用ASP.NET Core 2.1 建立規范的 REST API -- 保護API和其它

標准的認證流程開始於一個訪問服務器被保護資源的匿名請求, HTTP服務器隨后處理了該請求並決定拒絕讓它訪問被保護的資源, 因為該請求沒有憑據; 隨后HTTP Server發送了一個WWW-Authenticate Header回去, 這表示它需要這套認證方案. 然后客戶端再次發送請求的時候包含了一個Authorization Header, 它的值符合HTTP Server的認證方案. 當服務器收到這次請求時, 它驗證了Authorization Header里的憑據, 並讓請求通過了管道.

服務器可以提供多種認證方案, 客戶端只需選擇其中一種即可, 上圖中使用的是Basic 認證方案. 還有其它的認證方案:

匿名 Anonymous 也可以當作是一種方案吧, 就當作是授權給所有人好了
Basic 認證方案, 它是一種比較老的方案, n年前經常被使用. 它太簡單了, 它的值是含有用戶名和密碼組成的字符串, 並用冒號(:)連接, 並且編碼為Base64字符串. 例如username為dave, 密碼為1234, 那么Authorization Header的值就是: Authorization: Basic ZGF2ZToxMjM0.
Digest 認證方案, 它作為Basic的代替者出現的. 服務器會給客戶端發送一個隨機字符串作為一個challenge(盤問, 質疑, 挑戰), 這個隨機字符串叫做nonce(可以理解為臨時生成的字符串). 而客戶端通過發送一個帶有用戶名, 密碼, nonce和其它信息的hash來進行認證.
Bear 認證方案, 它是最流行也是更安全的認證方案. 它使用Bearer Tokens (承載令牌) 來訪問由OAuth 2.0協議保護的資源. 任何擁有bearer token的人都可以訪問相關的資源. bearer token的生命周期通常很短, 會過期. 例子: Authorization: Bearer: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c.
NTLM認證方案, 它是NTLAN Manager的縮寫, 它是一種挑戰--響應的方案, 要比Digest更安全. 這種方案使用Windows憑據來轉化盤問的數據, 而不是使用編碼的憑據.
Negotiate 認證方案, 它會自動選擇NTLM方案和Kerberos協議中的一個, Kerboros協議比NTLM快.

后兩種方案都僅限於Windows系統.

這幾種方案里Basic提供的保護程度/級別最低, 而Negotiate最高/強.

ASP.NET Core可選擇的認證提供商就很多了, 例如ASP.NET Core Identity. 但是它主要用於包含頁面的web應用, 例如MVC或Razor Page, 並不適用於REST/Web API, 所以不介紹它了.

如果應用部署在雲上, 可以使用Azure Active Directory(AAD) 和 Azure Active Directory B2C (Azure AD B2C). 我沒用過, 就不介紹了.

第三方的認證提供商有很多: AspNet.Security.OpenIdConnect.Server(ASOS), IdentityServer4, OpenIddict, Pwdless.....

我一直在用Identity Server 4, 但是這里不會深入介紹, 這里主要介紹如何實現REST API, 如果有需要的話, 可以寫一系列關於Identity Server 4的文章.

選項很多, 但是要實現的話還需要了解JSON Web Tokens (JWT), 它是一個基於JSON的開放工業標准, 它用於為雙方表示一些聲明. 它提供了一種緊湊的, 自包含的方式在雙方之間用JSON對象來傳輸信息.

JWT使用 HMAC secret 或 RAS公有和私有鍵對(key pair) 這兩種方式來進行簽名.

JWT由三部分組成: header, payload, signature. 形式如下面的偽代碼: [X=base64(header)].[Y=base64(payload)].[signature([X].[Y])] .

去這個網址可以更直觀的理解這三部分: jwt.io

JWT token最終是一個字符串, 它的三個部分用點(.)分開, 前兩部分(header payload)是Base64編碼的字符串; 最后一部分是前兩個Base64字符串的組合, 也是用點(.)分開並進行了簽名, 如下圖:

使用Bearer方案和JWT的流程如下:

配置項目, 在Startup的ConfigureServices里:

如果使用Identity Server 4的話, 這里就可以不這樣寫了.

首先我們配置使用Bearer認證方案, 然后通過AddJwtBearer設定一些參數. Configuration里面的值可以放在appSettings.json里面或者其它地方:

然后在Configure方法里調用app.UseAuthentication()方法, 要在app.UseMvc()之前調用:

最后使用[Authorize]屬性標簽把CountryController保護起來, 也可以應用於Action級:

發送不帶Authorization Header的請求來測試:

返回 401 Unauthorized 未授權.

返回的Header里面告訴我們應該使用Bearer認證方案.

下面我們需要一個可以生成JWT token的節點, 針對本文我就在本項目里建立這個節點吧:

請求token的地址是 /api/authentication, 請求token用的是Basic方案, Post方法里就是先解碼, 驗證用戶名和密碼, 成功后調用GenerateToken生成token.

那就按要求再次發送請求:

注意這里usename:password的base64編碼是: dXNlcm5hbWU6cGFzc3dvcmQ=

現在我獲得了token, 然后我用token再次請求Country資源:

資源就可以正常的訪問了.

想要解析這個token, 需要到jwt.io:

箭頭處需要填上secret.

這個例子比較簡單, 實際應用中還是使用Identity Server 4之類的東西吧.

使用HTTPS

根據官方文檔(https://docs.microsoft.com/en-us/aspnet/core/security/enforcing-ssl?view=aspnetcore-2.1&tabs=visual-studio#require-https), 它建議ASP.NET Core web應用都應該調用HTTPS重定向中間件, 這樣就可以把所有的HTTP請求轉換為HTTPS.

只需要在Startup的Configure方法里調用UseHttpsRedirection()方法即可:

而在ConfigureServices方法里可以配置這個中間件:

HSTS (HTTP 嚴格的傳輸安全協議)

web應用通過使用特殊的響應header可以選擇使用加強的安全協議OWASP(Open Web Application Security Project), HSTS(HTTP Strict Transport Security). 當所支持的瀏覽器接收到這個header的時候, 瀏覽器就會阻止任何通過HTTP到指定域名的通信, 會使用HTTPS代替. 同時它也會阻止從瀏覽提的提示框點擊的HTTPS.

為實現這個只需要在Startup的Configure里使用: