MVC6 Odszyfrowywanie pliku cookie uwierzytelniania formularzy z innej strony internetowej

Question

Mam stronę internetową o nazwie internetowej, która wywołuje nową witrynę MVC6, nad którą pracujemy. Użytkownik zaloguje się, jak zawsze na stronie internetowej formularza, korzystając z uwierzytelniania formularzy, a następnie przekierowywany do nowej witryny MVC6. W MVC6 wiem, że powinienem używać uwierzytelniania plików cookie, ale nie mogę go odszyfrować. Podejrzewam, że to się zmieniło wokół web.config i machinekey, ale naprawdę utknąłem.

Oto, co zrobiłem.

mam skonfigurować uwierzytelnianie cookies następująco

 app.UseCookieAuthentication(options => 
     { 
      options.CookieName = "MyWebformsCookie"; 
      options.AutomaticAuthenticate = true; 
      options.AuthenticationScheme = "Cookies"; 
      options.TicketDataFormat = new MySecureDataFormat(); 
      options.DataProtectionProvider = new MyDataProtectionProvider(); 
      //options.CookieDomain = "localhost"; 
     }); 

Klasa jest następujący

public class MySecureDataFormat : ISecureDataFormat<AuthenticationTicket> 
{ 
    public string Protect(AuthenticationTicket data) 
    { 
     return string.Empty; 
    } 

    public string Protect(AuthenticationTicket data, string purpose) 
    { 
     return string.Empty; 
    } 

    public AuthenticationTicket Unprotect(string protectedText) 
    { 
     return null; 
    } 

    public AuthenticationTicket Unprotect(string protectedText, string purpose) 
    { 
     var ticket = FormsAuthentication.Decrypt(protectedText); 
     return null; 
    } 
} 

cookie jest odczytywany, a chroń metodę nazywa, ale to błędy na FormsAuthentication Metoda .Decrypt z błędem

Wystąpił wyjątek typu "System.Web.HttpException" w System.Web.dll, ale nie został obsłużony w kodzie użytkownika

Informacje dodatkowe: Nie można zweryfikować danych.

stos = w System.Web.Configuration.MachineKeySection.EncryptOrDecryptData (logiczna fEncrypt, bajt [] buf, bajt [] modyfikator początek Int32, długość Int32, logiczna useValidationSymAlgo, logiczna useLegacyMode, IVType ivType, logiczna signData) w System.Web.Security.FormsAuthentication.Decrypt (ciąg encryptedTicket) w WebApplication.Mvc.MySecureDataFormat.Unprotect (string protectedText, zastosowania łańcuchach) w C: \ SVNCode \ GlobalConnectV2 \ WebApplication.Mvc \ Startup.cs: linia 153
o Microsoft.AspNet.Authentication.Cookies.CookieAuthenticationHandler.d__9.MoveNext()

Więc to prowadzi mnie do przypuszczenia, że ​​jej nie czyta klucza maszynowego. Mam to w pliku web.config w folderze wwwroot

<configuration> 
    <system.webServer> 
    ... 
    </system.webServer> 
    <system.web> 
    <machineKey compatibilityMode="Framework20SP2" validation="SHA1" decryption="AES" validationKey="mykey" decryptionKey="dec" /> 
    </system.web> 
</configuration> 

To działa na wcześniejsze aplikacje MVC ale zgadywania coś się zmieniło w MVC6. Próbowałem również następujących, ale bez powodzenia

services.ConfigureDataProtection(configure => 
    { 
     configure.UseCryptographicAlgorithms(new Microsoft.AspNet.DataProtection.AuthenticatedEncryption.AuthenticatedEncryptionOptions() 
     { 
      EncryptionAlgorithm = Microsoft.AspNet.DataProtection.AuthenticatedEncryption.EncryptionAlgorithm.AES_256_CBC, 
      ValidationAlgorithm = Microsoft.AspNet.DataProtection.AuthenticatedEncryption.ValidationAlgorithm.HMACSHA256 
     }); 

    }); 

Jakaś radę?

Answer 1

Nie miałem radości próbując użyć FormsAuthentication.Decrypt() w aplikacji ASP.NET 5.

W końcu napisałem procedurę odszyfrowywania, opartą na dostępnej dokumentacji, a także sprawdzając źródłowy kod źródłowy, który Microsoft udostępnił dla sieci systemowej.

Zajęcia wymagane do odszyfrowania pliku cookie uwierzytelniania formularzy, który wykorzystuje SHA1 walidacji oraz AES do szyfrowania, można znaleźć na mojej GIST tutaj: https://gist.github.com/dazinator/0cdb8e1fbf81d3ed5d44

Gdy masz te można utworzyć niestandardową TicketFormat jak poprzednio :

public class FormsAuthCookieTicketFormat : ISecureDataFormat<AuthenticationTicket> 
{ 

    private LegacyFormsAuthenticationTicketEncryptor _Encryptor; 
    private Sha1HashProvider _HashProvider; 

    public FormsAuthCookieTicketFormat(string decryptionKey, string validationKey) 
    { 
     _Encryptor = new LegacyFormsAuthenticationTicketEncryptor(decryptionKey); 
     _HashProvider = new Sha1HashProvider(validationKey); 
    } 

    public string Protect(AuthenticationTicket data) 
    { 
     throw new NotImplementedException();    
    } 

    public string Protect(AuthenticationTicket data, string purpose) 
    { 
     throw new NotImplementedException(); 
    } 

    public AuthenticationTicket Unprotect(string protectedText) 
    { 
     throw new NotImplementedException(); 
    } 

    public AuthenticationTicket Unprotect(string protectedText, string purpose) 
    { 
     var ticket = _Encryptor.DecryptCookie(protectedText, _HashProvider); 

     var identity = new ClaimsIdentity("MyCookie"); 
     identity.AddClaim(new Claim(ClaimTypes.Name, ticket.Name)); 
     identity.AddClaim(new Claim(ClaimTypes.IsPersistent, ticket.IsPersistent.ToString())); 
     identity.AddClaim(new Claim(ClaimTypes.Expired, ticket.Expired.ToString())); 
     identity.AddClaim(new Claim(ClaimTypes.Expiration, ticket.Expiration.ToString())); 
     identity.AddClaim(new Claim(ClaimTypes.CookiePath, ticket.CookiePath)); 
     identity.AddClaim(new Claim(ClaimTypes.Version, ticket.Version.ToString()));   

     // Add some additional properties to the authentication ticket. 
     var props = new AuthenticationProperties(); 
     props.ExpiresUtc = ticket.Expiration.ToUniversalTime(); 
     props.IsPersistent = ticket.IsPersistent; 

     var principal = new ClaimsPrincipal(identity); 

     var authTicket = new AuthenticationTicket(principal, props, CookieDetails.AuthenticationScheme); 
     return authTicket; 
    } 

i drutu go tak:

var formsCookieFormat = new FormsAuthCookieTicketFormat(_DecryptionKeyText, _ValidationKeyText); 

     app.UseCookieAuthentication(options => 
     { 
      // shortened for brevity... 
      options.TicketDataFormat = formsCookieFormat ; 
      options.CookieName = "MyCookie";     
     }); 

Answer 2

Po uwierzytelnieniu użytkownika, należy ustawić domenę pliku cookie uwierzytelniania na domenę drugiego poziomu, np. Parent.com (strona asp.net). Każda poddomena (witryna MVC) otrzyma pliki cookie domeny nadrzędnej na żądanie, więc uwierzytelnianie na każdym z nich jest możliwe, ponieważ będziesz mieć wspólny plik cookie do uwierzytelniania, z którym będziesz mógł pracować.

kod uwierzytelniania:

System.Web.HttpCookie authcookie = System.Web.Security.FormsAuthentication.GetAuthCookie(UserName, False); 
authcookie.Domain = "parent.com"; 
HttpResponse.AppendCookie(authcookie); 
HttpResponse.Redirect(System.Web.Security.FormsAuthentication.GetRedirectUrl(UserName, 
                    False)); 

Patrz pytanie Forms Authentication across Sub-Domains

i ASP.NET webforms and MVC authentication sharing via cookie

Answer 3

Jest whole section of documentation on docs.asp.net o nazwie Replacing machineKey.

Ma to głównie związek z pakietem Microsoft.AspNet.DataProtection.SystemWeb.

Będziesz wtedy mógł ustawić klucz w kodzie lub w konfiguracji i móc odczytać te pliki cookie bezpośrednio z asp.net-5.

Oto przykładowy kod (z dokumentacją), w jaki sposób to zrobić:

public override void ConfigureServices(IServiceCollection services) 
{ 
    services.ConfigureDataProtection(configure => 
    { 
     configure.SetApplicationName("my-app"); 
     configure.PersistKeysToFileSystem(new DirectoryInfo(@"\\server\share\myapp-keys\")); 
     configure.ProtectKeysWithDpapi(); 
    }); 
} 

Oczywiście trzeba dodać wcześniej wspomniany pakiet na liście zależnościami i które mogą zmusić Cię do korzystania z systemu Windows (nie jestem pewien, ale kompiluje się w CoreClr).

Nie będzie to działać z istniejącym kluczem MachineKey, ale wygeneruje nowy zestaw, który pozwoli na rozpoczęcie pracy.