我们有一个身份验证设置,除了在标头中发送的不记名令牌之外,我们不允许所有内容。
但是,我有一种情况,我需要为一个 Web API 控制器使用 cookie。
我可以看到在名为“.aspnet.cookies”的请求中已经发送了一个 cookie,其中填充了加密值。
如果我能找到一种方法来解密该值,它将解决我的问题,但我不清楚如何去做。
遗憾的是,出于技术原因,我不能仅仅将身份验证配置为自动使用 cookie。
有谁知道我可以使用什么类来调用手动解密 cookie 值?
【问题讨论】:
标签: asp.net .net asp.net-web-api oauth-2.0 asp.net-identity
我(OP)今天一直在研究这个问题,但我没有找到我正在寻找的确切答案,但确实找到了解决方法。
我非常确信 OWIN 中间件在内部以某种方式使用 ISecureDataFormat 来保护/取消保护我看到的 cookie(名为“.aspnet.cookies”)。我无法弄清楚框架使用了哪个 ISecureDataFormat,但我确实找出了我们在哪里使用一个来处理 AJAX 请求标头中传递的不记名令牌。
基本上,在 AuthStartup 类中,我有一些 OAuthAuthorizationServerOptions 并发现我们使用它的 AccessTokenFormat 属性(它是一个 ISecureDataFormat)来处理不记名令牌。
由于我可以从我的班级访问 AuthStartup.OAuthOptions.AccessTokenFormat,我决定将不记名令牌的值放入我自己的会话 cookie,然后使用 AuthStartup.OAuthOptions.AccessTokenFormat.Uprotect() 来解密它的值。
这给了我一个 AuthenticationTicket,我可以将其身份填充到 GenericPrincipal 中,然后我将其分配给自定义 FilterAttribute/IAuthorizationFilter 中的 System.Threading.Thread.CurrentPrincipal 和 HttpContext.Current.User,我将其应用于需要的控制器使用 cookie。
我希望我知道如何更优雅地处理这种情况,但它确实达到了我想要完成的目的。
【讨论】:
我不确定您指的是读取 cookie 还是解密 cookie 中的自定义数据。如果它是 FormsAuthentication cookie,就像您的情况一样,那么您将需要提取经过身份验证的请求的 FormsIdentity 票证,其形式为 FormsAuthenticationTicket 。
如果您要求解密 FormsAuthenticationTicket.UserData 中的自定义数据,那么您将需要使用与加密相同的密码。
【讨论】:
它不是一个加密值,它是一个令牌/票证/sessionID。这一切都有很好的记录......
这告诉了如何读取和放置 cookie - 这很容易...http://msdn.microsoft.com/en-us/library/ms178194.ASPX
这说明了所有关于 ASP.Net 身份验证 cookie... http://support.microsoft.com/kb/910443
【讨论】: