Рассмотрим распространенный сценарий ASP.NET Core. Во-первых, мы добавляем промежуточное ПО:
public void Configure(IApplicationBuilder app)
{
app.UseCookieAuthentication(new CookieAuthenticationOptions()
{
AuthenticationScheme = "MyCookie",
CookieName = "MyCookie",
LoginPath = new PathString("/Home/Login/"),
AccessDeniedPath = new PathString("/Home/AccessDenied/"),
AutomaticAuthenticate = true,
AutomaticChallenge = true
});
//...
}
Затем выполните сериализацию принципала:
await HttpContext.Authentication.SignInAsync("MyCookie", principal);
После этих двух вызовов зашифрованный файл cookie будет сохранен на стороне клиента. Вы можете увидеть файл cookie (в моем случае он был помечен) в любом браузере devtools:
Это не проблема (и не вопрос) для работы с кукисами из кода приложения.
Мой вопрос: как расшифровать файл cookie вне приложения? Я думаю, для этого нужен секретный ключ, как его получить?
Я проверил docs и нашел только общие слова:
Это создаст зашифрованный файл cookie и добавит его в текущий ответ. Параметр AuthenticationScheme, указанный во время настройки, должен также можно использовать при вызове SignInAsync.
В оболочках используется шифрование ASP.NET Data Protection система. Если вы размещаете на нескольких машинах, балансировку нагрузки или используя веб-ферму, вам необходимо настроить защиту данных на используйте одно и то же ключевое кольцо и идентификатор приложения.
Итак, можно ли расшифровать файл cookie аутентификации, и если да, то как?
ОБНОВЛЕНИЕ # 1: Основанный на Ron C отличный ответ и комментарии, я получил код:
public class Startup
{
//constructor is omitted...
public void ConfigureServices(IServiceCollection services)
{
services.AddDataProtection().PersistKeysToFileSystem(
new DirectoryInfo(@"C:\temp-keys\"));
services.AddMvc();
}
public void Configure(IApplicationBuilder app)
{
app.UseCookieAuthentication(new CookieAuthenticationOptions()
{
AuthenticationScheme = "MyCookie",
CookieName = "MyCookie",
LoginPath = new PathString("/Home/Index/"),
AccessDeniedPath = new PathString("/Home/AccessDenied/"),
AutomaticAuthenticate = true,
AutomaticChallenge = true
});
app.UseStaticFiles();
app.UseMvcWithDefaultRoute();
}
}
public class HomeController : Controller
{
public async Task<IActionResult> Index()
{
await HttpContext.Authentication.SignInAsync("MyCookie", new ClaimsPrincipal());
return View();
}
public IActionResult DecryptCookie()
{
var provider = DataProtectionProvider.Create(new DirectoryInfo(@"C:\temp-keys\"));
string cookieValue = HttpContext.Request.Cookies["MyCookie"];
var dataProtector = provider.CreateProtector(
typeof(CookieAuthenticationMiddleware).FullName, "MyCookie", "v2");
UTF8Encoding specialUtf8Encoding = new UTF8Encoding(false, true);
byte[] protectedBytes = Base64UrlTextEncoder.Decode(cookieValue);
byte[] plainBytes = dataProtector.Unprotect(protectedBytes);
string plainText = specialUtf8Encoding.GetString(plainBytes);
return Content(plainText);
}
}
К сожалению, этот код всегда вызывает исключение при вызове метода Unprotect
:
CryptographicException в Microsoft.AspNetCore.DataProtection.dll: Дополнительная информация: полезная нагрузка недействительна.
Я тестировал различные варианты этого кода на нескольких машинах без положительного результата. Вероятно, я допустил ошибку, но где?
ОБНОВЛЕНИЕ # 2: Моя ошибка заключалась в том, что DataProtectionProvider
не был установлен в UseCookieAuthentication
. Благодаря @RonC снова.