堆栈内存溢出
  繁体   English   中英

用于验证 ASP.NET 内核中的 OAuth 1.0a 签名的库

[英]Library to verify OAuth 1.0a signature in ASP.NET Core

 原文  2019-11-08 15:59:36       asp.net-core/ oauth/ oauth-1.0a

问题描述

我需要在 ASP.NET 核心站点上验证 OAuth 1.0a ( RFC 5849 ) 请求。 将客户端升级到 OAuth 2.0 或其他任何东西都不是一种选择。 我了解规范,但实施oauth_signature的验证过程似乎有点脆弱,当然没有必要在这里重新发明轮子。

.NET Core 是否有任何内置类来处理这个问题? 理想情况下,您只需传入HttpRequest和密钥并告诉您签名是否有效?

如果没有内置任何东西,对可以为我处理这个问题的第三方库有什么建议吗?

1 个解决方案

解决方案1
 0  2019-11-15 19:32:20

我真的不愿意通过引入第三方 NuGet package 来依赖这个。 许多选项提供的远远超出了我的需要,而且大多数(可以理解)不再处于积极开发或支持状态。 承担与安全相关的任何事情都不受支持的“黑匣子”依赖对我来说并不合适。

因此,我只针对我需要支持的部分功能推出了自己的实现(仅限验证,并且 OAuth 参数作为表单发布数据传递)。 这并不意味着是一个完整的实现,但可以作为发现自己处于类似情况并且对引入依赖项不感兴趣的任何其他人的起点。

最新代码在GitHub上。

public static class OAuth1Utilities
{
    private static readonly Lazy<bool[]> UnreservedCharacterMask = new Lazy<bool[]>(CreateUnreservedCharacterMask);

    public static string EncodeString(string value)
    {
        byte[] characterBytes = Encoding.UTF8.GetBytes(value);

        StringBuilder encoded = new StringBuilder();
        foreach (byte character in characterBytes)
        {
            if (UnreservedCharacterMask.Value[character])
            {
                encoded.Append((char)character);
            }
            else
            {
                encoded.Append($"%{character:X2}");
            }
        }

        return encoded.ToString();
    }

    public static string GetBaseStringUri(HttpRequest request)
    {
        StringBuilder baseStringUri = new StringBuilder();
        baseStringUri.Append(request.Scheme.ToLowerInvariant());
        baseStringUri.Append("://");
        baseStringUri.Append(request.Host.ToString().ToLowerInvariant());
        baseStringUri.Append(request.Path.ToString().ToLowerInvariant());
        return baseStringUri.ToString();
    }

    public static string GetNormalizedParameterString(HttpRequest request)
    {
        var parameters = new List<(string key, string value)>();

        foreach (var queryItem in request.Query)
        {
            foreach (var queryValue in queryItem.Value)
            {
                parameters.Add((queryItem.Key, queryValue));
            }
        }

        foreach (var formItem in request.Form)
        {
            foreach (var formValue in formItem.Value)
            {
                parameters.Add((formItem.Key, formValue));
            }
        }

        parameters.RemoveAll(_ => _.key == "oauth_signature");

        parameters = parameters
            .Select(_ => (key: EncodeString(_.key), value: EncodeString(_.value)))
            .OrderBy(_ => _.key)
            .ThenBy(_ => _.value).ToList();

        return string.Join("&", parameters.Select(_ => $"{_.key}={_.value}"));
    }

    public static string GetSignature(HttpRequest request, string clientSharedSecret, string tokenSharedSecret)
    {
        string signatureBaseString = GetSignatureBaseString(request);
        return GetSignature(signatureBaseString, clientSharedSecret, tokenSharedSecret);
    }

    public static string GetSignature(string signatureBaseString, string clientSharedSecret, string tokenSharedSecret)
    {
        string key = $"{EncodeString(clientSharedSecret)}&{EncodeString(tokenSharedSecret)}";
        var signatureAlgorithm = new HMACSHA1(Encoding.ASCII.GetBytes(key));
        byte[] digest = signatureAlgorithm.ComputeHash(Encoding.ASCII.GetBytes(signatureBaseString));
        return Convert.ToBase64String(digest);
    }

    public static string GetSignatureBaseString(HttpRequest request)
    {
        StringBuilder signatureBaseString = new StringBuilder();
        signatureBaseString.Append(request.Method.ToUpperInvariant());
        signatureBaseString.Append("&");
        signatureBaseString.Append(EncodeString(GetBaseStringUri(request)));
        signatureBaseString.Append("&");
        signatureBaseString.Append(EncodeString(GetNormalizedParameterString(request)));
        return signatureBaseString.ToString();
    }

    public static bool VerifySignature(HttpRequest request, string clientSharedSecret, string tokenSharedSecret)
    {
        string actualSignature = request.Form["oauth_signature"];
        string expectedSignature = GetSignature(request, clientSharedSecret, tokenSharedSecret);
        return expectedSignature == actualSignature;
    }

    private static bool[] CreateUnreservedCharacterMask()
    {
        bool[] mask = new bool[byte.MaxValue];

        // hyphen
        mask[45] = true;

        // period
        mask[46] = true;

        // 0-9
        for (int pos = 48; pos <= 57; pos++)
        {
            mask[pos] = true;
        }

        // A-Z
        for (int pos = 65; pos <= 90; pos++)
        {
            mask[pos] = true;
        }

        // underscore
        mask[95] = true;

        // a-z
        for (int pos = 97; pos <= 122; pos++)
        {
            mask[pos] = true;
        }

        // tilde
        mask[126] = true;

        return mask;
    }
}

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 使用Openiddict的ASP.NET Core 1.0 OAuth服务器 如何在Asp.net Core中手动验证JWT签名 在ASP.NET Core 1.0中引用库(vNext) Asp.Net Core 1.0和.Net Core 1.0之间的区别? 为什么在我的ASP.NET Core 1.0(MVC6)项目中看不到我的Core 1库? ASP.NET CORE 1.0,模拟 ASP.NET Core 1.0 Mocking ASP.NET Core 1.0中的会话变量 ASP.NET Core 1.0 WebSocket设置? 在Asp.Net Core 1.0中获取错误
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM