背景是我们当前的基础架构使用两个Web应用程序。一个Web应用程序管理用户,另一个用户可以登录并重置其密码。从管理区域我们需要能够启动密码重置,最好不要在其他域上调用API操作。
由于DpapiDataProtectionProvider
的名称和DataProtectorTokenProvider.Create
的目的需要匹配才能使生成的密码重置令牌工作,这已被证明是一个问题。我们不想在客户端域上使用Owin,因此在管理Web应用程序上创建符合这些条件的新DpapiDataProtectionProvider
和DataProtectorTokenProvider
。
我们通过使用相同的ApplicationUserManager
创建相同的UserTokenProvider
来实现它,但我们想在客户端使用Owin实例。
作品:
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
查看App_Start -> IdentityConfig.cs -> public static ApplicationUserManager Create(IdentityFactoryOptions<ApplicationUserManager> options, IOwinContext context)
,存在以下代码:
var dataProtectionProvider = options.DataProtectionProvider;
if (dataProtectionProvider != null)
{
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(dataProtectionProvider.Create("ASP.NET Identity"));
}
但是,我无法找到DataProtectionProvider
类型的IDataProtectionProvider
的名称。界面只有一个方法,那就是IDataProtector Create(params string[] purposes);
我怎么能得到这个名字?这会以某种方式影响安全吗?我认为下面唯一缺少的是new DpapiDataProtectionProvider("<MISSING>");
应该具有的名称。
[HttpGet]
[AllowAnonymous]
[Route("testReset")]
public IHttpActionResult TestResetAdminDomain()
{
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
var email = "[email protected]";
var user = new ApplicationUser() { UserName = email, Email = email };
var identityUser = manager.FindByEmail(email);
if (identityUser == null)
{
manager.Create(user);
identityUser = manager.FindByEmail(email);
}
var token = manager.GeneratePasswordResetToken(identityUser.Id);
return Ok(HttpUtility.UrlEncode(token));
}
[HttpGet]
[AllowAnonymous]
[Route("testResetWithOwin")]
public IHttpActionResult TestResetWithOwinClientDomain(string token)
{
var manager = Request.GetOwinContext().GetUserManager<ApplicationUserManager>();
var email = "[email protected]";
var identityUser = manager.FindByEmail(email);
var valid = Task.Run(() => manager.UserTokenProvider.ValidateAsync("ResetPassword", token, manager, identityUser)).Result;
var result = manager.ResetPassword(identityUser.Id, token, "TestingTest1!");
return Ok(result);
}
更新:
根据https://github.com/aspnet/Identity/blob/master/src/Identity/DataProtectionTokenProvider.cs,它应该是DataProtectorTokenProvider
给出代码Protector = dataProtectionProvider.CreateProtector(Name ?? "DataProtectorTokenProvider")
如果创建了令牌,则需要由同一个应用程序池使用!当代码在不同的应用程序池用户上进行测试时,代码没有通过,当应用程序池用户与它正常工作时相同。
原版的:
我没有找到Owin的名字,但我测试了我的安全问题。使用以下方法创建了两个Web应用程序。当用户在WebApplication1中创建时,我也从用户为WebApplication2创建的用户ID中复制了用户ID,因此他们对方法manager.GeneratePasswordResetToken(identityUser.Id)
具有相同的guid Id。当测试令牌仅适用于WebApplication1而不是WebApplication2时,即使用户具有相同的Id和DpapiDataProtectionProvider
并且DataProtectorTokenProvider
创建完全相同。
[HttpGet]
[AllowAnonymous]
[Route("testReset")]
public IHttpActionResult TestResetAdminDomain()
{
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
var email = "[email protected]";
var user = new ApplicationUser() { UserName = email, Email = email };
var identityUser = manager.FindByEmail(email);
if (identityUser == null)
{
manager.Create(user);
identityUser = manager.FindByEmail(email);
}
var token = manager.GeneratePasswordResetToken(identityUser.Id);
return Ok(HttpUtility.UrlEncode(token));
}
[HttpGet]
[AllowAnonymous]
[Route("testReset")]
public IHttpActionResult TestResetClientDomain(string token)
{
var db = new ApplicationDbContext();
var manager = new ApplicationUserManager(new UserStore<ApplicationUser>(db));
var provider = new DpapiDataProtectionProvider("ASP.NET Identity");
manager.UserTokenProvider = new DataProtectorTokenProvider<ApplicationUser>(
provider.Create("ASP.NET Identity"));
var email = "[email protected]";
var identityUser = manager.FindByEmail(email);
var valid = Task.Run(() => manager.UserTokenProvider.ValidateAsync("ResetPassword", token, manager, identityUser)).Result;
var result = manager.ResetPassword(identityUser.Id, token, "TestingTest1!");
return Ok(result);
}