用以太坊区块链保证Asp.Net Core的API安全(上)
去中心化应用程序(DApp)的常见设计不仅依赖于以太坊区块链,还依赖于API层。在这种情况下,DApp通过用户的以太坊帐户与智能合约进行交互,并通过交换用户凭据而发布的JWT token与API层进行交互。
image
目标是使用以太坊帐户作为用户凭据来请求JWT Token。
最简单的方法可能是请求用户使用其他随机生成的数据在以太坊上进行交易,然后在发出JWT之前检查交易和随机数据。这种方法有几个副作用:
1.用户必须进行交易并支付gas以进行简单的身份验证。
2.用户必须等待12-120秒(基于耗费的gas)才能完成身份验证过程。
3.每个用户的所有登录操作在以太坊区块链上变得不可公开。
这种方式不实用,并且有一些用户体验限制,我们需要一种方法让用户证明他拥有与他想要用来登录的帐户相关的私钥,而不是只(当然)要求私钥,而不管他是否进行交易。
解决方案
Metamask团队成员Dan Finlay的这篇文章向我启发了本教程。基本上,你的DApp可以提示用户使用他的私钥对短信进行签名。此签名操作不会生成交易,并且它由Metamask附加组件透明地处理(顺便说一句,你的帐户需要解锁)。签名后,帐户,消息和签名将发送到API Token endpoint。验证方法首先通过接受签名和明文消息作为输入的函数从签名中推断帐户(也称为公钥)。如果计算的以太坊地址等于用户提供的帐户,则为该帐户发出JWT Token。
请务必注意,整个身份验证流程不需要用户名/密码或OAuth外部服务。用于验证用户身份的机制与以太坊用于保证以太坊区块链安全性的机制相同。这要归功于Go ethereum(Geth)通过Metamask插件提供JSON RPC中的web3.personal.sign。
服务器端调用对应的JSON RPC以从签名中检索帐户:web3.personal.ecrecover。在本教程中,我们将构建一个Asp.Net Core 2项目作为API层,并构建一个简单的HTML/javascript客户端作为DApp,以实际演示此身份验证过程。
image
1.从DApp用户单击登录按钮。这需要Metamask提供的web3对象。
2.Metamask要求用户通过JSON RPC的
web3.personal.sign签署消息。3.签名将发送到API层,该层通过JSON RPC的
web3.personal.ecrecover验证帐户。4.验证后,API层将发布JWT。
先决条件
1.为Chrome或Firefox安装Metamask插件。这个附加组件“将以太坊带到你的浏览器上”。实际上,Metamask提供了一个web3对象,用于与你的DApp中的以太坊区块链进行交互,处理你的私钥并在浏览器中管理交易。
2.可选的。运行Geth节点。我将向你展示两种从签名中恢复以太坊帐户的方法,其中一种方法需要你的API层针对Geth节点调用JSON RPC。注意:Infura现在还不行,因为它们不允许大多数
web3.personal.*的JSON RPC接口。出于开发目的,运行Geth节点非常简单。在生产环境中,出于安全考虑,运行Geth节点并不是一项简单的任务。最好的方法是依靠AWS或Azure提供的区块链即服务堆栈(BaaS)。3.开发堆栈:Visual Studio 2017和节点包管理器(NPM)。
4.以太坊/Asp.Net核心/前端开发的基础知识,JWT认证流程的基础知识。
开始
打开Visual Studio 2017,创建EthereumJwtSolution并添加两个Asp.Net Core 2 Web应用程序项目:EthereumJwtApi和EthereumJwtClient。为两个项目选择空项目脚手架。
image
EthereumJwtClient只是一个HTML/Javascript客户端。我们将在Asp.Net Core上构建客户端应用程序,只是为了在IIS Express上轻松运行它。
我们需要准备EthereumJwtApi来创建和处理JWT token,以保护一些安全端点。任务很简单,因为Asp.Net Core 2有一个内置的JWT机制,可以插入我们的应用程序。 打开Startup.cs并修改ConfigureServices方法:
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = Configuration["Jwt:Issuer"],
ValidAudience = Configuration["Jwt:Audience"],
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Key"]))
};
});
services.AddCors(options =>
{
options.AddPolicy("CorsPolicy",
builder => builder.AllowAnyOrigin()
.AllowAnyMethod()
.AllowAnyHeader()
.AllowCredentials()
.Build());
});
services.AddMvc();然后修改Configure方法:
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseCors("CorsPolicy");
app.UseAuthentication();
app.UseMvc();我们告诉我们的API应用程序使用JWT身份验证服务。为了与我们的用户合作,我们还需要配置Cors策略。我们在appsetting.json中定义设置JWT配置:
"Jwt": { "Key": "averysecretpassphrase", // A random and secure passhphrase
"Issuer": "http://localhost:49443/", // This API base URI
"Audience": "http://localhost:51149/" // The client base URI
},为测试目的创建一个简单的可能安全端点:
[Route("api/[controller]")]public class ValuesController : Controller
