Qu'est-ce que ASP.NET l'Identité du IUserSecurityStampStore<TUser> interface?

Regardant ASP.NET l'Identité (l'adhésion de nouveaux membres dans la mise en œuvre ASP.NET), je suis tombé sur cette interface lors de la mise en œuvre de mes propres UserStore:

//Microsoft.AspNet.Identity.Core.dll

namespace Microsoft.AspNet.Identity
{ 
    public interface IUserSecurityStampStore<TUser> :
    {
        //Methods
        Task<string> GetSecurityStampAsync(TUser user);
        Task SetSecurityStampAsync(TUser user, string stamp);
    }
}

IUserSecurityStampStore est mis en œuvre par le défaut EntityFramework.UserStore<TUser> qui vise essentiellement à obtenir et définir les TUser.SecurityStamp propriété.

Après certains plus de creuser, il apparaît qu'une SecurityStamp est un Guid qui est nouvellement créées, les points clés du UserManager (par exemple, modification des mots de passe).

Je ne peux pas vraiment déchiffrer beaucoup au-delà de ce depuis que je suis à l'examen de ce code dans Réflecteur. Presque tout le symbole et asynchrone de l'information a été optimisé à.

Aussi, Google n'a pas été d'un grand secours.

Questions sont les suivantes:

  • Qu'est ce qu'un SecurityStamp dans ASP.NET Identité et à quoi sert-il?
  • Ne le SecurityStamp de jouer un rôle lors de l'authentification des cookies sont créés?
  • Existe-il des ramifications de sécurité ou les précautions qui doivent être prises avec cette? Par exemple, ne pas envoyer cette valeur en aval pour les clients?

Mise à jour (9/16/2014)

Code Source disponible ici:

  • la nouvelle Identité visuelle du magasin et de la personne à charge OWIN middleware est conçu pour être hautement personnalisable. Comme SimpleMembership, il y a un out-of-the-box la mise en œuvre utilisant les plus récentes EF sur SQL Express. Mais le Schéma d'interrogation des Données de la méthode, de la Base de données source, et même du moyen-vaisselle sont personnalisables à vos puprose. De plus, la mise en œuvre publié par MS est lui-même encore en évolution. C'est pourquoi tout le monde se démène pour trouver une définition spécifique.
InformationsquelleAutor Brian Chavez | 2013-10-21
  1. 210

    C'est censé représenter le courant instantané de vos informations d'identification utilisateur. Donc, si rien ne change, le timbre reste la même. Mais si l'utilisateur le mot de passe est changé, ou un compte de connexion est supprimée (dissocier votre google/fb compte), le timbre va changer. Cela est nécessaire pour des choses comme automatiquement la signature d'utilisateurs ou de rejeter les anciens cookies lorsque cela se produit, ce qui est une caractéristique qui est à venir dans la version 2.0.

    Identité n'est pas open source mais, actuellement, dans la canalisation encore.

    Edit: mis à Jour pour la version 2.0.0. Donc, le but principal de la SecurityStamp est de permettre signe de partout. L'idée de base est que chaque fois que quelque chose lié à la sécurité est modifié sur l'utilisateur, comme un mot de passe, c'est une bonne idée automatiquement l'invalidation de tout panneau existant dans les cookies, donc, si votre mot de passe/compte a été compromis, l'attaquant n'a plus accès.

    Dans 2.0.0, nous avons ajouté la configuration suivante pour raccorder l' OnValidateIdentity méthode dans le CookieMiddleware à regarder la SecurityStamp et de refuser les cookies quand il a changé. Il a également actualise automatiquement les revendications d'utilisateur de la base de données de tous les refreshInterval si le timbre est inchangé (qui prend soin des choses comme le changement de rôles etc)

    app.UseCookieAuthentication(new CookieAuthenticationOptions {
    AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
    LoginPath = new PathString("/Account/Login"),
    Provider = new CookieAuthenticationProvider {
        //Enables the application to validate the security stamp when the user logs in.
        //This is a security feature which is used when you change a password or add an external login to your account.  
        OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
            validateInterval: TimeSpan.FromMinutes(30),
            regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
    }
});

    Si votre application veut déclencher ce comportement explicitement, il peut appeler:

    UserManager.UpdateSecurityStampAsync(userId);
    • Que faire si je suis la migration de données de MVC4 structure de la table? Puis-je simplement laisser le champ vide? Ou est-ce qu'il va vis les choses d'une certaine manière?
    • Vous pouvez avoir juste retour de l'ID ou quelque chose de constant à faire un no-op. Null/"" serait probablement travailler aussi bien.
    • Le UserManager.UpdateSecurityStampAsync(userId) de travail pour UseOAuthBearerTokens?
    • Non, OAuthBearerTokens ne sont pas affectés à l'heure actuelle.
    • Si je l'appelle UserManager.UpdateSecurityStampAsync(userId); sur chaque ouverture de session, sera de résoudre un problème comme ce one
    • Hé les gars, il ne fonctionne pas pour moi. Rien ne se passe, même si je change le mot de passe dans un autre navigateur, ou je change le rôle de l'utilisateur à partir d'un autre navigateur.
    • J'ai juste touché à cette question lors de l'enregistrement d'une entité de la base de données. Dans mon cas particulier, je suis de l'insertion d'une entité mère qui a un enfant objet de IdentityUser,donc je ne suis pas en utilisant le UserManager pour économiser de l'entité. J'ai remarqué que le AspNetUsers enregistrement dans la base de données a une valeur null dans la SecurityStamp champ. Je crois que je peux passer un GUID pour cette propriété, mais comment dois-je faire lorsque vous n'utilisez pas le UserManager?
    • Est-il sans danger pour moi le timbre de sécurité pour invalider les jetons à mon Fournisseur de Jeton de classe? Si le timbre de sécurité ne correspond pas à que signifie le mot de passe a changé et que l'utilisateur doit se connecter à nouveau?
    • Le UseCookieAuthentication est deprecated maintenant. J'ai réussi à le configurer à l'aide services.Configure<SecurityStampValidatorOptions>(o => o.ValidationInterval = TimeSpan.FromSeconds(10));.
    • s'il vous plaît déplacer commentaire de répondre parce que c'est la bonne réponse ces jours-ci. Votre commentaire est masqué par application, et après le 3ème temps de la lecture, je fonds bonne solution pour logguser par UpdateSecurityStampAsync

    InformationsquelleAutor Hao Kung
  2. 4

    J'ai observé la SecurityStamp être nécessaire pour le jeton de vérification.

    Des pensions:
    Ensemble SecurityStamp null dans la databsae
    Générer un jeton (ok)
    Vérifier jeton (ne)

    • Que ce doit être un bug. Il ne fait aucun sens pour générer un jeton ne peut pas être vérifiée.
    • Le bug c'est qu'il vous permet de générer un jeton lorsque le timbre de sécurité est vide. (à mon humble avis GenerateEmailConfirmationToken devrait échouer si il n'y a pas de timbre de sécurité. Voir cette réponse: stackoverflow.com/a/29926407/1058214)
    InformationsquelleAutor KierenH
  3. 4

    La UseCookieAuthentication est obsolète maintenant. J'ai réussi à le configurer à l'aide 

    services.Configure<SecurityStampValidatorOptions>(o => 
    o.ValidationInterval = TimeSpan.FromSeconds(10));

    Déplacé de répondre pour répondre par demande.

    • Cela fonctionne si j'utilise ASP.NET (pas de Base)? Je suis confus. Si je vais à la Asp Identité Repo, il disent que c'est pour Asp.NET de Base.
    InformationsquelleAutor riezebosch