Posts

[.NET Core] ASP .NET Core 3.1 驗證與授權(三)-Cookie 驗證實例

前兩篇介紹了驗證、授權在 .NET Core 當中的基本的概念，本節實作 Cookie 驗證的設定、簽發、登出… Configuration 在 Startup.ConfigureServices 方法中設置驗證方案，並且可以在 AddCookie 當中設置 CookieAuthenticationOptions(見前一節) // 設置 cookie 驗證作為應用程式預設的驗證方案 services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme) // 將 cookie 服務添加到服務容器當中 .AddCookie(); 在 Startup.Configure 方法中，呼叫 UseAuthentication、UseAuthorization，啟用驗證中間件並設置 HttpContext.User 屬性， UseAuthentication 必須在 UseAuthorization 之前，且兩者都必須在 UseEndpoints 之前被呼叫： app.UseAuthentication(); // 驗證 app.UseAuthorization(); // 授權 // 端點對應 app.UseEndpoints(endpoints => { endpoints.MapControllers(); endpoints.MapRazorPages(); }); Cookie Policy Middleware 在中間件當中設置的驗證政策會作用於全域(每個請求)，舉例來說，最常用的就是限制應用程式所有 Cookie 的 SameSite 屬性，所有 Controller 簽發的 Cookie.SamSite 屬性會被限縮為較嚴格(不比 MinimumSameSitePolicy 寬鬆)的設置： app.UseCookiePolicy(new CookiePolicyOptions { // 所有 Cookie.SamSite 設置都會被提升為 Strict MinimumSameSitePolicy = SameSiteMode.Strict, // Cookie.SamSite 設置為 None 的話會被提升為 Lax //MinimumSameSitePolicy = SameSiteMode.Lax, // MinimumSameSitePolicy 設置為最寬鬆，因此不會影響 Cookie.SamSite //MinimumSameSitePolicy = SameSiteMode.None, }); Create an authentication cookie .NET Core 利用 ClaimsPrincipal 將序列化的使用者資訊儲存在 Cookie 當中而 ClaimsPrincipal 可包含很多 ClaimsIdentity(但通常只有一個)； ClaimsIdentity 可以且通常包含很多 Claims(聲明)，而每個 Claims 是包含型別(ClaimType)、值(ClaimValue)。因此為登入使用者建立 Cookie 驗證的步驟如下：

Wednesday, December 30, 2020 Read

[.NET Core] ASP .NET Core 3.1 驗證與授權(X)-備註頁面

Identity Objects Principal Objects IPrincipal 物件帶有 IIdentity 物件的參考可指定 Authentication Scheme 獲得 Identity IAuthenticationService SignOutAsync 清除 Cookie 的 Claims 在 Cookie 寫入 Claims Token 登入登入 API 實作宣告 ClaimsPrincipal 後，可利用服務容器已注入的認證服務(實作 IAuthencationService 的類別)，進行登入、登出。使用 SignInAsync 方法登入(寫入認證資訊)需要這些東西： ClaimsPrincipal(必要)，我們需要 ClaimsPrincipal 攜帶 ClaimsIdentity 及 Claims。 AuthenticationScheme string (Optional)可指定 Scheme，若沒有給就是使用預設的 Scheme。 authProperties (Optional)，可指定自訂認證選項 AuthenticationHttpContextExtensions AuthenticationHttpContextExtensions 類別對 HttpContext 類別擴展出認證方法，從服務容器中獲取 IAuthenticationService 實體類別，並調用同名方法。 IAuthenticationService SignOutAsync 清除 Cookie 的 Claims 可儲存 ClaimsPrincipal進行簽發(登入)認證，作為身分識別。

Monday, November 23, 2020 Read

[.NET Core] ASP .NET Core 3.1 驗證與授權(一)-驗證與授權

在進入 ASP .NET Core 3.1 中驗證(Authentication)與授權(Authorization)的作用流程前，應當對兩者有抽象概念上的認識，以及了解兩者的差異。驗證(Authentication) 驗證是確認用戶識別碼(User Identity)的程序，通過驗證的用戶可具有一或多個用戶識別碼，因此驗證服務本身就是使用者識別碼提供者 (User Identity Provider)， ASP.NET Core 3.1 當中以依賴注入(DI; Dependency Injection)將驗證服務注入服務容器 (Service Container)，使應用程式驗證簽發時能夠取用。授權(Authorization) 授權的作用是界定用戶可存取資源範圍，作用描述如下：限制所存取的資源是否需要驗證。已獲得驗證的特定用戶、特定腳色方能存取特定資源。所存取的資源需要以何種授權政策(Authorizaton Policy)、即驗證方案(Authencation Scheme)。挑戰和禁止有些名詞需要先解釋：驗證方案(Authentication Scheme)當中設置了挑戰(Chellange)與禁止(Forbid)應該進行的動作，這些註冊於驗證方案的動作動作由授權叫用。挑戰(Challenge) 未驗證使用者要存取需驗證才能存取的資源時，授權服務會叫用 IAuthenticationService.ChallengeAsync 發起 challenge， challenge 被發起後所伴隨採取的行動稱為 challenge action，且 challenge action 應讓使用者知道應該以哪一種驗證機制取得授權，常見的具體範例有： cookie 驗證方案將使用者轉址到登入頁面。 JWT 回傳 401 Unauthorized 狀態碼，並在 Header 帶入 www-authenticate: bearer。禁止(Forbid) 已驗證的使用者要存取授權之外的資源時，授權會叫用 IAuthenticationService.ForbidAsync 發起 Forbid， Forbid 發起後所伴隨採取的行動稱為 Forbid action， Forbid action 的目的是要讓使用者知道自己已通過認證、且不具權限訪問所請求的資源，常見的具體範例有：

Monday, November 23, 2020 Read

[SignalR] Websocket 即時聊天程式(三) - 後端 Token 認證

安裝套件要進行 Token 的認證，需要先安裝 Microsoft.AspNetCore.Authentication.JwtBearer 套件： dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer 註冊認證服務新增一個檔案 DependencyInjection.cs，在當中製作 IServiceCollection 的擴充方法來自定義 JWT token 認證服務，在裡面設置 Token 的認證規則、使用者識別碼對應、使用者群組對應，而 SignalR 抓取使用者識別碼 (UserIdentifier) 的介面方法是 IUserIdProvider.GetUserId，因此我們需要另外新增一個實作 IUserProvider 的類別注入服務容器給 SignalR 使用，該檔案程式碼如下： using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.AspNetCore.SignalR; using Microsoft.Extensions.Configuration; using Microsoft.Extensions.DependencyInjection; using Microsoft.IdentityModel.Tokens; using System.Diagnostics.CodeAnalysis; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Threading.Tasks; namespace SignalR.Extensions.DependencyInjection { public static class MyAddConfig { public static IServiceCollection AddMyJWTAuth( [NotNull] this IServiceCollection services, IConfiguration config ) { services.AddAuthentication(options => { // Identity 預設是使用 Cookie authentication，必須手動設置為 JWT Bearer Auth: options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }).AddJwtBearer(options => { // [注意]先解除 MapInboundClaims ，否則會因為套件中某些為向前相容而保留的 legacy code 使得 RoleClaimType 無法生效 // https://github.com/AzureAD/azure-activedirectory-identitymodel-extensions-for-dotnet/issues/1214 if (options.SecurityTokenValidators.FirstOrDefault() is JwtSecurityTokenHandler jwtSecurityTokenHandler) jwtSecurityTokenHandler.MapInboundClaims = false; // 設置 Token 在授權後是否要儲存於 AuthenticationProperties options.SaveToken = true; // 設置各認證參數 options.TokenValidationParameters = new TokenValidationParameters { NameClaimType = "userId", // 設置 Http 請求的 User.Identity.Name、Hub 中 UserIdentifier 取值的 Claim 是 userId RoleClaimType = "roles", // 設置使用者的腳色從 type="roles" 的 claims 對應 ValidateLifetime = true, // 認證 Token 有效期間 ValidateIssuerSigningKey = true, //驗證 token 中的 key IssuerSigningKey = new SymmetricSecurityKey(System.Text.Encoding.UTF8.GetBytes(config.GetValue<string>("JWT:SignKey"))), // SignKey ValidateIssuer = false, // 不驗證簽發者 ValidateAudience = false // 不驗證 Audience (Token接收方) }; options.Events = new JwtBearerEvents { // 設定當 OnMessageReceived 事件被觸發時，獲取認證用的 access_token OnMessageReceived = context => { // 不同於標準夾帶於 header 的 http token，signalr 會透過網址參數發送 access token // ASP .NET Core 預設會將請求的 URL 皆做成 Log 紀錄，如果不想要網址列的 Token 被 Log 記錄下來必須參考 // https://docs.microsoft.com/aspnet/core/signalr/security#access-token-logging string accessToken = context.Request.Query["access_token"]; // 檢查請求路徑是否為 chathub var path = context.HttpContext.Request.Path; if (!string.IsNullOrEmpty(accessToken) && (path.StartsWithSegments("/chathub"))) { // 把 token 丟進 MessageReceiveContext 當中 context.Token = accessToken; } return Task.CompletedTask; } }; }); services.AddSingleton<IUserIdProvider, NameUserIdProvider>(); // 如果是使用 email claim 作為 user identifier 用下面這行並實作 EmailBasedUserIdProvider // services.AddSingleton<IUserIdProvider, EmailBasedUserIdProvider>(); // NameUserIdProvider 和 EmailBasedUserIdProvider 無法同時使用!! return services; } } // 實作 SignalR 抓取使用者 Identity 的方法 IUserIdProvider.GetUserId // 提供服務容器注入給 SignalR 使用 public class NameUserIdProvider : IUserIdProvider { public string GetUserId(HubConnectionContext connection) { // 認證設定時設置好 NameClaimType，這裡直接回傳 User.Identity.Name 即可 return connection.User?.Identity?.Name; } } } 然後在 Startup.cs 當中添加對該類別的引用：

