request), 
                Headers = ExtractHeaders(request), 
                RequestMethod = request.Method.ToString(), 
                QueryParameters = request.GetQueryNameValuePairs()
                    .ToNameValueCollection(), 
            };

        if (request.Content != null)
        {
            var contentResult = request.Content.ReadAsByteArrayAsync();
            context.RawContent = contentResult.Result;

            try
            {
                //the following line can result in a NullReferenceException
                var contentType = 
                    request.Content.Headers.ContentType.MediaType;
                context.RawContentType = contentType;

                if (contentType.ToLower()
                    .Contains("application/x-www-form-urlencoded"))
                {
                    var stringContentResult = request.Content
                        .ReadAsStringAsync();
                    context.FormEncodedParameters = 
                        HttpUtility.ParseQueryString(stringContentResult.Result);
                }
            }
            catch (NullReferenceException)
            {
            }
        }

        this.ParseAuthorizationHeader(context.Headers, context);

        return context;
    }

    protected static NameValueCollection ExtractHeaders(
        HttpRequestMessage request)
    {
        var result = new NameValueCollection();

        foreach (var header in request.Headers)
        {
            var values = header.Value.ToArray();
            var value = string.Empty;

            if (values.Length > 0)
            {
                value = values[0];
            }

            result.Add(header.Key, value);
        }

        return result;
    }

    protected NameValueCollection CollectCookies(
        HttpRequestMessage request)
    {
        IEnumerable<string> values;

        if (!request.Headers.TryGetValues("Set-Cookie", out values))
        {
            return new NameValueCollection();
        }

        var header = values.FirstOrDefault();

        return this.CollectCookiesFromHeaderString(header);
    }

    ///<summary>
    ///Adjust the URI to match the RFC specification (no query string!!).
    ///</summary>
    ///<param name="uri">
    ///The original URI. 
    ///</param>
    ///<returns>
    ///The adjusted URI. 
    ///</returns>
    private static Uri UriAdjuster(Uri uri)
    {
        return
            new Uri(
                string.Format(
                    "{0}://{1}{2}{3}", 
                    uri.Scheme, 
                    uri.Host, 
                    uri.IsDefaultPort ?
                        string.Empty :
                        string.Format(":{0}", uri.Port), 
                    uri.AbsolutePath));
    }
}

4) Verwenden Sie dieses tutorial, zum erstellen eines OAuth-Anbieter: http://code.google.com/p/devdefined-tools/wiki/OAuthProvider. Im letzten Schritt (Zugriff auf die Geschützte Ressource. B.) Sie können diesen code in Ihre AuthorizationFilterAttribute Attribut:

public override void OnAuthorization(HttpActionContext actionContext)
{
    //the only change I made is use the custom context builder from step 3:
    OAuthContext context = 
        new WebApiOAuthContextBuilder().FromHttpRequest(actionContext.Request);

    try
    {
        provider.AccessProtectedResourceRequest(context);

        //do nothing here
    }
    catch (OAuthException authEx)
    {
        //the OAuthException's Report property is of the type "OAuthProblemReport", it's ToString()
        //implementation is overloaded to return a problem report string as per
        //the error reporting OAuth extension: http://wiki.oauth.net/ProblemReporting
        actionContext.Response = new HttpResponseMessage(HttpStatusCode.Unauthorized)
            {
               RequestMessage = request, ReasonPhrase = authEx.Report.ToString()
            };
    }
}

Implementierte ich meinen eigenen provider, also habe ich noch nicht getestet der obige code (außer natürlich die WebApiOAuthContextBuilder die ich verwende in meinem provider) aber es sollte funktionieren.

Vielen Dank - ich werde mal einen Blick auf diesen, aber für jetzt hab ich rollte meinen eigenen HMAC-basierten Lösung.
Hallo, Sie sagen, Sie haben gerollt, Ihr eigenes.. nur noch ein paar Fragen, wenn Sie don ' T Geist teilen. Ich bin in einer ähnlichen position, wo ich habe eine relativ kleine MVC-Web-API. Die API Controller sitzen neben anderen controller/Aktionen die unter forms-auth. Implementierung von OAuth scheint übertrieben, wenn ich bereits eine Mitgliedschaft Anbieter die ich verwenden könnte, und ich brauche nur zu sichern eine Handvoll von Operationen. Ich möchte wirklich ein auth-Aktion, gibt einen verschlüsselten token - dann verwendet die token, die in nachfolgenden aufrufen? jede info willkommen, bevor ich zu Begehen, um die Umsetzung einer vorhandenen auth-Lösung. danke!
Majer - eine chance, die Sie teilen können, wie Sie implementiert haben die Anbieter im detail? Ich habe einige Probleme beim senden von Antworten an den client zurück.

InformationsquelleAutor Maksymilian Majer

20

Web-API eingeführt, die ein Attribut [Authorize] für Sicherheit zu sorgen. Dies kann Global festgelegt werden (Globale.asx)
```
public static void Register(HttpConfiguration config)
{
    config.Filters.Add(new AuthorizeAttribute());
}
```
Oder pro controller:
```
[Authorize]
public class ValuesController : ApiController{
...
```
Natürlich Ihre Art der Authentifizierung kann sich ändern, und Sie möchten möglicherweise führen Sie Ihre eigene Authentifizierung, wenn dies geschieht, können Sie feststellen, nützlich Erben von Authorizate Attribut und erweitern es um Ihre Anforderungen zu erfüllen:
```
public class DemoAuthorizeAttribute : AuthorizeAttribute
{
    public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        if (Authorize(actionContext))
        {
            return;
        }
        HandleUnauthorizedRequest(actionContext);
    }

    protected override void HandleUnauthorizedRequest(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        var challengeMessage = new System.Net.Http.HttpResponseMessage(System.Net.HttpStatusCode.Unauthorized);
        challengeMessage.Headers.Add("WWW-Authenticate", "Basic");
        throw new HttpResponseException(challengeMessage);
    }

    private bool Authorize(System.Web.Http.Controllers.HttpActionContext actionContext)
    {
        try
        {
            var someCode = (from h in actionContext.Request.Headers where h.Key == "demo" select h.Value.First()).FirstOrDefault();
            return someCode == "myCode";
        }
        catch (Exception)
        {
            return false;
        }
    }
}
```
Und in Ihrem controller:
```
[DemoAuthorize]
public class ValuesController : ApiController{
```
Hier ist ein link auf eine andere benutzerdefinierte Implementierung für WebApi Berechtigungen:

http://www.piotrwalat.net/basic-http-authentication-in-asp-net-web-api-using-membership-provider/

Danke für das Beispiel @Dalorzo, aber ich habe einige Probleme. Ich schaute auf den beigefügten link, aber nach Anleitung nicht ganz funktioniert. Ich fand auch erforderlich, info fehlt. Erstens, wenn ich das neue Projekt, ist es richtig, wählen Sie Einzelne Benutzer-Konten für die Authentifizierung? Oder verlasse ich es ohne Authentifizierung. Ich bin auch nicht immer die genannten 302 Fehler, aber bin immer ein 401-Fehler. Schließlich, wie gebe ich die benötigte info aus meiner Sicht an den controller? Was muss mein ajax-Aufruf Aussehen? Btw, ich bin mit der forms-Authentifizierung für mein MVC-Ansichten. Ist das ein problem?
Es arbeitet fantastisch. Einfach schön zum lernen und anfangen zu arbeiten auf unserer eigenen access-Token.
Eine kleine Kommentar - seien Sie vorsichtig mit AuthorizeAttribute, da es zwei verschiedene Klassen mit gleichen Namen in unterschiedlichen namespaces: 1. System.Web.Mvc.AuthorizeAttribute -> für MVC-Controller 2. System.Web.Http.AuthorizeAttribute - > für WebApi.

InformationsquelleAutor Dalorzo
5

Wenn Sie wollen, sichern Sie sich Ihren API in einer server-zu-server-Mode (keine Umleitung auf die website, für die 2-beinigen-Authentifizierung). Sie können sich bei OAuth2-Client Credentials Grant-Protokoll.

https://dev.twitter.com/docs/auth/application-only-auth

Entwickelt ich eine Bibliothek, die helfen können Sie problemlos hinzufügen diese Art von Unterstützung, um Ihre WebAPI. Sie können es als NuGet-Paket:

https://nuget.org/packages/OAuth2ClientCredentialsGrant/1.0.0.0

Die Bibliothek Ziele .NET Framework 4.5.

Sobald Sie das Paket hinzufügen zu Ihrem Projekt, wird es eine readme-Datei im Stammverzeichnis Ihres Projekts. Anschauen kann man sich das readme-Datei finden Sie unter konfigurieren/verwenden Sie dieses Paket.

Prost!

Sind Sie auf der Weitergabe/Bereitstellung von source code für dieses framework als open source?

InformationsquelleAutor Varun Chatterji
2

in der Fortsetzung zu @ Cuong Le s Antwort , mein Ansatz zu verhindern replay-Angriff wäre

//Verschlüsseln Sie die Unix-Zeit auf der Client Seite unter Verwendung des gemeinsamen privaten Schlüssel(oder Benutzer-Passwort)

//Senden Sie es als Teil der request-header server(WEB-API)

//Entschlüsseln der Unix-Zeit am Server(WEB-API) unter Verwendung des gemeinsamen privaten Schlüssel(oder Benutzer-Passwort)

//Überprüfen Sie die Zeitdifferenz zwischen dem Client die Unix-Zeit und Server an Unix-Zeit, sollte nicht größer sein als x Sek.

//wenn Benutzer-ID/Hash-Kennwort korrekt sind, und die entschlüsselte UnixTime ist innerhalb x-Sekunden Zeit-server, dann ist es eine gültige Anfrage

InformationsquelleAutor refactor

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.