背景是我们当前的基础设施使用两个Web应用程序。一个 Web 应用程序管理用户,另一个用户可以登录和重置其密码。在管理区域中,我们需要能够启动密码重置,最好不要在其他域上调用 API 操作。
由于DpapiDataProtectionProvider的名称和DataProtectorTokenProvider.Create的目的都需要匹配才能使生成的密码重置令牌正常工作,因此这已被证明是一个问题。我们不希望在客户端域上使用 Owin,因此在管理 Web 应用程序上创建一个符合这些条件的新DpapiDataProtectionProvider和DataProtectorTokenProvider。
我们通过使用相同的UserTokenProvider创建相同的ApplicationUserManager来使其工作,但我们想在客户端使用 Owin 实例。
工程:
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
查看是否存在以下代码App_Start -> IdentityConfig.cs -> public static ApplicationUserManager Create(IdentityFactoryOptions<ApplicationUserManager> options, IOwinContext context):
var dataProtectionProvider = options.DataProtectionProvider;
if (dataProtectionProvider != null)
{
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(dataProtectionProvider.Create("ASP.NET Identity"));
}
但是,我找不到IDataProtectionProvider类型的DataProtectionProvider的名称设置在哪里。该接口只有一种方法,那就是IDataProtector Create(params string[] purposes);如何获得此名称?这会以某种方式影响安全性吗?我认为下面唯一缺少的是new DpapiDataProtectionProvider("<MISSING>");应该有什么名字。
[HttpGet]
[AllowAnonymous]
[Route("testReset")]
public IHttpActionResult TestResetAdminDomain()
{
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
var email = "test@test.com";
var user = new ApplicationUser() { UserName = email, Email = email };
var identityUser = manager.FindByEmail(email);
if (identityUser == null)
{
manager.Create(user);
identityUser = manager.FindByEmail(email);
}
var token = manager.GeneratePasswordResetToken(identityUser.Id);
return Ok(HttpUtility.UrlEncode(token));
}
[HttpGet]
[AllowAnonymous]
[Route("testResetWithOwin")]
public IHttpActionResult TestResetWithOwinClientDomain(string token)
{
var manager = Request.GetOwinContext().GetUserManager<ApplicationUserManager>();
var email = "test@test.com";
var identityUser = manager.FindByEmail(email);
var valid = Task.Run(() => manager.UserTokenProvider.ValidateAsync("ResetPassword", token, manager, identityUser)).Result;
var result = manager.ResetPassword(identityUser.Id, token, "TestingTest1!");
return Ok(result);
}
更新:
根据 https://github.com/aspnet/Identity/blob/master/src/Identity/DataProtectionTokenProvider.cs 应该DataProtectorTokenProvider给定代码Protector = dataProtectionProvider.CreateProtector(Name ?? "DataProtectorTokenProvider")
如果创建了令牌,则需要由同一应用程序池使用!当在不同的应用程序池用户上测试代码时,代码没有通过,当应用程序池用户相同时,它正常工作。
源语言:
我没有找到Owin的名字,但我测试了我的安全问题。使用以下方法创建了两个 Web 应用程序。在 WebApplication1 中创建用户时,我也从该值中复制了用户 ID 用户为 WebApplication2 创建,因此他们具有与方法manager.GeneratePasswordResetToken(identityUser.Id)相同的 guid Id。测试令牌时仅适用于 WebApplication1 而不是 WebApplication2,即使用户具有相同的 ID 和DpapiDataProtectionProvider并且创建完全相同DataProtectorTokenProvider也是如此。
[HttpGet]
[AllowAnonymous]
[Route("testReset")]
public IHttpActionResult TestResetAdminDomain()
{
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
var email = "test@test.com";
var user = new ApplicationUser() { UserName = email, Email = email };
var identityUser = manager.FindByEmail(email);
if (identityUser == null)
{
manager.Create(user);
identityUser = manager.FindByEmail(email);
}
var token = manager.GeneratePasswordResetToken(identityUser.Id);
return Ok(HttpUtility.UrlEncode(token));
}
[HttpGet]
[AllowAnonymous]
[Route("testReset")]
public IHttpActionResult TestResetClientDomain(string token)
{
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
var email = "test@test.com";
var identityUser = manager.FindByEmail(email);
var valid = Task.Run(() => manager.UserTokenProvider.ValidateAsync("ResetPassword", token, manager, identityUser)).Result;
var result = manager.ResetPassword(identityUser.Id, token, "TestingTest1!");
return Ok(result);
}