主頁 > .NET開發 > MASA Auth - SSO與Identity設計

MASA Auth - SSO與Identity設計

2022-06-07 06:00:35 .NET開發

AAAA

AAAA即認證、授權、審計、賬號(Authentication、Authorization、Audit、Account),在安全領域我們繞不開的兩個問題:

  • 授權程序可靠:讓第三方程式能夠訪問所需資源又不泄露用戶資料,常用的多方授權協議主要有 OAuth2 和 SAML 2.0

  • 授權結果可控:授權結果用于功能或資源的訪問控制,常見的權限控制模型:DAC、MAC、RBAC、ABAC

    想了解權限控制模型的話可以參照上一篇的權限設計

OpenId(Authentication)

OpenID 是一個以用戶為中心的數字身份識別框架,它具有開放、分散性,OpenID 的創建基于這樣一個概念:我們可以通過 URI (又叫 URL 或網站地址)來認證一個網站的唯一身份,同理,我們也可以通過這種方式來作為用戶的身份認證

對于支持OpenID的網站,用戶不需要記住像用戶名和密碼這樣的傳統驗證標記,取而代之的是,他們只需要預先在一個作為OpenID身份提供者(Identity Provider, IDP)的網站上注冊,

OAuth2(Authorization)

舉個例子:MASA.Contrib使用codecov來分析單元測驗覆寫率,OAuth2幫我解決了幾個安全問題:

  • 密碼泄露:不需要把賬號密碼告訴codecov
  • 訪問范圍:只開放讀取原始碼的能力
  • 權限回收:在Github上撤回授權即可關閉codecov的訪問能力

那OAuth2是如何解決的呢

我們來看一張圖

oauth flow.jpg

OIDC(Authentication & Authorization)

OpenID Connect 1.0是OAuth 2.0協議之上的一個簡單的身份層, 它允許客戶端基于授權服務器執行的身份驗證來驗證終端用戶的身份,并以一種可互操作的、類似rest的方式獲取關于終端用戶的基本概要資訊,

oidc.png

OIDC常用術語

  • EU:End User:終端用戶

  • RP:Relying Party,用來代指OAuth2中的受信任的客戶端,身份認證和授權資訊的消費方

  • OP:OpenID Provider,有能力提供EU認證的服務(比如OAuth2中的授權服務),用來為RP提供EU的身份認證資訊

  • ID Token:JWT格式的資料,包含EU身份認證的資訊

  • UserInfo Endpoint:用戶資訊介面(受OAuth2保護),當RP使用Access Token訪問時,回傳授權用戶的資訊,此介面必須使用HTTPS

OIDC作業流

  1. RP發送一個認證請求給OP
  2. OP對EU進行身份認證,然后提供授權
  3. OP把ID Token和Access Token(需要的話)回傳給RP
  4. RP使用Access Token發送一個請求UserInfo EndPoint
  5. UserInfo EndPoint回傳EU的Claims

oidc flow.jpg

JWT

JWT(JSON Web token)是一個開放的、行業標準的RFC 7519方法,用于在雙方之間安全地表示宣告,

JWT由3部分組成:標頭(Header)、有效載荷(Payload)和簽名(Signature),在傳輸的時候,會將JWT的3部分分別進行Base64編碼后用.進行連接形成最終傳輸的字串

JWT=Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header)+"."+base64UrlEncode(payload),secret)

JWT頭是一個描述JWT元資料的JSON物件,alg屬性表示簽名使用的演算法,默認為HMAC SHA256(寫為HS256);typ屬性表示令牌的型別,JWT令牌統一寫為JWT,最后,使用Base64 URL演算法將上述JSON物件轉換為字串保存

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

有效載荷部分,是JWT的主體內容部分,也是一個JSON物件,包含需要傳遞的資料(允許自定義),

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Signature

簽名哈希部分是對上面兩部分資料簽名,需要使用base64編碼后的header和payload資料,通過指定的演算法生成哈希,以確保資料不會被篡改

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  your-256-bit-secret
)

Identity Server 4常用術語

  • Client:一個從 IdentityServer 請求令牌的軟體——用于驗證用戶(請求身份令牌)或訪問資源(請求訪問令牌),客戶端必須先向 IdentityServer 注冊,然后才能請求令牌

