.NET Conf

Obszar bezpieczeństwa aplikacji internetowych w ASP.NET Core uległ znaczącej ewolucji, oferując programistom wiele zaawansowanych podejść do implementacji uwierzytelniania i autoryzacji. Nowoczesne aplikacje ASP.NET Core korzystają z wielowarstwowej architektury bezpieczeństwa, łącząc tradycyjną tożsamość ASP.NET Core Identity ze współczesnymi mechanizmami uwierzytelniania opartymi na tokenach, takimi jak JSON Web Tokens (JWT) oraz standardowymi protokołami, np. OAuth2 i OpenID Connect (OIDC). Framework umożliwia elastyczne konfiguracje uwierzytelniania, wspierając różne scenariusze – od prostego uwierzytelnienia na bazie ciasteczek dla aplikacji tradycyjnych po uwierzytelnianie tokenami typu bearer dla API i aplikacji SPA.

Spis treści [odkryj]

Prawidłowo zaimplementowane mechanizmy autoryzacji – oparte na rolach, uprawnieniach (claims) i politykach – gwarantują, że użytkownicy mają dostęp jedynie do zasobów zgodnych z ich uprawnieniami. Nowości w .NET 8 obejmują punkty końcowe API tożsamości, które upraszczają tworzenie bezpiecznych API, utrzymując zgodność z istniejącymi mechanizmami uwierzytelniania.

Podstawowe pojęcia i architektura uwierzytelniania

Uwierzytelnianie w ASP.NET Core stanowi podstawowy proces ustalania tożsamości użytkownika, na którym opierają się wszystkie kolejne decyzje autoryzacyjne w aplikacji. Framework wyraźnie rozróżnia uwierzytelnianie (określające, kim jest użytkownik) od autoryzacji (decydującej, do czego użytkownik posiada dostęp). Takie podejście pozwala wdrażać złożone modele bezpieczeństwa, elastycznie dostosowane do wymagań biznesowych.

System uwierzytelniania opiera się na IAuthenticationService, która współpracuje z zarejestrowanymi handlerami uwierzytelniania. Te komponenty odpowiadają za weryfikację danych i zarządzanie stanem uwierzytelnienia. Schematy uwierzytelniania konfiguruje się w trakcie uruchamiania aplikacji, co pozwala na stosowanie wielu metod uwierzytelniania jednocześnie.

Przykładowe etapy konfiguracji usług uwierzytelniania obejmują:

  • rejestrację podstawowego schematu poprzez AddAuthentication,
  • dodanie konkretnych handlerów, np. AddJwtBearer lub AddCookie,
  • zdefiniowanie polityki domyślnego lub jawnego wyboru schematu,
  • integrację przez middleware UseAuthentication.

W sytuacji obsługi wielu schematów kluczowe jest wskazanie domyślnego lub jawne przypisanie do żądań. Middleware analizuje żądania i uzupełnia HttpContext.User o ClaimsPrincipal, stanowiący podstawę systemu autoryzacji.

Szczegółowe omówienie ASP.NET Core Identity

ASP.NET Core Identity to kompleksowy system członkostwa, obejmujący obsługę kont użytkowników, pełne uwierzytelnianie oraz podstawową autoryzację.

Architektura rozwiązania korzysta z Entity Framework Core, co sprawia, że tabele bazy danych oraz operacje CRUD są automatycznie zarządzane. Główne tabele to:

  • AspNetUsers – użytkownicy,
  • AspNetRoles – role,
  • AspNetUserClaims – uprawnienia użytkowników,
  • AspNetUserRoles – przypisania ról.

Najważniejsze klasy Identity to:

  • UserManager<TUser> – zarządzanie użytkownikami, kontrola haseł, obsługa claims,
  • SignInManager<TUser> – logika weryfikacji haseł, generowanie sesji lub cookies, obsługa 2FA,
  • RoleManager<TRole> – obsługa ról i ich modyfikacji.

Hasła w ASP.NET Core Identity są haszowane przy użyciu saltów i wielu iteracji, zgodnie ze standardami branżowymi.

Dwuskładnikowe uwierzytelnianie (2FA) wspierane jest z użyciem:

  • kodów TOTP (np. Google Authenticator),
  • SMS,
  • kodów jednorazowych wysyłanych mailem.

Współpraca z zewnętrznymi dostawcami (OAuth 2.0, OpenID Connect) pozwala użytkownikom wykorzystywać istniejące konta (np. Google, Facebook, Microsoft).

Elastyczność pozwala tworzyć niestandardowe modele użytkowników i modyfikować implementacje przechowywania danych, korzystając z architektury DI (Dependency Injection).

Implementacja uwierzytelniania tokenami JSON Web Token (JWT)

JWT umożliwia bezstanowe i skalowalne uwierzytelnianie, co czyni je idealnym wyborem dla API i systemów rozproszonych. Token zawiera:

  • header – meta dane i algorytm,
  • payload – claims, czyli dane o użytkowniku, rolach, uprawnieniach,
  • signature – cyfrowy podpis gwarantujący integralność.

Wady i zalety JWT najlepiej przedstawić w tabeli:

Cecha Zalety JWT Wady JWT
Bezstanowość brak konieczności sesji na serwerze trudniejsza natychmiastowa unieważnialność tokena
Skalowalność łatwość pracy w chmurze i microservices złożone zarządzanie odświeżaniem tokenów
Bezpieczeństwo danych integralność podpisu dane w JWT są jawne (nie zaszyfrowane)

Konfiguracja JWT obejmuje ustawienie AddJwtBearer z takimi parametrami jak issuer, audience i klucz podpisu. Walidacja obejmuje podpis, ważność, wystawcę i odbiorcę oraz tolerancję zegarów.

Prawidłowe bezpieczeństwo JWT wymaga:

  • właściwego zarządzania kluczami podpisującymi,
  • bezpiecznego przechowywania tokenów po stronie klienta,
  • krótkich czasów życia access tokenów,
  • odświeżania sesji przez refresh tokeny.

Integracja OAuth 2.0 i OpenID Connect

Standardy OAuth 2.0 oraz OpenID Connect zapewniają obsługę nowoczesnych metod autoryzacji i uwierzytelniania w aplikacjach rozproszonych, API oraz SPA. OAuth2 odpowiada za autoryzację, OIDC – za potwierdzenie tożsamości użytkownika poprzez token ID.

Do najczęściej obsługiwanych scenariuszy należą:

  • pojedyncze logowanie SSO (Single Sign-On),
  • dostęp z poziomu aplikacji mobilnych, desktopowych i webowych,
  • delegacja uprawnień między aplikacjami i systemami.

Konfigurację handlera OpenIdConnect w ASP.NET Core upraszcza automatyczne wykrywanie konfiguracji po well-known configuration endpoint. Możliwa jest rozbudowana modyfikacja claims oraz obsługa refresh tokenów czy bezpiecznego wylogowania.

Mechanizmy autoryzacji i wzorce implementacji

Autoryzacja w ASP.NET Core obejmuje mechanizmy ról, claims oraz polityk, pozwalające dostosować kontrolę dostępu do wymagań biznesowych. Poniżej prezentujemy kluczowe dostępne opcje:

  • Autoryzacja ról – oparta o atrybut [Authorize(Roles = ...)], szybka kontrola z poziomu kodu;
  • Autoryzacja claims – polityki wymagające określonego claim lub wartości claim;
  • Custom requirements – możliwość implementacji niestandardowej logiki według własnych handlerów;
  • Resource-based authorization – decyzje oparte o własność zasobu lub kontekst żądania.

Zasada minimalnego przydziału uprawnień polega na projektowaniu polityk, które nadają użytkownikom wyłącznie konieczne uprawnienia, co minimalizuje skutki naruszeń bezpieczeństwa.

Najlepsze praktyki bezpieczeństwa i nowoczesne wzorce implementacyjne

Efektywne wdrożenie uwierzytelniania i autoryzacji w ASP.NET Core wymaga przestrzegania najlepszych praktyk bezpieczeństwa.

Do najważniejszych zaleceń należą:

  • bezpieczne przechowywanie tajnych danych (zmienne środowiskowe, Azure Key Vault, user secrets),
  • transmisja danych wyłącznie przez HTTPS,
  • implementacja polityk siły haseł i ich historii,
  • blokowanie kont po wielu nieudanych próbach (rate limiting, account lockout),
  • logowanie audytowe wszystkich operacji związanych z bezpieczeństwem,
  • stosowanie flag HttpOnly, Secure i SameSite dla cookies,
  • krótki czas życia access tokenów w JWT, bezpieczne przechowywanie po stronie klienta,
  • włączenie mechanizmów CSP, ochrona przed XSS i CSRF,
  • systemy monitoringu oraz automatycznej reakcji na incydenty.

W przypadku JWT należy pamiętać, że local/session storage nie są automatycznie przesyłane przez przeglądarkę, co stanowi naturalne zabezpieczenie przed CSRF, pod warunkiem poprawnej implementacji uprawnień.

Usprawnienia w .NET 8 i nowoczesny rozwój API

Wersja .NET 8 przyniosła kluczowe usprawnienia do ASP.NET Core Identity, zwiększając bezpieczeństwo oraz wygodę implementacji API i SPA.

Najważniejsze nowości to:

  • punkty końcowe API Identity – gotowe endpointy do zarządzania użytkownikami i logowaniem,
  • proste wdrożenie – konfiguracja obejmuje wywołania AddIdentityApiEndpoints i MapIdentityApi,
  • obsługa tokenów nieprzezroczystych,
  • rozbudowana obsługa refresh tokenów (rotacja, unieważnianie),
  • zgodność z frontendami mobilnymi i SPA.

Bezpieczeństwo nowych rozwiązań zapewnia przechowywanie tokenów po stronie serwera oraz automatyczna kontrola refresh tokenów.

Dodatkowo:

  • nowe endpointy są w pełni kompatybilne z istniejącymi funkcjami,
  • architektura pozwala dodać własną logikę walidacji i claims,
  • wydajność i bezpieczeństwo operacji bazy oraz walidacji tokenów uległy optymalizacji.