Wpis z mikrobloga

Skopiuj link

31.05.2019, 12:32:39

#webdev #programowanie #csharp

Zrobiłem sobie tak dla wprawki prostą autentykację JWT tokenem na .NET Core. Założyłem przy tym, że użytkownik logując się dostarcza nazwę użytkownika i hasło, ja sobie sprawdzam po stronie backendu czy to się wszystko zgadza i jak się zgadza, to odsyłam odpowiedni token z wszelkimi przydatnymi później metadanymi użytkownika, które mam zapisane w bazie na jego temat (rola, id).

No i tutaj przychodzi pytanie. Mamy szyfrowane połączenie https, ale zastanawia mnie teraz jaka jest dobra praktyka z tymi hasłami. Teraz testowo zapytanie wygląda tak: "createToken/{userId}/{password}", ale nie jestem pewien czy aby hasło w plaintexcie powinno się znaleźć w zapytaniu w ten sposób, czy raczej powinno być chociaż schowane w body zapytania.

Po stronie bazy danych nie ma mowy o trzymaniu haseł w plaintexcie, więc albo muszą zostać natychmiastowo zahashowane po stronie backendu w kontrolerze zapytań o token i porównane ze starym hashem, albo hash musi być wygenerowany po stronie frontu i backend dostaje już gotową mielonkę, którą porównuje z własną mielonką. Jak się to robi w praktyce?

Rst00

31.05.2019, 12:35:57

@Khaine: chyba się jeszcze nie spotkałem żeby login i hasło przesyłać w gecie. Zawsze takie dane lądują do body a https gwarantuje Ci (teoretycznie) że wszystko będzie bezpieczne. Generowanie hasha po stronie frontu nie ma sensu i może być niebezpieczne. W backendzie masz najprawdopodobniej generowanie hasha z jakąś solą więc musiałbyś tę sól ujawić frontowi i zmniejszy to bezpieczeństwo całej aplikacji.

Khaine

31.05.2019, 12:40:43

@Rst00: Domyśliłem się, że do geta się tego nie rzuca xD Tak zrobiłem na szybkości, bo mi łatwiej było to z poziomu przeglądarki odpalać i sprawdzać czy działa.

Reasumując ładujemy plaintexta do body zapytania i w kontrolerze odpowiedzialnym za tokeny robimy mielonkę, porównujemy stary hash z nowym i jak się zgadza, to odsyłamy token i tyle.

grubson234567

31.05.2019, 12:52:31

No i tutaj przychodzi pytanie. Mamy szyfrowane połączenie https, ale zastanawia mnie teraz jaka jest dobra praktyka z tymi hasłami. Teraz testowo zapytanie wygląda tak: "createToken/{userId}/{password}", ale nie jestem pewien czy aby hasło w plaintexcie powinno się znaleźć w zapytaniu w ten sposób, czy raczej powinno być chociaż schowane w body zapytania.

@Khaine: Dorze że nie jesteś pewien, bo to nie poprawne

Reasumując ładujemy plaintexta do body zapytania i w

Marmite

31.05.2019, 12:58:25

Domyśliłem się, że do geta się tego nie rzuca xD Tak zrobiłem na szybkości, bo mi łatwiej było to z poziomu przeglądarki odpalać i sprawdzać czy działa.

@Khaine: Postman twoim przyjacielem

soser

31.05.2019, 12:59:52

Generalnie do testowania backendu używaj sobie swaggera / postmana - mocno ułatwi Ci to pracę. Jeżeli chodzi o hashowanie haseł to polecam zrobić to za pomocą asp.net identitiy lub na jego wzór np. tak: https://www.blinkingcaret.com/2017/11/29/asp-net-identity-passwordhash/

M.....v

konto usunięte 31.05.2019, 13:07:31

@Marmite: @Khaine: Albo Swashbuckle

Khaine

31.05.2019, 13:28:14

@Marmite: Już go odkryłem. Latają już te kredencjały po body jak pan bug przykazał.

k.....e

konto usunięte 31.05.2019, 13:40:03

@Khaine: wymagasz podania userid żeby się zalogować?

Khaine

31.05.2019, 13:53:26

@kebab-case: założyłem nazwę usera i hasło. Powinno wystarczyć. Mała szansa, że powtórzy się nazwa użytkownika ORAZ hash hasła w momencie gdy masz tak ze 30 użytkowników maksymalnie, bo to będzie mikroserwisik raczej docelowo.

k.....e

konto usunięte 31.05.2019, 13:55:29

@Khaine: chodziło mi o to że masz w urlu wpisane userId i zastanawiam się czy to jest id usera z bazy czy username

Khaine

31.05.2019, 13:59:34

@kebab-case: Nie ma już tego url. Teraz jest tylko api/createToken a kredencjały w postaci userName i password lecą w body.

k.....e

konto usunięte 31.05.2019, 14:01:10

@Khaine: tak, to przeczytałem, tylko mnie interesuje czy wcześniej wymagales znajomości id użytkownika żeby się zalogować xd

Khaine

31.05.2019, 14:04:04

@kebab-case: A tak jebłem na szybkości xD Po pewnym czasie zauważyłem, że tam faktycznie jest ID i trochę guano xD

k.....e

konto usunięte 31.05.2019, 14:05:45

@Khaine: oauth2 się poucza bo samo jwt to tak średnio użyteczne jest

Vamteusz

31.05.2019, 18:30:18

@kebab-case: mozesz rozwinac?

k.....e

konto usunięte 31.05.2019, 19:41:40

@Vamteusz: Nie mogę bo nie powiedziałeś co mam rozwinąć

Goglez

31.05.2019, 19:57:36

autentykację

@Khaine: Nie ma takiego słowa ヽ( ͠°෴ °)ﾉ

Vamteusz

01.06.2019, 08:51:12

@kebab-case: dlaczego jwt jest "srednio uzyteczne"?

k.....e

konto usunięte 01.06.2019, 10:56:09

@Vamteusz: bo to tylko token i nic poza tym

Aktywne Wpisy

grexo

grexo +34

5 godz. i 42 min temu

Co drugie auto uszkodzone przez ich ładowanie. Jak budda wyjdzie to się nie wypłacą przez 5 lat, chyba nie mają pojęcia ile kosztuje naprawa takich furek, nawet nie wiedzieli że te samochody mają funkcję podnoszenia podwozia do załadunku xD

#budda

grexo - Co drugie auto uszkodzone przez ich ładowanie. Jak budda wyjdzie to się nie w... — **źródło:** 361214844643-kolejne-auta-od-buddy-sa-wywozone-lawetami
Pobierz

PanNieznanypl

PanNieznanypl +858

6 godz. i 2 min temu

Na spotkaniu gdzie występowały hr w #korpo powiedziałem, że "Karierę to robi Lewandowski a my jesteśmy zwykłymi szczurami w amerykańskiej firmie" wszyscy się na mnie obrazili, chyba czeka mnie rozmowa z HR xD
#korposwiat #praca #pracbaza #programowanie #programista15k #pracait

Aktywne Wpisy

Aktywne Znaleziska

Próbował zabić kuriera. 19

Nie trzeba nam Buddy ani Owsiaka

Legimi w ramach abonamentu NO LIMIT wprowadza opłatę 15 zł za każdą książkę XD

Amerykański Wallmart wycofuje maskotkę kaktusa śpiewającego po polsku

Petycja o NATYCHMIASTOWE rozwiązanie Reprezentacji Polski w piłce nożnej

Popularne tagi