    • Allowed Scopes:即可以是Identity Resource,也可以是Api Scopes和Api Resources
  • Resource:您希望使用 IdentityServer 保護的東西,如用戶的身份資料或 API,資源名稱唯一

    • API Scope:API作用域

      可以當做是Permission來用,示例見:https://docs.duendesoftware.com/identityserver/v6/fundamentals/resources/api_scopes/

    • Identity Resource:關于用戶的身份資訊(又名宣告),例如姓名或電子郵件地址

      • User Claims:身份宣告,例如sub,name,amr,auth_time等
      • Identity Properties:身份資源本身的一些屬性,例如session_id,issued,expired等
      • Identity Grants:被授予的身份資訊
    • API Resource:一組API Scope

      • User Claims:需要包含在Access Token中的用戶宣告串列

      • API Resource Scope:API資源包含的作用域

      • API Properties:API本身的一些屬性,例如name, display name, description等

      • API Grants:被授權的API串列

  • Identity Token:身份令牌代表身份驗證程序的結果,它至少包含用戶的識別符號以及有關用戶如何以及何時進行身份驗證的資訊,它可以包含額外的身份資料

  • Access Token:訪問令牌允許訪問 API 資源,客戶端請求訪問令牌并將其轉發到 API,訪問令牌包含有關客戶端和用戶(如果存在)的資訊, API 使用該資訊來授權訪問其資料

  • Grant Types:授權型別(其實還有Resource owner password,不推薦使用,就不過多介紹了)

    參考自:https://docs.duendesoftware.com/identityserver/v6/overview/terminology/

    • Machine/Robot:Client Credentials

    • Web Applications:Authorization Code With PKCE(Proof Key for Code Exchange)

      通常我們會選擇id_token token作為response type

      還有一個選擇,就是Implicit,但在隱式流程中,所有令牌都通過瀏覽器傳輸,因此不允許重繪令牌等高級功能,作用范圍就是僅用于用戶身份驗證(服務器端和 JavaScript 應用程式),或身份驗證和訪問令牌請求(JavaScript 應用程式)

    • SPA:Authorization Code With PKCE

    • Native/Mobile Apps:Authorization Code With PKCE

    • TV/Limited Input Device:Device Flow RFC 8628

ASP.Net Core Identity常用術語

  • User:用戶

    • Action:操作,包括增刪改查
    • User Role:用戶角色
    • User Claim:用戶宣告
  • Role:角色

    • Action:操作,包括增刪改查
    • Role Claim:角色宣告
  • Claim: 宣告是一個名稱值對,表示使用者是什么,而不是使用者可以做什么, 基于宣告的授權檢查宣告的值并允許基于該值的資源訪問

  • Policy:策略

    • Require Role:要求角色
    • Require Claim:要求宣告
    • Require Assertion:更復雜的可以通過要求斷言來解決,它支持兩個多載的Func(實際是一個,因為有一個是Task)
    • Requirements:基于IAuthorizationRequirement介面定義一個要求,判斷要求要基于AuthorizationHandler<T>來實作對應的邏輯
      • 默認策略
      • 回退策略
      • 自定義授權屬性
  • Resource:資源

    • Imperative:官方翻譯是命令式,可以對特定的資源進行授權策略處理

依賴模型

masa auth erd.png

集成RBAC

通過.Net Core Identity的User Claimns將User Role與Api Resource、Api Scope、Identity Resource相關聯,可以在不同業務維度下獲取到用戶的角色

再配合ASP.Net Core Identity的Role或Policy進行資源授權判斷來達到SSO與RBAC的業務落地

總結

本章節涉及到OIDC、ASP.Net Core Identity和RBAC三部分內容,首先OIDC的知識體系就比較龐大,需要根據比較完善的檔案把概念都搞清楚以及為什么這么設計的原因,其次還要進行一些微調把OIDC、RBAC與ASP.Net Core Identity三者結合,可以看出依賴模型其實是個很粗的把各個環節串了起來,但實際落地程序中還免不了對依賴模型進行二次調整來滿足不同業務的需求,后續等MASA Auth落地后會再出第三篇文章來回顧和還原實際落地程序,

(本文章不代表最終設計)

開源地址

MASA.BuildingBlocks:https://github.com/masastack/MASA.BuildingBlocks

MASA.Contrib:https://github.com/masastack/MASA.Contrib

MASA.Utils:https://github.com/masastack/MASA.Utils

MASA.EShop:https://github.com/masalabs/MASA.EShop

MASA.Blazor:https://github.com/BlazorComponent/MASA.Blazor

如果你對我們的 MASA Framework 感興趣,無論是代碼貢獻、使用、提 Issue,歡迎聯系我們

16373211753064.png

轉載請註明出處,本文鏈接:https://www.uj5u.com/net/487007.html

標籤:C#

上一篇:洗掉ExpressValidator中的空格

下一篇:如何在DRF序列化程式中發現N 1查詢的原因

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • WebAPI簡介

    Web體系結構: 有三個核心:資源(resource),URL(統一資源識別符號)和表示 他們的關系是這樣的:一個資源由一個URL進行標識,HTTP客戶端使用URL定位資源,表示是從資源回傳資料,媒體型別是資源回傳的資料格式。 接下來我們說下HTTP. HTTP協議的系統是一種無狀態的方式,使用請求/ ......

    uj5u.com 2020-09-09 22:07:47 more
  • asp.net core 3.1 入口:Program.cs中的Main函式

    本文分析Program.cs 中Main()函式中代碼的運行順序分析asp.net core程式的啟動,重點不是剖析原始碼,而是理清程式開始時執行的順序。到呼叫了哪些實體,哪些法方。asp.net core 3.1 的程式入口在專案Program.cs檔案里,如下。ususing System; us ......

    uj5u.com 2020-09-09 22:07:49 more
  • asp.net網站作為websocket服務端的應用該如何寫

    最近被websocket的一個問題困擾了很久,有一個需求是在web網站中搭建websocket服務。客戶端通過網頁與服務器建立連接,然后服務器根據ip給客戶端網頁發送資訊。 其實,這個需求并不難,只是剛開始對websocket的內容不太了解。上網搜索了一下,有通過asp.net core 實作的、有 ......

    uj5u.com 2020-09-09 22:08:02 more
  • ASP.NET 開源匯入匯出庫Magicodes.IE Docker中使用

    Magicodes.IE在Docker中使用 更新歷史 2019.02.13 【Nuget】版本更新到2.0.2 【匯入】修復單列匯入的Bug,單元測驗“OneColumnImporter_Test”。問題見(https://github.com/dotnetcore/Magicodes.IE/is ......

    uj5u.com 2020-09-09 22:08:05 more
  • 在webform中使用ajax

    如果你用過Asp.net webform, 說明你也算是.NET 開發的老兵了。WEBform應該是2011 2013左右,當時還用visual studio 2005、 visual studio 2008。后來基本都用的是MVC。 如果是新開發的專案,估計沒人會用webform技術。但是有些舊版 ......

    uj5u.com 2020-09-09 22:08:50 more
  • iis添加asp.net網站,訪問提示:由于擴展配置問題而無法提供您請求的

    今天在iis服務器配置asp.net網站,遇到一個問題,記錄一下: 問題:由于擴展配置問題而無法提供您請求的頁面。如果該頁面是腳本,請添加處理程式。如果應下載檔案,請添加 MIME 映射。 WindowServer2012服務器,添加角色安裝完.netframework和iis之后,運行aspx頁面 ......

    uj5u.com 2020-09-09 22:10:00 more
  • WebAPI-處理架構

    帶著問題去思考,大家好! 問題1:HTTP請求和回傳相應的HTTP回應資訊之間發生了什么? 1:首先是最底層,托管層,位于WebAPI和底層HTTP堆疊之間 2:其次是 訊息處理程式管道層,這里比如日志和快取。OWIN的參考是將訊息處理程式管道的一些功能下移到堆疊下端的OWIN中間件了。 3:控制器處理 ......

