堆棧內存溢出
  簡體   English   中英

用於驗證 ASP.NET 內核中的 OAuth 1.0a 簽名的庫

[英]Library to verify OAuth 1.0a signature in ASP.NET Core

 原文  2019-11-08 15:59:36       asp.net-core/ oauth/ oauth-1.0a

問題描述

我需要在 ASP.NET 核心站點上驗證 OAuth 1.0a ( RFC 5849 ) 請求。 將客戶端升級到 OAuth 2.0 或其他任何東西都不是一種選擇。 我了解規范,但實施oauth_signature的驗證過程似乎有點脆弱,當然沒有必要在這里重新發明輪子。

.NET Core 是否有任何內置類來處理這個問題? 理想情況下,您只需傳入HttpRequest和密鑰並告訴您簽名是否有效?

如果沒有內置任何東西,對可以為我處理這個問題的第三方庫有什么建議嗎?

1 個解決方案

解決方案1
 0  2019-11-15 19:32:20

我真的不願意通過引入第三方 NuGet package 來依賴這個。 許多選項提供的遠遠超出了我的需要,而且大多數(可以理解)不再處於積極開發或支持狀態。 承擔與安全相關的任何事情都不受支持的“黑匣子”依賴對我來說並不合適。

因此,我只針對我需要支持的部分功能推出了自己的實現(僅限驗證,並且 OAuth 參數作為表單發布數據傳遞)。 這並不意味着是一個完整的實現,但可以作為發現自己處於類似情況並且對引入依賴項不感興趣的任何其他人的起點。

最新代碼在GitHub上。

public static class OAuth1Utilities
{
    private static readonly Lazy<bool[]> UnreservedCharacterMask = new Lazy<bool[]>(CreateUnreservedCharacterMask);

    public static string EncodeString(string value)
    {
        byte[] characterBytes = Encoding.UTF8.GetBytes(value);

        StringBuilder encoded = new StringBuilder();
        foreach (byte character in characterBytes)
        {
            if (UnreservedCharacterMask.Value[character])
            {
                encoded.Append((char)character);
            }
            else
            {
                encoded.Append($"%{character:X2}");
            }
        }

        return encoded.ToString();
    }

    public static string GetBaseStringUri(HttpRequest request)
    {
        StringBuilder baseStringUri = new StringBuilder();
        baseStringUri.Append(request.Scheme.ToLowerInvariant());
        baseStringUri.Append("://");
        baseStringUri.Append(request.Host.ToString().ToLowerInvariant());
        baseStringUri.Append(request.Path.ToString().ToLowerInvariant());
        return baseStringUri.ToString();
    }

    public static string GetNormalizedParameterString(HttpRequest request)
    {
        var parameters = new List<(string key, string value)>();

        foreach (var queryItem in request.Query)
        {
            foreach (var queryValue in queryItem.Value)
            {
                parameters.Add((queryItem.Key, queryValue));
            }
        }

        foreach (var formItem in request.Form)
        {
            foreach (var formValue in formItem.Value)
            {
                parameters.Add((formItem.Key, formValue));
            }
        }

        parameters.RemoveAll(_ => _.key == "oauth_signature");

        parameters = parameters
            .Select(_ => (key: EncodeString(_.key), value: EncodeString(_.value)))
            .OrderBy(_ => _.key)
            .ThenBy(_ => _.value).ToList();

        return string.Join("&", parameters.Select(_ => $"{_.key}={_.value}"));
    }

    public static string GetSignature(HttpRequest request, string clientSharedSecret, string tokenSharedSecret)
    {
        string signatureBaseString = GetSignatureBaseString(request);
        return GetSignature(signatureBaseString, clientSharedSecret, tokenSharedSecret);
    }

    public static string GetSignature(string signatureBaseString, string clientSharedSecret, string tokenSharedSecret)
    {
        string key = $"{EncodeString(clientSharedSecret)}&{EncodeString(tokenSharedSecret)}";
        var signatureAlgorithm = new HMACSHA1(Encoding.ASCII.GetBytes(key));
        byte[] digest = signatureAlgorithm.ComputeHash(Encoding.ASCII.GetBytes(signatureBaseString));
        return Convert.ToBase64String(digest);
    }

    public static string GetSignatureBaseString(HttpRequest request)
    {
        StringBuilder signatureBaseString = new StringBuilder();
        signatureBaseString.Append(request.Method.ToUpperInvariant());
        signatureBaseString.Append("&");
        signatureBaseString.Append(EncodeString(GetBaseStringUri(request)));
        signatureBaseString.Append("&");
        signatureBaseString.Append(EncodeString(GetNormalizedParameterString(request)));
        return signatureBaseString.ToString();
    }

    public static bool VerifySignature(HttpRequest request, string clientSharedSecret, string tokenSharedSecret)
    {
        string actualSignature = request.Form["oauth_signature"];
        string expectedSignature = GetSignature(request, clientSharedSecret, tokenSharedSecret);
        return expectedSignature == actualSignature;
    }

    private static bool[] CreateUnreservedCharacterMask()
    {
        bool[] mask = new bool[byte.MaxValue];

        // hyphen
        mask[45] = true;

        // period
        mask[46] = true;

        // 0-9
        for (int pos = 48; pos <= 57; pos++)
        {
            mask[pos] = true;
        }

        // A-Z
        for (int pos = 65; pos <= 90; pos++)
        {
            mask[pos] = true;
        }

        // underscore
        mask[95] = true;

        // a-z
        for (int pos = 97; pos <= 122; pos++)
        {
            mask[pos] = true;
        }

        // tilde
        mask[126] = true;

        return mask;
    }
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 使用Openiddict的ASP.NET Core 1.0 OAuth服務器 如何在Asp.net Core中手動驗證JWT簽名 在ASP.NET Core 1.0中引用庫(vNext) Asp.Net Core 1.0和.Net Core 1.0之間的區別? 為什么在我的ASP.NET Core 1.0(MVC6)項目中看不到我的Core 1庫? ASP.NET CORE 1.0,模擬 ASP.NET Core 1.0 Mocking ASP.NET Core 1.0中的會話變量 ASP.NET Core 1.0 WebSocket設置? 在Asp.Net Core 1.0中獲取錯誤
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM