ASP.NET Core 数据保护(Data Protection 集群场景)[下]   前言 接[中篇],在有一些场景下,我们需要对 ASP.NET Core 的加密方法进行扩展,来适应我们的需求,这个时候就需要使用到了一些 Core 提供的高级的功能. 本文还列举了在集群场景下,有时候我们需要实现自己的一些方法来对Data Protection进行分布式配置. 加密扩展 IAuthenticatedEncryptor 和 IAuthenticatedEncryptorDescriptor I…

前言 上篇主要是对 ASP.NET Core 的 Data Protection 做了一个简单的介绍,本篇主要是介绍一下API及使用方法. API 接口 ASP.NET Core Data Protectio 主要对普通开发人员提供了两个接口,IDataProtectionProvider 和 IDataProtector. 我们先看一下这两个接口的关系: namespace Microsoft.AspNetCore.DataProtection { // // 摘要: // An interf…

前言 上一篇博客记录了如何在 Kestrel 中使用 HTTPS(SSL), 也是我们目前项目中实际使用到的. 数据安全往往是开发人员很容易忽略的一个部分,包括我自己.近两年业内也出现了很多因为安全问题导致了很多严重事情发生,所以安全对我们开发人员很重要,我们要对我们的代码的安全负责. 在工作中,我们常常会见到 encode,base64,sha256, rsa, hash,encryption, md5 等,一些人对他们还傻傻分不清楚,也不知道什么时候使用他们,还有一些人认为MD5就是加密算法…

前言 接[中篇],在有一些场景下,我们需要对 ASP.NET Core 的加密方法进行扩展,来适应我们的需求,这个时候就需要使用到了一些 Core 提供的高级的功能. 本文还列举了在集群场景下,有时候我们需要实现自己的一些方法来对Data Protection进行分布式配置. 加密扩展 IAuthenticatedEncryptor 和 IAuthenticatedEncryptorDescriptor IAuthenticatedEncryptor是 Data Protection 在构建其密…

在这篇文章中,我将介绍ASP.NET Core 数据保护系统:它是什么,为什么我们需要它,以及它如何工作. 为什么我们需要数据保护系统? 数据保护系统是ASP.NET Core使用的一组加密api.加密必须由不受信任的第三方处理的数据. 这方面的典型例子是身份验证cookie.cookie是在请求之间持久化状态的一种方法.你不希望每次向服务器请求时都必须提供用户名和密码,这将非常麻烦! 相反,只需向服务器提供一次凭据.服务器验证你的详细信息,并发出一个cookie,表明"他不需要提供任何其他证明…

一.前言&回顾 在上篇文章Session分布式共享 = Session + Redis + Nginx中,好多同学留言问了我好多问题,其中印象深刻的有:nginx挂了怎么办?采用Redis的Session方案与微软Session方案相比,有什么优势呢?Cookie也可以取代Session的,采用Redis的Session方案优势在哪里?Nginx的iphash方式到底是什么?MachineKey有啥用?Net Core怎样实现? 那会儿看到大家的提问,我的回答也只是从应用层面回答,基本上的回答可…

引言 最近线上环境遇到一个问题,就是ASP.NET Core Web应用在单个容器使用正常,扩展多个容器无法访问的问题.查看容器日志,发现以下异常: System.Security.Cryptography.CryptographicException: The key {efbb9f35-3a49-4f7f-af19-0f888fb3e04b} was not found in the key ring. 2019-09-30T18:34:55.473037193+08:00 at Micro…

小白开学Asp.Net Core <八> — — .Net Core 数据保护组件 1.背景 我在搞(https://github.com/AjuPrince/Aju.Carefree)这个开源项目的时候,想做一些防止恶意攻击的小功能(如果 我通过页面 /Dome/GetData?id=123,那是不是不安全呢?是的,我完全可以尝试着给id赋值后去获取数据)怎么办呢?在.Net Core 中又给如何处理呢? 2..Net Core 的数据保护组件 1.尝试着在.Net Core 的内部扩展方法…

在Asp.NET Core中如何优雅的管理用户机密数据 背景 回顾 在软件开发过程中,使用配置文件来管理某些对应用程序运行中需要使用的参数是常见的作法.在早期VB/VB.NET时代,经常使用.ini文件来进行配置管理:而在.NET FX开发中,我们则倾向于使用web.config文件,通过配置appsetting的配置节来处理:而在.NET Core开发中,我们有了新的基于json格式的appsetting.json文件. 无论采用哪种方式,其实配置管理从来都是一件看起来简单,但影响非常深远的基…

.NET 5 预览版 8 现在已经可以获取了,并且已经准备好接受评估.下面列出了本次发布的新特性: 使用 Microsoft.Identity.Web 进行 Azure Active Directory 认证 Blazorz 组件的 CSS 隔离 Blazor WebAssembly 中的延迟加载 更新 Blazor WebAssembly 的全球化支持 新的 InputRadio 组件 在 Blazor 应用程序中设置 UI 焦点 影响 Blazor 应用程序的 HTML 头 IAsyncDi…

注:本文隶属于<理解ASP.NET Core>系列文章,请查看置顶博客或点击此处查看全文目录 概述 通常,身份认证(Authentication)和授权(Authorization)都会放在一起来讲.但是,由于这俩英文相似,且"认证授权"四个字经常连着用,导致一些刚接触这块知识的读者产生混淆,分不清认证和授权的区别,甚至认为这俩是同一个.所以,我想先给大家简单区分一下身份认证和授权. 身份认证 确认执行操作的人是谁. 当用户请求后台服务时,系统首先需要知道用户是谁,是张三.…

接上一篇,众所周知一个网站的用户登录是非常重要,一站式的登录(SSO)也成了大家讨论的热点.微软在这个Demo中,把登录单独拉了出来,形成了一个Service,用户的注册.登录.找回密码等都在其中进行. 这套service是基于IdentityServer4开发的, 它是一套基于 .Net Core的OAuth2和OpenID框架,这套框架目前已经很完善了,我们可以把它使用到任何项目中. 我们先看下目录结构: 从目录结构可以看出它是一套MVC架构的网站,我们可以单独进行运行和调试,当然,我们也可…

IdentityServer依赖于几个加密机制来完成它的工作. 33.1 令牌签名和验证 IdentityServer需要非对称密钥对来签署和验证JWT.此密钥对可以是证书/私钥组合或原始RSA密钥.无论如何,它必须支持带有SHA256的RSA. 加载签名密钥和相应的验证部分是通过实现ISigningCredentialStore和IValidationKeysStore来完成的.如果要自定义加载密钥,可以实现这些接口并将其注册到DI. DI构建器扩展有几种方便的方法来设置签名和验证密钥 - 请…

您的身份服务器只是一个标准的ASP.NET Core应用程序,包括IdentityServer中间件.首先阅读有关发布和部署的官方Microsoft 文档(尤其是有关负载平衡器和代理的部分). 30.1 典型架构 通常,您将设计IdentityServer部署以实现高可用性: IdentityServer本身是无状态的,不需要服务器关联 - 但是有些数据需要在实例之间共享. 30.2 配置数据 这通常包括: 资源 客户 启动配置,例如密钥材料,外部提供商设置等...... 存储数据的方式取决于您…

一.Startup 二.定义Resources 三.定义Clients 四.登录 五.使用外部身份提供商登录 六.Windows身份验证 七.登出 八.注销外部身份提供商 九.联合注销 十.联合网关 十一.Consent 十二.保护APIs 十三.部署 十四.日志 十五.事件 十六.Cryptography, Keys and HTTPS 十七.Grant Types 十八.Secrets 十九.Extension Grants 二十.Resource Owner Password Valida…