    uj5u.com 2020-09-09 22:11:13 more
  • 微信門戶開發框架-使用指導說明書

    微信門戶應用管理系統,采用基于 MVC + Bootstrap + Ajax + Enterprise Library的技術路線,界面層采用Boostrap + Metronic組合的前端框架,資料訪問層支持Oracle、SQLServer、MySQL、PostgreSQL等資料庫。框架以MVC5,... ......

    uj5u.com 2020-09-09 22:15:18 more
  • WebAPI-HTTP編程模型

    帶著問題去思考,大家好!它是什么?它包含什么?它能干什么? 訊息 HTTP編程模型的核心就是訊息抽象,表示為:HttPRequestMessage,HttpResponseMessage.用于客戶端和服務端之間交換請求和回應訊息。 HttpMethod類包含了一組靜態屬性: private stat ......

    uj5u.com 2020-09-09 22:15:23 more
  • 部署WebApi隨筆

    一、跨域 NuGet參考Microsoft.AspNet.WebApi.Cors WebApiConfig.cs中配置: // Web API 配置和服務 config.EnableCors(new EnableCorsAttribute("*", "*", "*")); 二、清除默認回傳XML格式 ......

    uj5u.com 2020-09-09 22:15:48 more
最新发布
  • C#多執行緒學習(二) 如何操縱一個執行緒

    <a href="https://www.cnblogs.com/x-zhi/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/2943582/20220801082530.png" alt="" /></...

    uj5u.com 2023-04-19 09:17:20 more
  • C#多執行緒學習(二) 如何操縱一個執行緒

    C#多執行緒學習(二) 如何操縱一個執行緒 執行緒學習第一篇:C#多執行緒學習(一) 多執行緒的相關概念 下面我們就動手來創建一個執行緒,使用Thread類創建執行緒時,只需提供執行緒入口即可。(執行緒入口使程式知道該讓這個執行緒干什么事) 在C#中,執行緒入口是通過ThreadStart代理(delegate)來提供的 ......

    uj5u.com 2023-04-19 09:16:49 more
  • 記一次 .NET某醫療器械清洗系統 卡死分析

    <a href="https://www.cnblogs.com/huangxincheng/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/214741/20200614104537.png" alt="" /&g...

    uj5u.com 2023-04-18 08:39:04 more
  • 記一次 .NET某醫療器械清洗系統 卡死分析

    一:背景 1. 講故事 前段時間協助訓練營里的一位朋友分析了一個程式卡死的問題,回過頭來看這個案例比較經典,這篇稍微整理一下供后來者少踩坑吧。 二:WinDbg 分析 1. 為什么會卡死 因為是表單程式,理所當然就是看主執行緒此時正在做什么? 可以用 ~0s ; k 看一下便知。 0:000> k # ......

    uj5u.com 2023-04-18 08:33:10 more
  • SignalR, No Connection with that ID,IIS

    <a href="https://www.cnblogs.com/smartstar/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/u36196.jpg" alt="" /></a>...

    uj5u.com 2023-03-30 17:21:52 more
  • 一次對pool的誤用導致的.net頻繁gc的診斷分析

    <a href="https://www.cnblogs.com/dotnet-diagnostic/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/3115652/20230225090434.png" alt=""...

    uj5u.com 2023-03-28 10:15:33 more
  • 一次對pool的誤用導致的.net頻繁gc的診斷分析

    <a href="https://www.cnblogs.com/dotnet-diagnostic/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/3115652/20230225090434.png" alt=""...

    uj5u.com 2023-03-28 10:13:31 more
  • C#遍歷指定檔案夾中所有檔案的3種方法

    <a href="https://www.cnblogs.com/xbhp/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/957602/20230310105611.png" alt="" /></a&...

    uj5u.com 2023-03-27 14:46:55 more
  • C#/VB.NET:如何將PDF轉為PDF/A

    <a href="https://www.cnblogs.com/Carina-baby/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/2859233/20220427162558.png" alt="" />...

    uj5u.com 2023-03-27 14:46:35 more
  • 武裝你的WEBAPI-OData聚合查詢

    <a href="https://www.cnblogs.com/podolski/" target="_blank"><img width="48" height="48" class="pfs" src="https://pic.cnblogs.com/face/616093/20140323000327.png" alt="" /><...

    uj5u.com 2023-03-27 14:46:16 more