OWIN de Sécurité - Comment mettre en place OAuth2 Actualisation des Jetons

Je suis à l'aide de l'Api du Web 2 modèle est livré avec Visual Studio 2013 a quelques OWIN middleware pour faire de l'Authentification de l'Utilisateur et les goûts de.

Dans le OAuthAuthorizationServerOptions j'ai remarqué que le OAuth2 Serveur est configuré pour distribuer les jetons qui expire dans 14 jours

 OAuthOptions = new OAuthAuthorizationServerOptions
 {
      TokenEndpointPath = new PathString("/api/token"),
      Provider = new ApplicationOAuthProvider(PublicClientId,UserManagerFactory) ,
      AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
      AccessTokenExpireTimeSpan = TimeSpan.FromDays(14),
      AllowInsecureHttp = true
 };

Ce n'est pas adapté pour mon dernier projet. Je tiens à main de courte durée bearer_tokens qui peuvent être actualisées à l'aide d'un refresh_token

J'ai fait beaucoup de recherches sur google et ne peut pas trouver quelque chose d'utile.

Donc, c'est comment à présent, j'ai réussi à obtenir. J'ai maintenant atteint le point de "WTF dois-je maintenant".

J'ai écrit un RefreshTokenProvider qui implémente IAuthenticationTokenProvider que par la RefreshTokenProvider bien sur OAuthAuthorizationServerOptions classe:

    public class SimpleRefreshTokenProvider : IAuthenticationTokenProvider
    {
       private static ConcurrentDictionary<string, AuthenticationTicket> _refreshTokens = new ConcurrentDictionary<string, AuthenticationTicket>();

        public async Task CreateAsync(AuthenticationTokenCreateContext context)
        {
            var guid = Guid.NewGuid().ToString();


            _refreshTokens.TryAdd(guid, context.Ticket);

            //hash??
            context.SetToken(guid);
        }

        public async Task ReceiveAsync(AuthenticationTokenReceiveContext context)
        {
            AuthenticationTicket ticket;

            if (_refreshTokens.TryRemove(context.Token, out ticket))
            {
                context.SetTicket(ticket);
            }
        }

        public void Create(AuthenticationTokenCreateContext context)
        {
            throw new NotImplementedException();
        }

        public void Receive(AuthenticationTokenReceiveContext context)
        {
            throw new NotImplementedException();
        }
    }

    //Now in my Startup.Auth.cs
    OAuthOptions = new OAuthAuthorizationServerOptions
    {
        TokenEndpointPath = new PathString("/api/token"),
        Provider = new ApplicationOAuthProvider(PublicClientId,UserManagerFactory) ,
        AuthorizeEndpointPath = new PathString("/api/Account/ExternalLogin"),
        AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(2),
        AllowInsecureHttp = true,
        RefreshTokenProvider = new RefreshTokenProvider() //This is my test
    };

Alors maintenant, quand quelqu'un demande une bearer_token je suis maintenant en envoyant un refresh_token, ce qui est excellent.

Alors maintenant, comment puis-je utilise cette refresh_token pour obtenir une nouvelle bearer_token, sans doute j'ai besoin d'envoyer une demande à mon jeton de point de terminaison de certains en-Têtes HTTP ensemble?

Il suffit de penser à haute voix que je tape... dois-je les traiter refresh_token expiration dans mon SimpleRefreshTokenProvider? Comment un client d'obtenir un nouveau refresh_token?

Que je pouvais vraiment faire avec certains matériels de lecture et de documentation, parce que je ne veux pas de se tromper et souhaitez suivre une sorte de standard.

InformationsquelleAutor SimonGates | 2013-12-17
  1. 74

    Juste à mes OWIN Service Porteur (appelé access_token dans la suite) et d'Actualisation des Jetons. Mon aperçu de cette est que vous pouvez utiliser différents flux. Donc, cela dépend de la circulation que vous souhaitez utiliser comment vous définissez votre access_token et refresh_token temps d'expiration.

    Je vais vous décrire deux flux Un et B dans les suivantes (je suggère ce que vous voulez est le flux de B):

    A) heure d'expiration de l'access_token et refresh_token sont les mêmes que c'est par défaut 1200 secondes ou 20 minutes. Ce flux a besoin de votre client premier à envoyer client_id et client_secret avec les données de connexion pour obtenir une access_token, refresh_token et expiration_time. Avec le refresh_token il est maintenant possible d'obtenir un nouveau access_token pendant 20 minutes (ou ce que vous définissez la AccessTokenExpireTimeSpan dans le OAuthAuthorizationServerOptions pour). Pour la raison que le temps d'expiration de l'access_token et refresh_token sont les mêmes, votre client est responsable pour obtenir un nouveau access_token avant l'expiration du temps! E. g. votre client peut envoyer une actualisation de POSTE de l'appel à votre jeton d'extrémité avec le corps (remarque: vous devez utiliser le protocole https en production) 

    grant_type=refresh_token&client_id=xxxxxx&refresh_token=xxxxxxxx-xxxx-xxxx-xxxx-xxxxx

    pour obtenir un nouveau jeton par exemple, après 19 minutes pour éviter que les jetons à partir de l'expiration.

    B) dans ce flux vous voulez avoir un effet à court terme de l'expiration de votre access_token et une longue durée d'expiration de votre refresh_token. Supposons à des fins de test, vous définissez l'access_token à échéance dans 10 secondes (AccessTokenExpireTimeSpan = TimeSpan.FromSeconds(10)) et le refresh_token à 5 Minutes. Maintenant vient la partie la plus intéressante du réglage de l'heure d'expiration de l'refresh_token: Vous faire dans votre createAsync fonction dans SimpleRefreshTokenProvider classe comme ceci:

    var guid = Guid.NewGuid().ToString();


        //copy properties and set the desired lifetime of refresh token
        var refreshTokenProperties = new AuthenticationProperties(context.Ticket.Properties.Dictionary)
        {
            IssuedUtc = context.Ticket.Properties.IssuedUtc,
            ExpiresUtc = DateTime.UtcNow.AddMinutes(5) //SET DATETIME to 5 Minutes
            //ExpiresUtc = DateTime.UtcNow.AddMonths(3) 
        };
        /*CREATE A NEW TICKET WITH EXPIRATION TIME OF 5 MINUTES 
         *INCLUDING THE VALUES OF THE CONTEXT TICKET: SO ALL WE 
         *DO HERE IS TO ADD THE PROPERTIES IssuedUtc and 
         *ExpiredUtc to the TICKET*/
        var refreshTokenTicket = new AuthenticationTicket(context.Ticket.Identity, refreshTokenProperties);

        //saving the new refreshTokenTicket to a local var of Type ConcurrentDictionary<string,AuthenticationTicket>
        //consider storing only the hash of the handle
        RefreshTokens.TryAdd(guid, refreshTokenTicket);            
        context.SetToken(guid);

    Maintenant votre client est en mesure d'envoyer un appel POST avec un refresh_token à votre jeton de point de terminaison lorsque le access_token est expiré. La partie du corps de l'appel peut ressembler à ceci: grant_type=refresh_token&client_id=xxxxxx&refresh_token=xxxxxxxx-xxxx-xxxx-xxxx-xx

    Une chose importante est que vous pouvez utiliser ce code, non seulement dans vos CreateAsync fonction mais aussi dans la création de la fonction. Donc, vous devriez envisager d'utiliser votre propre fonction (par exemple appelé CreateTokenInternal) pour le code ci-dessus.
    Ici vous pouvez trouver les implémentations des différents flux, y compris refresh_token flux(mais sans définir le délai d'expiration de la refresh_token)

    Voici un exemple de mise en œuvre de IAuthenticationTokenProvider sur github (avec réglage de la date d'expiration de l'refresh_token)

    Je suis désolé que je ne peux pas vous aider avec d'autres matériaux que le protocole OAuth les Spécifications et la Documentation de l'API de Microsoft. Je voudrais poster les liens ici, mais ma réputation ne me permet pas de poster plus de 2 liens....

    J'espère que cela peut aider certains autres pour gagner du temps lors de la tentative de mettre en œuvre OAuth2.0 avec refresh_token temps d'expiration différente de access_token temps d'expiration. Je ne pouvais pas trouver un exemple de mise en œuvre sur le web (à l'exception de celui de thinktecture lien ci-dessus) et il m'a fallu quelques heures de l'enquête jusqu'à ce qu'il a travaillé pour moi.

