Tôi đã đọc (và xem video) về cách thực hiện tốt nhất mã thông báo truy cập và làm mới khi sử dụng ứng dụng MVC Core với nhiều cuộc gọi ajax trong đó. Tôi nghĩ tôi đã đúng nhưng chỉ muốn biết liệu có cách nào tốt hơn để làm điều này không. Tôi sẽ chỉnh sửa bài đăng này để nó có thể phục vụ như là một tài liệu tham khảo cho bất cứ ai tìm kiếm thông tin này.Thực hành tốt nhất mã thông báo truy cập trong ứng dụng MVC Core chứa cả chế độ xem và tài nguyên, sử dụng Identity Server 4
Thiết lập của tôi: Tôi có ứng dụng MVC Core với nhiều JavaScript. JavaScripts đang sử dụng các cuộc gọi ajax để truy xuất các hành động json hoặc gọi.
Vì tôi không muốn người dùng của mình có thể truy cập api bằng cách sử dụng xác thực cookie, tôi đang sử dụng app.Map để chia ứng dụng của tôi thành hai phần. Một nơi mà người dùng có thể truy cập vào Chế độ xem bằng mã thông báo nhận dạng và một mã thông báo sẽ yêu cầu mã thông báo truy cập. Tôi cũng đang thêm một cookie để giữ thời gian khi tôi cần làm mới mã thông báo truy cập của mình.
Startup.cs (Tôi đã gỡ bỏ những phần đó không phải là importent)
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
AuthenticationScheme = "Cookies",
AutomaticAuthenticate = true,
ExpireTimeSpan = TimeSpan.FromMinutes(60)
});
JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
var oidcOptions = new OpenIdConnectOptions
{
AuthenticationScheme = "oidc",
SignInScheme = "Cookies",
Authority = LoginServerUrl,
RequireHttpsMetadata = false,
ClientId = "MyApp",
ClientSecret = "*****",
ResponseType = "code id_token",
SaveTokens = true,
Events = new OpenIdConnectEvents()
{
OnTicketReceived = async notification =>
{
notification.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
notification.Response.Cookies.Delete("AccessToken");
},
},
TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
{
NameClaimType = JwtClaimTypes.Name,
RoleClaimType = JwtClaimTypes.Role,
},
};
oidcOptions.Scope.Clear();
oidcOptions.Scope.Add("openid");
oidcOptions.Scope.Add("roles");
oidcOptions.Scope.Add("offline_access");
app.UseOpenIdConnectAuthentication(oidcOptions);
app.Map("/api", (context) =>
{
var bearerTokenOptions = new IdentityServerAuthenticationOptions
{
AuthenticationScheme = "Bearer",
Authority = LoginServerUrl,,
RequireHttpsMetadata = false,
ScopeName = "MyApi",
AutomaticAuthenticate = true
};
context.UseIdentityServerAuthentication(bearerTokenOptions);
context.UseMvcWithDefaultRoute();
});
Tất cả ajax gọi để điều khiển các hành động được thực hiện bằng cách sử dụng url sau/api/[điều khiển]/[Hành động].
Tôi không muốn api của mình có thể truy cập được bằng mã thông tin nhận dạng để tôi cũng thêm thuộc tính Authorize (ActiveAuthenticationSchemes = "Bearer") vào hành động điều khiển. Vì vậy bây giờ hành động điều khiển của tôi rằng đang nhận được gọi bằng javascript trông như thế này:
[HttpPost, Authorize(ActiveAuthenticationSchemes = "Bearer")]
public async Task<JsonResult> DoStuff()
{
}
Khi một javascript cần phải truy cập vào một tài nguyên api, các ứng dụng điều khiển đầu tiên retrives access token và tiêm nó vào javascript sử dụng một tùy chỉnh javascript init phương pháp.
Phương pháp C# này có trách nhiệm làm mới và truy xuất cookie truy cập.
public async Task<string> GetAccessTokenAsync()
{
var accessToken = _contextAccessor.HttpContext.Request.Cookies["AccessToken"];
var nextAccessTokenRefresh = _contextAccessor.HttpContext.Request.Cookies["NextAccessTokenRefresh"];
if (string.IsNullOrEmpty(nextAccessTokenRefresh) || string.IsNullOrEmpty(accessToken) || DateTime.Parse(nextAccessTokenRefresh) <= DateTime.Now)
{
var refreshToken = await _contextAccessor.HttpContext.Authentication.GetTokenAsync("refresh_token");
var tokenClient = new TokenClient(_appSettings.LoginServerUrl + "/connect/token", _appSettings.LoginClientId, _appSettings.LoginClientSecret);
var response = await tokenClient.RequestRefreshTokenAsync(refreshToken);
accessToken = response.AccessToken;
//Set cookies for next refresh
_contextAccessor.HttpContext.Response.Cookies.Append("NextAccessTokenRefresh", DateTime.Now.AddMinutes(30).ToString());
_contextAccessor.HttpContext.Response.Cookies.Append("AccessToken", response.AccessToken);
}
return accessToken;
}
Trên tất cả các $ .ajax của tôi, tôi đã thêm các thông số sau:
beforeSend: function(xhr, settings) { xhr.setRequestHeader('Authorization','Bearer ' + accessToken); }
Thats nó. Thời gian hết hạn mã thông báo truy cập mặc định là một giờ. Tôi luôn làm mới sau nửa thời gian đó.
Bây giờ để câu hỏi của tôi:
- Tôi có thể cải thiện mã của tôi bằng cách nào?
- Bạn có thấy bất kỳ rủi ro liên quan đến bảo mật nào theo cách này không?
- Tôi có thể truy xuất mã thông báo truy cập trong OnTicketĐược nhận không?
Tôi bỏ phiếu để đóng câu hỏi này như off-topic vì nó được yêu cầu xem xét lại mã; các đánh giá mã không có chủ đề. Bạn cần phải hỏi tại http://codereview.stackexchange.com/ –
Tôi biết nó là một chút tắt chủ đề, nhưng ALOT của những người sử dụng ID4 đang tìm kiếm thông tin này. Tôi thấy cùng một câu hỏi xuất hiện trên nhiều diễn đàn khác nhau vì vậy tôi nghĩ tôi sẽ làm một bài đăng ở đây để trả lời tất cả. Tôi có thể tạo một bài đăng trên blog, nhưng các nhà phát triển đang tìm kiếm thông tin tại đây. Không nên SO là nơi bạn tìm thấy loại thông tin này? –
Sau đó, bạn nên thử cụm từ theo cách khác để bạn 1) không yêu cầu xem xét mã, 2) không yêu cầu các phương pháp hay nhất (thường chỉ là 'chủ yếu dựa trên ý kiến'). –