欢迎IdentityServer4 IdentityServer4是ASP.NET Core 2的OpenID Connect和OAuth 2.0框架. 它在您的应用程序中启用以下功能: 认证即服务 适用于所有应用程序(Web,本机,移动设备,服务)的集中登录逻辑和工作流程.IdentityServer是OpenID Connect 的官方认证实现. 单点登录/注销 在多种应用程序类型上单点登录(和退出). API的访问控制 为各种类型的客户端发出API访问令牌,例如服务器到服务器,Web应用程…

Identity Service - 解析微软微服务架构eShopOnContainers(二)   接上一篇,众所周知一个网站的用户登录是非常重要,一站式的登录(SSO)也成了大家讨论的热点.微软在这个Demo中,把登录单独拉了出来,形成了一个Service,用户的注册.登录.找回密码等都在其中进行. 这套service是基于IdentityServer4开发的, 它是一套基于 .Net Core的OAuth2和OpenID框架,这套框架目前已经很完善了,我们可以把它使用到任何项目中. 我们先…

原文地址: PREVENTING INSECURE OBJECT REFERENCES IN ASP.NET CORE 2.0 作者: Tahir Naushad 背景介绍 在 OWASP(开放式 Web 应用程序安全项目) 2013 年发布的报告中,将不安全的直接对象引用(Insecure Direct Object Reference)标记为 十大 Web 应用程序风险之一, 其表现形式是对象的引用(例如数据库主键)被各种恶意攻击利用, 所以对于Api返回的各种主键外键ID, 我们需要进行加…

转载请注入出处: https://home.cnblogs.com/u/zhiyong-ITNote/ dotnet core中提供了一个新的身份验证框架Identity,它不同于dot net下的身份验证.在这个框架里面,有一个生成token的功能,也就是我们常说的令牌,令牌的作用有哪些?Token值介绍token 值: 登录令牌.利用 token 值来判断用户的登录状态.类似于 MD5 加密之后的长字符串.用户登录成功之后,在后端(服务器端)会根据用户信息生成一个唯一的值.这个值就是 tok…

前言 Asp.Net Core Identity 是 Asp.Net Core 的重要组成部分,他为 Asp.Net Core 甚至其他 .Net Core 应用程序提供了一个简单易用且易于扩展的基础用户管理系统框架.它包含了基本的用户.角色.第三方登录.Claim等功能,使用 Identity Server 4 可以为其轻松扩展 OpenId connection 和 Oauth 2.0 相关功能.网上已经有大量相关文章介绍,不过这还不是 Asp.Net Core Identity 的全部,其…

ASP.NET Core 1.1 于2016年11月16日发布.这个版本包括许多伟大的新功能以及许多错误修复和一般的增强.这个版本包含了多个新的中间件组件.针对Windows的WebListener服务器.Razor视图编译以及Azure相关的特性.要将现有项目更新到ASP.NET Core 1.1 ,您需要执行以下操作: 1. 下载并安装更新的.NET Core 1.1  SDK2. 按照.NET Core 1.1 升级公告(下一节介绍)中的说明将项目更新为使用.NET Core 1.1 3.…

ASP.NET Core 1.1 Preview 1于2016年10月25日发布.这个版本包括许多伟大的新功能以及许多错误修复和一般的增强. 要将现有项目更新到ASP.NET Core 1.1 Preview 1,您需要执行以下操作: 1. 下载并安装更新的.NET Core 1.1 Prevew 1 SDK2. 按照.NET Core 1.1 Preview 1升级公告(下一节介绍)中的说明将项目更新为使用.NET Core 1.1 Preview 13. 更新您的ASP.NET Core包依…

delete [] ptr 引发了singnal 6 abort的core错误,跟踪过程发现写入ptr大量数据,引发内存越界,破坏了new数组的尾部数据保护,导致delete的时候core. 问题分析过程写了一段测试代码,发现另外一些编辑器或者说操作系统的性质,new申请的数组总是分配2的n次方的空间,比如char* ptr = new char[10]实际分配了16个字节的空间 ,char* ptr2 = new char[15]同样分配了16个空间的字节,而char* ptr3 = new…

