ASP.NET Identity'ye (ASP.NET'te yeni üyelik uygulaması) bakarken, kendi arayüzümü uygularken bu arayüze rastladım UserStore:

//Microsoft.AspNet.Identity.Core.dll

namespace Microsoft.AspNet.Identity
{ 
    public interface IUserSecurityStampStore<TUser> :
    {
        // Methods
        Task<string> GetSecurityStampAsync(TUser user);
        Task SetSecurityStampAsync(TUser user, string stamp);
    }
}

IUserSecurityStampStore, özelliği EntityFramework.UserStore<TUser>almak ve ayarlamak için varsayılan olarak uygulanır TUser.SecurityStamp.

Biraz daha kazma işleminden sonra , a'nın anahtar noktalarında yeni oluşturulan SecurityStampbir a olduğu görülür (örneğin, şifreleri değiştirme).GuidUserManager

Reflector'da bu kodu incelediğim için bunun ötesinde gerçekten deşifre edemiyorum . Hemen hemen tüm sembol ve eşzamansız bilgiler optimize edildi.

Ayrıca, Google çok yardımcı olmadı.

Sorular:

• Bir nedir SecurityStampASP.NET Kimlik ve bunun için kullanılan nedir?
• SecurityStampKimlik doğrulama çerezleri oluşturulduğunda herhangi bir rol oynuyor mu ?
• Bununla ilgili alınması gereken herhangi bir güvenlik önlemi veya önlemi var mı? Örneğin, bu değeri akış aşağıya istemcilere göndermiyor musunuz?

Güncelleme (16.09.2014)

Kaynak kodu burada bulunabilir:

• https://github.com/aspnet/Identity/
• https://github.com/aspnet/Security/

Bu, kullanıcı kimlik bilgilerinizin geçerli anlık görüntüsünü temsil eder. Yani hiçbir şey değişmezse, damga aynı kalacaktır. Ancak, kullanıcının şifresi değiştirilirse veya bir giriş kaldırılırsa (google / fb hesabınızın bağlantısını kaldırın), damga değişecektir. Bu, kullanıcıları otomatik olarak imzalama / eski çerezleri reddetme gibi şeyler için gereklidir; bu, 2.0'da gelen bir özelliktir.

Kimlik henüz açık kaynak değil, halen boru hattında.

Düzenleme: 2.0.0 için güncellendi. Yani asıl amacı SecurityStampher yerde oturumu kapatmaktır. Temel fikir, kullanıcıyla ilgili bir şifre gibi bir şifre değiştiğinde, mevcut herhangi bir oturum açma çerezini otomatik olarak geçersiz kılmak iyi bir fikirdir, bu nedenle şifreniz / hesabınız daha önce ele geçirilmişse saldırganın artık erişimi yoktur.

2.0.0'da , değiştiğinde çerezlere bakmak ve reddetmek için OnValidateIdentityyöntemi bağlamak için aşağıdaki yapılandırmayı ekledik . Ayrıca , damga değişmezse kullanıcının rollerini veritabanından otomatik olarak yeniler (bu, rol değiştirme gibi şeylerle ilgilenir)CookieMiddlewareSecurityStamprefreshInterval

app.UseCookieAuthentication(new CookieAuthenticationOptions {
    AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
    LoginPath = new PathString("/Account/Login"),
    Provider = new CookieAuthenticationProvider {
        // Enables the application to validate the security stamp when the user logs in.
        // This is a security feature which is used when you change a password or add an external login to your account.  
        OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
            validateInterval: TimeSpan.FromMinutes(30),
            regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
    }
});

Uygulamanız bu davranışı açıkça tetiklemek istiyorsa şunu çağırabilir:

UserManager.UpdateSecurityStampAsync(userId);

UseCookieAuthentication şu an kullanımdan kaldırıldı . Kullanarak yapılandırmayı başardım

services.Configure<SecurityStampValidatorOptions>(o => 
    o.ValidationInterval = TimeSpan.FromSeconds(10));

İstek başına yanıttan yanıta taşındı .

Token doğrulaması için SecurityStamp'ın gerekli olduğunu gözlemledim.

Yanıtlamak için: SecurityStamp'ı veritabanında null olarak ayarlayın Bir belirteç oluştur (çalışıyor) Belirteç doğrula (başarısız)