{ // GET api/values
[HttpGet, Authorize] public IEnumerable<string> Get()
{ return new string[] { "Secret 1", "Secret 2" };
}
}TokenController.cs将处理JWT请求和相关的token问题:
[Route("api/[controller]")]public class TokenController : Controller
{ private IConfiguration _config; public TokenController(IConfiguration config)
{
_config = config;
}
[AllowAnonymous]
[HttpPost] public async Task<IActionResult> CreateToken([FromBody]LoginVM login)
{
var user = await Authenticate(login); if (user != null)
{
var tokenString = BuildToken(user); return Ok(new { token = tokenString });
} return Unauthorized();
} private string BuildToken(UserVM user)
{
var claims = new[] { new Claim(JwtRegisteredClaimNames.Sub, user.Account), new Claim(JwtRegisteredClaimNames.GivenName, user.Name), new Claim(JwtRegisteredClaimNames.Email, user.Email), new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString())
};
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["Jwt:Key"]));
var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var token = new JwtSecurityToken(_config["Jwt:Issuer"],
_config["Jwt:Audience"],
claims,
expires: DateTime.Now.AddMinutes(30),
signingCredentials: creds); return new JwtSecurityTokenHandler().WriteToken(token);
} private async Task<UserVM> Authenticate(LoginVM login)
{ // TODO: this method will authenticate the user recovering the Ethereum address from signature using the Geth RPC web3.personal.ecrecover API
UserVM user = user = new UserVM { Account = login.Account, Name = string.Empty, Email = string.Empty }; return user;
} private async Task<UserVM> Authenticate2(LoginVM login)
{ // TODO: This method will authenticate the user recovering his Ethereum address through underlaying offline ecrecover method.
UserVM user = user = new UserVM { Account = login.Account, Name = string.Empty, Email = string.Empty }; return user;
}这是一个典型的JWT控制器,核心方法,Authenticate和Authenticate2尚未实现。一旦实现,他们将完成相同的工作:从签名中恢复以太坊地址,并检查它是否等于客户端提供的以太坊地址。
LoginVM表示客户端提供的用户凭据,UserVM表示“服务器端”登录用户:
public class LoginVM{
public string Signer { get; set; } // Ethereum account that claim the signature
public string Signature { get; set; } // The signature
public string Message { get; set; } // The plain message
public string Hash { get; set; } // The prefixed and sha3 hashed message }public class UserVM{
public string Account { get; set; } // Unique account name (the Ethereum account)
public string Name { get; set; } // The user name
public string Email { get; set; } // The user Email}Authenticate方法将Signature和Message属性作为ecRecover函数的输入,Authenticate2方法将采用Signature和Hash属性。我稍后会解释其中的差异。
作者:编程狂魔
链接:https://www.jianshu.com/p/2c45f6456140
共同学习,写下你的评论
评论加载中...
作者其他优质文章
