4

目前,我为我的站点使用自定义编写的身份验证代码,该代码基于 .NET 构建。我没有采用标准的 Forms Auth 路线,因为我能找到的所有示例都与我不使用的 WebForms 紧密集成。出于所有意图和目的,我拥有所有静态 HTML,并且任何逻辑都是通过 Javascript 和 Web 服务调用完成的。登录、注销和创建新帐户等操作甚至无需离开页面即可完成。

现在它是这样工作的:在数据库中,我有 a User ID、 aSecurity ID和 a Session ID。这三个都是 UUID,前两个永远不会改变。每次用户登录时,我都会检查user表中是否有与该用户名和散列密码匹配的行,然后更新Session ID到一个新的 UUID。然后我创建一个 cookie,它是所有三个 UUID 的序列化表示。在任何安全的 Web 服务调用中,我都会反序列化该 cookie,以确保 users 表中有一行包含这 3 个 UUID。这是一个相当简单的系统并且运行良好,但是我不太喜欢用户一次只能使用一个客户端登录的事实。当我创建移动和平板电脑应用程序时,它会引起问题,如果它们有多台计算机或网络浏览器,就会产生问题。出于这个原因,我正在考虑放弃这个系统并采用一些新的东西。自从我多年前写它以来,我想可能会有更多推荐的东西。

我一直在阅读FormsAuthentication.NET Framework 中的类,它处理身份验证 cookie,并作为HttpModule验证每个请求运行。我想知道我是否可以在我的新设计中利用这一点。

看起来 cookie 是无状态的,并且不必在数据库中跟踪会话。这是通过使用服务器上的私钥加密 cookie 来完成的,该私钥也可以在 Web 服务器集群之间共享。如果我这样做:

FormsAuthentication.SetAuthCookie("Bob", true);

然后在以后的请求中,我可以确信Bob确实是一个有效用户,因为即使不是不可能伪造 cookie,也将非常困难。

使用FormsAuthentication该类替换我当前的身份验证模型是否明智?我不会在数据库中有一个Session ID列,而是依靠加密的 cookie 来表示有效的会话。

是否有可能更适合我的架构的第三方/开源 .NET 身份验证框架?

这种身份验证机制是否会对在移动设备和平板电脑客户端(例如 iPhone 应用程序或 Windows 8 Surface 应用程序)上运行的代码造成任何影响?我认为这会起作用,只要这些应用程序可以处理 cookie。谢谢!

4

1 回答 1

1

由于我没有得到任何回应,我决定自己试一试。首先,我发现了一个开源项目,它以与算法无关的方式实现会话 cookie。我以此为起点来实现类似的处理程序。

我在使用内置 ASP.NET 实现时遇到的一个问题是,它是 AppHarbor 实现中的一个类似限制,会话只能由字符串用户名键入。我希望能够存储任意数据来识别用户,例如他们在数据库中的 UUID 以及他们的登录名。由于我现有的大部分代码都假设此数据在 cookie 中可用,因此如果此数据不再可用,则需要进行大量重构。另外,我喜欢能够存储基本用户信息而无需访问数据库的想法。

AppHarbor 项目的另一个问题,正如在这个公开的问题中所指出的,是加密算法没有得到验证。这并不完全正确,因为 AppHarbor 与算法无关,但是要求示例项目应该显示如何使用PBKDF2。出于这个原因,我决定在我的代码中使用这个算法(通过Rfc2898DeriveBytes 类在 .NET Framework 中实现)。

这就是我能想到的。对于希望实施自己的会话管理的人来说,它是一个起点,因此请随意将其用于您认为合适的任何目的。

using System;
using System.IO;
using System.Linq;
using System.Runtime.Serialization.Formatters.Binary;
using System.Security;
using System.Security.Cryptography;
using System.Security.Principal;
using System.Web;

namespace AuthTest
{
   [Serializable]
   public class AuthIdentity : IIdentity
   {
      public Guid Id { get; private set; }
      public string Name { get; private set; }

      public AuthIdentity() { }

      public AuthIdentity(Guid id, string name)
      {
         Id = id;
         Name = name;
      }

      public string AuthenticationType
      {
         get { return "CookieAuth"; }
      }

      public bool IsAuthenticated
      {
         get { return Id != Guid.Empty; }
      }
   }

   [Serializable]
   public class AuthToken : IPrincipal
   {
      public IIdentity Identity { get; set; }

      public bool IsInRole(string role)
      {
         return false;
      }
   }

   public class AuthModule : IHttpModule
   {
      static string COOKIE_NAME = "AuthCookie";

      //Note: Change these two keys to something else (VALIDATION_KEY is 72 bytes, ENCRYPTION_KEY is 64 bytes)
      static string VALIDATION_KEY = @"MkMvk1JL/ghytaERtl6A25iTf/ABC2MgPsFlEbASJ5SX4DiqnDN3CjV7HXQI0GBOGyA8nHjSVaAJXNEqrKmOMg==";
      static string ENCRYPTION_KEY = @"QQJYW8ditkzaUFppCJj+DcCTc/H9TpnSRQrLGBQkhy/jnYjqF8iR6do9NvI8PL8MmniFvdc21sTuKkw94jxID4cDYoqr7JDj";

      static byte[] key;
      static byte[] iv;
      static byte[] valKey;

      public void Dispose()
      {
      }

      public void Init(HttpApplication context)
      {
         context.AuthenticateRequest += OnAuthenticateRequest;
         context.EndRequest += OnEndRequest;

         byte[] bytes = Convert.FromBase64String(ENCRYPTION_KEY); //72 bytes (8 for salt, 64 for key)
         byte[] salt = bytes.Take(8).ToArray();
         byte[] pw = bytes.Skip(8).ToArray();

         Rfc2898DeriveBytes k1 = new Rfc2898DeriveBytes(pw, salt, 1000);
         key = k1.GetBytes(16);
         iv = k1.GetBytes(8);

         valKey = Convert.FromBase64String(VALIDATION_KEY); //64 byte validation key to prevent tampering
      }

      public static void SetCookie(AuthIdentity token, bool rememberMe = false)
      {
         //Base64 encode token
         var formatter = new BinaryFormatter();
         MemoryStream stream = new MemoryStream();
         formatter.Serialize(stream, token);
         byte[] buffer = stream.GetBuffer();
         byte[] encryptedBytes = EncryptCookie(buffer);

         string str = Convert.ToBase64String(encryptedBytes);

         var cookie = new HttpCookie(COOKIE_NAME, str);
         cookie.HttpOnly = true;

         if (rememberMe)
         {
            cookie.Expires = DateTime.Today.AddDays(100);
         }

         HttpContext.Current.Response.Cookies.Add(cookie);
      }

      public static void Logout()
      {
         HttpContext.Current.Response.Cookies.Remove(COOKIE_NAME);
         HttpContext.Current.Response.Cookies.Add(new HttpCookie(COOKIE_NAME, "")
            {
               Expires = DateTime.Today.AddDays(-1)
            });
      }

      private static byte[] EncryptCookie(byte[] rawBytes)
      {
         TripleDES des = TripleDES.Create();
         des.Key = key;
         des.IV = iv;

         MemoryStream encryptionStream = new MemoryStream();
         CryptoStream encrypt = new CryptoStream(encryptionStream, des.CreateEncryptor(), CryptoStreamMode.Write);

         encrypt.Write(rawBytes, 0, rawBytes.Length);
         encrypt.FlushFinalBlock();
         encrypt.Close();
         byte[] encBytes = encryptionStream.ToArray();

         //Add validation hash (compute hash on unencrypted data)
         HMACSHA256 hmac = new HMACSHA256(valKey);
         byte[] hash = hmac.ComputeHash(rawBytes);

         //Combine encrypted bytes and validation hash
         byte[] ret = encBytes.Concat<byte>(hash).ToArray();

         return ret;
      }

      private static byte[] DecryptCookie(byte[] encBytes)
      {
         TripleDES des = TripleDES.Create();
         des.Key = key;
         des.IV = iv;

         HMACSHA256 hmac = new HMACSHA256(valKey);
         int valSize = hmac.HashSize / 8;
         int msgLength = encBytes.Length - valSize;
         byte[] message = new byte[msgLength];
         byte[] valBytes = new byte[valSize];
         Buffer.BlockCopy(encBytes, 0, message, 0, msgLength);
         Buffer.BlockCopy(encBytes, msgLength, valBytes, 0, valSize);

         MemoryStream decryptionStreamBacking = new MemoryStream();
         CryptoStream decrypt = new CryptoStream(decryptionStreamBacking, des.CreateDecryptor(), CryptoStreamMode.Write);
         decrypt.Write(message, 0, msgLength);
         decrypt.Flush();

         byte[] decMessage = decryptionStreamBacking.ToArray();

         //Verify key matches
         byte[] hash = hmac.ComputeHash(decMessage);
         if (valBytes.SequenceEqual(hash))
         {
            return decMessage;
         }

         throw new SecurityException("Auth Cookie appears to have been tampered with!");
      }

      private void OnAuthenticateRequest(object sender, EventArgs e)
      {
            var context = ((HttpApplication)sender).Context;
         var cookie = context.Request.Cookies[COOKIE_NAME];
         if (cookie != null && cookie.Value.Length > 0)
         {
            try
            {
               var formatter = new BinaryFormatter();
               MemoryStream stream = new MemoryStream();
               var bytes = Convert.FromBase64String(cookie.Value);
               var decBytes = DecryptCookie(bytes);
               stream.Write(decBytes, 0, decBytes.Length);
               stream.Seek(0, SeekOrigin.Begin);
               AuthIdentity auth = formatter.Deserialize(stream) as AuthIdentity;
               AuthToken token = new AuthToken() { Identity = auth };
               context.User = token;

               //Renew the cookie for another 100 days (TODO: Should only renew if cookie was originally set to persist)
               context.Response.Cookies[COOKIE_NAME].Value = cookie.Value;
               context.Response.Cookies[COOKIE_NAME].Expires = DateTime.Today.AddDays(100);
            }
            catch { } //Ignore any errors with bad cookies
         }
      }

      private void OnEndRequest(object sender, EventArgs e)
      {
         var context = ((HttpApplication)sender).Context;
         var response = context.Response;
         if (response.Cookies.Keys.Cast<string>().Contains(COOKIE_NAME))
         {
            response.Cache.SetCacheability(HttpCacheability.NoCache, "Set-Cookie");
         }
      }
   }
}

此外,请务必在您的web.config文件中包含以下模块:

<httpModules>
  <add name="AuthModule" type="AuthTest.AuthModule" />
</httpModules>

在您的代码中,您可以使用以下命令查找当前登录的用户:

var id = HttpContext.Current.User.Identity as AuthIdentity;

并像这样设置身份验证cookie:

AuthIdentity token = new AuthIdentity(Guid.NewGuid(), "Mike");
AuthModule.SetCookie(token, false);
于 2012-10-26T22:12:55.957 回答