    Nouvelle info: Dans mon cas, j'ai deux possibilités différentes pour recevoir des jetons. On est à un access_token. Là, j'ai envoyer un appel POST avec un ensemble de Cordes en format application/x-www-form-urlencoded avec les données suivantes 

    client_id=YOURCLIENTID&grant_type=password&username=YOURUSERNAME&password=YOURPASSWORD

    Seconde est si access_token n'est plus valide, nous pouvons tenter de le refresh_token par l'envoi d'un POSTE téléphonique avec un ensemble de Cordes en format application/x-www-form-urlencoded avec les données suivantes grant_type=refresh_token&client_id=YOURCLIENTID&refresh_token=YOURREFRESHTOKENGUID

    • l'un de vos commentaires dit "pensez à stocker ony le hachage de la poignée", ne devrait-on pas que les commentaires s'appliquent à la ligne du dessus? Le billet détient l'original guid, mais nous ne stockons la valeur de hachage de la guid dans RefreshTokens, donc si RefreshTokens est une fuite, un attaquant ne peut pas utiliser cette information!?
    • il semble que cela; a demandé à l'OA: github.com/thinktecture/Thinktecture.IdentityModel/commit/...
    • Oui, vous avez raison.
    • Dans Un flux, chaque fois que vous actualisez la page, vous pouvez réinitialiser le code javascript de la minuterie pour un nouveau compte à rebours jusqu'à 19 minutes. Mais alors cela veut dire que vous devez obtenir un nouveau jeton d'accès et d'actualisation d'un jeton sur chaque actualisation de la page? Que les sons de gaspillage de jetons si vrai 🙂 Cant l'heure d'expiration de l'existant jeton-elle être prolongée?
    • Comme décrit dans le flux de B vous pouvez définir le délai d'expiration pour access_token en utilisant AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(60) pour une heure ou FromWHATEVER pour le temps que vous voulez l'access_token le point d'expirer. Mais sachez que si vous utilisez refresh_token dans votre flux de la date d'expiration de votre refresh_token devrait être plus élevé que celui de votre access_token. Ainsi, par exemple, nous 24 heures pour access_token et 2 mois pour refresh_token. Vous pouvez définir le délai d'expiration de access_token dans OAuth de configuration.
    • Vous pouvez toujours régler la date d'expiration des deux types de jeton - ce n'est pas la personne à charge sur le flux que vous utilisez.
    • Voir ma réponse ci-dessous, pour une mise en œuvre de jeton de hachage.
    • qu'est-ce que client_id, le client ne peut envoyer qu'? si oui, où est-il l'obtenir à partir d', en premier lieu?
    • Ne pas utiliser le Guid pour vos jetons, ni de hachages d'entre eux, il n'est pas sécurisé. Utiliser le Système.Espace de noms cryptographie à générer de façon aléatoire un tableau d'octets et de convertir une chaîne de caractères. Sinon, votre actualiser les jetons peuvent être deviné par les attaques de force brute.
    • Belle réponse ! Je veux mettre en œuvre des Chiffres à des fins d'authentification qui va me fournir d'identification du client et ensuite comment je vais passer pour générer les accès à jeton et de l'actualisation à l'aide jeton OAuth 2.0?
    • Tu vas brute-force-deviner un Guid? Votre taux de limiteur devrait coup de pied dans le chemin avant que l'attaquant pourrait poster même une poignée de demandes. Et si non, c'est toujours un Guid.
    • non, je ne suis pas. Pas seulement ce qui est. Mais je pourrais être en mesure de deviner et de limiter le problème de l'espace de manière substantielle. stackoverflow.com/questions/3652944/...

    InformationsquelleAutor Freddy
  2. 40

    Vous avez besoin pour mettre en œuvre RefreshTokenProvider.
    D'abord créer une classe pour RefreshTokenProvider ie.

    public class ApplicationRefreshTokenProvider : AuthenticationTokenProvider
{
    public override void Create(AuthenticationTokenCreateContext context)
    {
        //Expiration time in seconds
        int expire = 5*60;
        context.Ticket.Properties.ExpiresUtc = new DateTimeOffset(DateTime.Now.AddSeconds(expire));
        context.SetToken(context.SerializeTicket());
    }

    public override void Receive(AuthenticationTokenReceiveContext context)
    {
        context.DeserializeTicket(context.Token);
    }
}

    Puis ajouter une instance de OAuthOptions.