之前写了一个使用ASP.NET MVC实现SSO登录的Demo,https://github.com/bidianqing/SSO.Sample,这个Demo是基于.NET Framework,.NET Core 2.0出来了试着使用ASP.NET Core尝试一下.假如我们有三个站点 domain.dev order.domain.dev passport.domain.dev domain.dev作为我们的主站肯定是可以匿名访问的,当点击登录按钮的时候就会跳转到passport.domain…

前言 此系列从出发点来看,是 上个系列的续篇, 上个系列因为后面工作的原因,后面几篇没有写完,后来.NET Core出来之后,注意力就转移到了.NET Core上,所以再也就没有继续下去,此是原因之一,二是.NET Core在社区的支持,开发的体验上完全胜于原有的.NET Framework, 所以想了好久,准备重新开篇写.NET Core实用开发系列 定位 此系列定位于初中级,并非面向高级或者大型的项目,基本会立足于实用技术,解决实际问题,快速开发项目, 希望对初中级.NET开发人员有所帮助.…

原文:Why isn't my session state working in ASP.NET Core? Session state, GDPR, and non-essential cookies 作者:Andrew Lock 译文:https://www.cnblogs.com/lwqlun/p/10526380.html 译者:Lamond Lu 在本篇博客中,我将描述一个关于会话状态(Session State)的问题, 这个问题我已经被询问了好几次了.这个问题的场景如下: 创建一个…

一.概述 MVC的视图与Razor页面经常共享视觉和程序元素,通过使用布局来完成,布局还可减少重复代码.本章演示了以下内容的操作方法:(1)使用通用布局,(2)自定义布局,(3) 共享指令,(4)在呈现Razor页面或MVC视图之前运行通用代码. 大多数 Web 应用都有一个通用布局,可在页面间切换时,为用户提供一致体验. 布局通常包括应用页头.导航或菜单.页脚等常见的用户界面元素,还有经常使用script和css等常用的 HTML 结构. 所有这些共享元素均可在布局文件中进行定义,在Conte…

原文:Running async tasks on app startup in ASP.NET Core (Part 1) 作者:Andrew Lock 译者:Lamond Lu 背景 当我们做项目的时候,有时候希望自己的ASP.NET Core应用在启动前执行一些初始化逻辑.例如,你希望验证配置是否合法,填充缓存数据,或者运行数据库迁移脚本.在本篇博客中,我将介绍几种可选的方案,并且通过展示一些简单的方法和扩展点来说明我想要解决的问题. 开始我将先描述一下ASP.NET Core内置的解决方…

欧盟的<通用数据保护条例>(General Data Protection Regulation,以下简称 GDPR)已经于 2018 年 5 月 25 日正式施行.GDPR 涵盖了包括数据泄露发生后 72 小时内向监管机构通报的要求,以及提前告知用户数据用途的要求等等.GDPR 允许监管机构对违反规定的公司处罚高达其全球收入的 4%的罚金.如果亚马逊受到惩罚,罚款将为 70 亿美元.然而有趣的是,由于像亚马逊这样的公司收入巨大,利润却相对较低,因此 4%的罚款可能会花掉他们两年的利润.如果欧…

通过 ASP.NET Core,开发者可轻松配置和管理其应用的安全性. ASP.NET Core 中包含管理身份验证.授权.数据保护.SSL 强制.应用机密.请求防伪保护及 CORS 管理等等安全方面的处理. 通过这些安全功能,可以生成安全可靠的 ASP.NET Core 应用.而我们这一章就来说道说道如何在ASP.NET Core中处理"跨站请求伪造(XSRF/CSRF)攻击"的,希望对大家有所帮助! 本文已收录至<.NET Core实战项目之CMS 第一章 入门篇-开篇及总体…