Friday, November 20, 2020 Read

[Linux] 在 Ubuntu 20.04 中設置 vim plugin YouCompleteMe

安裝 junegunn/vim-plug 管理套件以指令安裝 junegunn/vim-plug curl -fLo ~/.vim/autoload/plug.vim --create-dirs \ https://raw.githubusercontent.com/junegunn/vim-plug/master/plug.vim 在 ~/.vimrc 加入 Plug ‘ycm-core/YouCompleteMe’ " Specify a directory for plugins call plug#begin('~/.vim/plugged') Plug 'ycm-core/YouCompleteMe' " Initialize plugin system call plug#end() 打開 vim，在 vim 命令列輸入安裝 Plugin 的指令下載 YCM，這個時候還沒編譯所以會顯示安裝失敗 :PlugInstall 編譯YCM 安裝編譯工具 sudo apt install -y build-essential cmake vim python3-dev 編譯 ~/.vim/plugged/YouCompleteMe/install.py 測試打開 vim 確認，完工~ Reference GitHub - ycm-core/YouCompleteMe GitHub - junegunn/vim-plug

Wednesday, November 18, 2020 Read

[Code] 複製元件內的文字

要在前端用 JavaScript 將 DOM 的內容複製到剪貼簿有幾種姿勢： Clipboard API 基本上目前(2020年底)，主流瀏覽器近期版本都支援了，如果不考慮 IE 的話倒是可以使用，語法精簡而且能非同步操作。不支援 IE 是非同步方法，會傳回 Promise 支援從變數直接複製到剪貼簿只有 HTTPS 網頁可以使用此 API Chrome 66 之後透過 Clipboard 複製已經不會彈出提示視窗只能在 active tab 發生作用 (a.k.a. 開發者無法在 colsole 做測試，會得到 DOMException: Document is not focused.) function copyText(text) { // 判斷瀏覽器支援 if (!navigator.clipboard) { alert("瀏覽器不支援 Clipboard API") // 這裡可以改用 document.execCommand('copy') 的方法 } // 非同步複製至剪貼簿 let resolve = () => { console.log('透過 Clipboard 複製至剪貼簿成功'); } let reject = (err) => { console.error('透過 Clipboard 複製至剪貼簿失敗:' + err.toString() ); } navigator.clipboard.writeText(text).then(resolve, reject); } 複製隱藏元素 document.execCommand(‘copy’)

Friday, November 13, 2020 Read

[DIY] 用Typescript搭建簡易前端路由

起始一個使用 vallina-ts 的 vite 專案並安裝套件，並使用 bootstrap 做簡單的 css 套用： npm init vite@latest route-test #依序選擇 vallina->vallina-ts cd route-test npm i # 安裝套件 npm i bootstrap # 安裝 bootstrap 在 index.html 新增元素 app <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8" /> <link rel="icon" type="image/svg+xml" href="favicon.svg" /> <meta name="viewport" content="width=device-width, initial-scale=1.0" /> <title>Vite App</title> </head> <body> <div id="app" class="container-fluid"> <div id="menu" class="row g-0"></div> <div id="root" class="row g-0"></div> </div> <script type="module" src="/src/main.ts"></script> </body> </html>

Friday, November 13, 2020 Read

[JS] 各種模組(module)

JS模組規範有很多：AMD、UMD、CMD、commonJS、ES6 module Reference JS模組規範：AMD、UMD、CMD、commonJS、ES6 module

Friday, November 13, 2020 Read

[SignalR] Websocket 即時聊天程式(四) - 前端登入頁面

安裝 axios SignalR 連線驗證的方式是將 token 夾帶於網址參數中發送到伺服器，因此進行 websocket 連線前我們透過 ajax 向伺服器發送帳號密碼索取登入的 Token，我們安裝方便使用 ajax 的 axios 函式庫： axios 一樣可以透過 LibMan 安裝~ libman install axios@latest \ -p unpkg \ -d wwwroot/js/axios \ --files dist/axios.min.js 在 wwwRoot/index.html 添加對 axios 的引用： <script src="./lib/axios/dist/axios.min.js"></script> 簡易登入UI 雖然是功能原型，為了讓做出來的頁面不要太粗暴，拿 bootstrap 的 css 來套用一下 UI： libman install [email protected] \ -p unpkg \ -d wwwroot/lib/bootstrap \ --files dist/js/bootstrap.min.js \ --files dist/css/bootstrap.min.css 在 wwwRoot/index.html 添加對 bootstrap css 的引用： <script src="./lib/bootstrap/dist/js/bootstrap.min.js"></script> 現在將 wwwRoot/index.html 修改如下：

Tuesday, November 10, 2020 Read

[SignalR] Websocket 即時聊天程式(二) - 後端 Token 授權

SignalR驗證方式 SignalR 的授權可以選擇使用 Cookie 或 Bearer Token： Cookie: 驗證方法與一般網頁別無二致，較容易實作但缺點是只能用於瀏覽器(browser-specific)。 Bearer Token 可通用於網頁和 App (或提供任何應用程式)，使用 Token 做登入能夠讓應用程式更容易實作其他使用者端，如果有其他的伺服器簽發 Token，更容易整合至單一登入(Single Sign-On)，也是官方建議使用的方式，以下假設簽發 Token 與 SignalR 伺服器為同一台進行實作。將 Token 驗證實作至伺服器之前，讓我們先練習實作一支簽發 Token 的 API。以 Option pattern 取得 JWT 設定這裡練習 Option pattern，以獲取 appsetting.json 當中 JWT 相關設定的強型別支援： appsetting.json 將 JWT 相關的設定寫到 appsetting.json 當中： { "Logging": { "LogLevel": { "Default": "Information", "Microsoft": "Warning", "Microsoft.Hosting.Lifetime": "Information" } }, "JWT": { "Issuer": "Naxo", "Expires": "1440", // 憑證有效分鐘數 "SignKey": "myNameIsTigernaxo,ThisIsMyPersonalBlog" // 設定簽發/解密憑證的對稱式加密金鑰 }, "AllowedHosts": "*" }

Saturday, November 7, 2020 Read

[SignalR] Websocket 即時聊天程式(一) - 建立專案

這個系列會官方文件為主，保留必要的部分，並視情況修改部份程式、添加說明文字。建立 SignalR 專案這個範例設定用靜態 html 做前端，這樣之後要做前後端分離也更容易一些，之後會用到 web api 請求登入 Token，所以起始一個 web api 專案： # 建立專案 dotnet new webapi -o SignalR # 以 VS Code 打開專案 code -r signalr 建立 SignalR 中樞在.NET Core 3.1 當中使用 SignalR 伺服器端不再需要安裝額外的套件，直接將 SignalR 注入服務容器就能使用， SignalR 的 Hub 中文名稱就叫做中樞，在專案中新增資料夾 Hubs 用來專門存放 Hub 實作類別，並在 Hubs 中新增檔案 ChatHub.cs，內容如下： using Microsoft.AspNetCore.SignalR; using System.Threading.Tasks; namespace SignalR.Hubs { // 這就是所謂的 SignalR 中樞 public class ChatHub : Hub { // 這是提供 Client (js)端呼叫的方法，後面是這個方法接受的參數 public async Task SendMessage(string user, string message) { // 針對每個以連線的客戶端呼叫 ReceiceMassage 方法，並傳送參數 user、message await Clients.All.SendAsync("ReceiveMessage", user, message); } } } 設定 Startup.cs 依照官網的設定，在 Startup.cs 當中新增第13, 30,42-43 ,52 行：

Tuesday, November 3, 2020 Read

[Linux] CentOS 8 設定網路靜態IP

查詢IP $ ip a 1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp0s3: mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:85:fe:50 brd ff:ff:ff:ff:ff:ff inet 10.0.2.15/24 brd 10.0.2.255 scope global noprefixroute enp0s3 valid_lft forever preferred_lft forever inet6 fe80::98e4:9fbc:ba91:db3f/64 scope link noprefixroute valid_lft forever preferred_lft forever 修改網路設定修改網路介面設置如下，檔案名稱預設為ifcfg-網路介面(網路卡)名稱，舉例來說安裝好 CentOS 預設的網路卡 enp0s3 設定檔：/etc/sysconfig/network-scripts/ifcfg-enp0s3

Tuesday, June 16, 2020 Read