    OAuthOptions = new OAuthAuthorizationServerOptions
{
    TokenEndpointPath = new PathString("/authenticate"),
    Provider = new ApplicationOAuthProvider(),
    AccessTokenExpireTimeSpan = TimeSpan.FromSeconds(expire),
    RefreshTokenProvider = new ApplicationRefreshTokenProvider()
};
    • Cela permettra de créer et de retour d'un nouveau jeton d'actualisation à chaque fois, même quand on pourra peut-être intressted dans le retour d'un nouveau jeton d'accès et pas un nouveau jeton d'actualisation aswell. Par exemple wen appelant à un jeton d'accès mais avec un jeton d'actualisation et non pas des informations d'identification(nom d'utilisateur/mot de passe). Est-il de toute façon à l'éviter?
    • Vous pouvez, mais il n'est pas assez. Le context.OwinContext.Environment contient un Microsoft.Owin.Form#collection clé qui vous donne un FormCollection où vous pouvez trouver le type de subvention et d'ajouter un jeton en conséquence. C'est la fuite de la mise en œuvre, il peut se casser à tout moment avec les futures mises à jour, et je suis pas sur si c'est portable entre OWIN hôtes.
    • vous pouvez éviter l'émission d'un nouveau jeton d'actualisation à chaque fois par la lecture de la "grant_type" valeur de la OwinRequest objet, comme suit: var form = await context.Request.ReadFormAsync(); var grantType = form.GetValue("grant_type"); puis le problème de l'actualisation jeton si la subvention n'est pas de type "refresh_token"
    • Vous auriez encore envie de retourner un nouveau jeton d'actualisation dans ce scénario. Sinon, le client est à gauche dans un virage après l'actualisation, pour la première fois, parce que le deuxième jeton d'accès expire et ils n'ont aucun moyen d'actualiser sans une demande d'informations d'identification.
    InformationsquelleAutor Mauricio
  3. 8

    Je ne pense pas que vous devriez être en utilisant un tableau de maintenir les jetons. Ni vous besoin d'un guid comme un jeton.

    Vous pouvez facilement utiliser le contexte.SerializeTicket().

    Voir mon code ci-dessous.

    public class RefreshTokenProvider : IAuthenticationTokenProvider
{
public async Task CreateAsync(AuthenticationTokenCreateContext context)
{
Create(context);
}
public async Task ReceiveAsync(AuthenticationTokenReceiveContext context)
{
Receive(context);
}
public void Create(AuthenticationTokenCreateContext context)
{
object inputs;
context.OwinContext.Environment.TryGetValue("Microsoft.Owin.Form#collection", out inputs);
var grantType = ((FormCollection)inputs)?.GetValues("grant_type");
var grant = grantType.FirstOrDefault();
if (grant == null || grant.Equals("refresh_token")) return;
context.Ticket.Properties.ExpiresUtc = DateTime.UtcNow.AddDays(Constants.RefreshTokenExpiryInDays);
context.SetToken(context.SerializeTicket());
}
public void Receive(AuthenticationTokenReceiveContext context)
{
context.DeserializeTicket(context.Token);
if (context.Ticket == null)
{
context.Response.StatusCode = 400;
context.Response.ContentType = "application/json";
context.Response.ReasonPhrase = "invalid token";
return;
}
if (context.Ticket.Properties.ExpiresUtc <= DateTime.UtcNow)
{
context.Response.StatusCode = 401;
context.Response.ContentType = "application/json";
context.Response.ReasonPhrase = "unauthorized";
return;
}
context.Ticket.Properties.ExpiresUtc = DateTime.UtcNow.AddDays(Constants.RefreshTokenExpiryInDays);
context.SetTicket(context.Ticket);
}
}
    InformationsquelleAutor peeyush rahariya
  4. 2

    La réponse de Freddy m'a beaucoup aidé à obtenir ce travail. Par souci d'exhaustivité, voici comment vous pouvez mettre en œuvre le hachage du jeton:

    private string ComputeHash(Guid input)
{
byte[] source = input.ToByteArray();
var encoder = new SHA256Managed();
byte[] encoded = encoder.ComputeHash(source);
return Convert.ToBase64String(encoded);
}

    Dans CreateAsync:

    var guid = Guid.NewGuid();
...
_refreshTokens.TryAdd(ComputeHash(guid), refreshTokenTicket);
context.SetToken(guid.ToString());

    ReceiveAsync:

    public async Task ReceiveAsync(AuthenticationTokenReceiveContext context)
{
Guid token;
if (Guid.TryParse(context.Token, out token))
{
AuthenticationTicket ticket;
if (_refreshTokens.TryRemove(ComputeHash(token), out ticket))
{
context.SetTicket(ticket);
}
}
}
    • Comment hachage aider dans ce cas?
    • La solution d'origine stocké le Guid. Avec hachage nous ne sommes pas en gardant le texte brut jeton mais son hachage. Si vous stockez les jetons dans une base de données par exemple, il est préférable de stocker la table de hachage. Si la base de données est compromise, les jetons sont inutilisables tant qu'ils sont cryptés.
    • Non seulement pour se protéger contre les menaces extérieures, mais aussi pour empêcher les employés (qui ont accès à la base de données) à partir de voler les jetons.
    InformationsquelleAutor Knelis