quickstart asp.net token check

Dieses Dokument bietet eine Schnellstartanleitung für die Integration der Approov API-Sicherheit in Ihr ASP.Net-Backend. Approov überprüft, ob Anfragen von vertrauenswürdigen mobilen App-Versionen stammen, und erhöht so die Sicherheit Ihrer API. In diesem Leitfaden werden die Einrichtung der Approov-CLI, die Registrierung Ihrer API-Domäne, die Konfiguration von Schlüsseln (symmetrisch und asymmetrisch), das Hinzufügen von Abhängigkeiten und die Implementierung der Approov-Token-Middleware in Ihrer ASP.Net-Anwendung behandelt. Weitere Details und Fehlerbehebung finden Sie hier.

Approov QuickStart – ASP.Net-Token-Prüfung

Approov ist eine API-Sicherheitslösung, mit der überprüft wird, ob von Ihren Backend-Diensten empfangene Anfragen von vertrauenswürdigen Versionen Ihrer mobilen Apps stammen.

Dieses Repo implementiert den serverseitigen Anforderungsüberprüfungscode von Approov für das ASP.Net-Framework, der die Überprüfung durchführt, bevor gültiger Datenverkehr vom API-Endpunkt verarbeitet werden kann.

Schnellstart zur Approov-Integration

Der Schnellstart wurde mit folgenden Betriebssystemen getestet:

Richten Sie zunächst die Approov-CLI ein.

Registrieren Sie nun die API-Domäne, für die Approov Token ausstellt:

HINWEIS: Standardmäßig wird ein symmetrischer Schlüssel (HS256) verwendet, um das Approov-Token auf einer gültigen Bescheinigung der mobilen App für jede API-Domäne zu signieren, die mit der Approov-CLI hinzugefügt wird, sodass alle APIs dasselbe Geheimnis teilen und das Backend dies auch tun muss Achten Sie darauf, dieses Geheimnis geheim zu halten.

Eine sicherere Alternative ist die Verwendung asymmetrischer Schlüssel (RS256 oder andere), die es ermöglichen, auf jeder API-Domäne einen anderen Schlüsselsatz zu verwenden und das Approov-Token mit einem öffentlichen Schlüssel zu verifizieren, der Approov-Token nur verifizieren, aber nicht signieren kann .

Um den asymmetrischen Schlüssel zu implementieren, müssen Sie von der Verwendung des symmetrischen HS256-Algorithmus zu einem asymmetrischen Algorithmus, beispielsweise RS256, wechseln, bei dem Sie zunächst einen neuen Schlüssel hinzufügen und ihn dann beim Hinzufügen jeder API-Domäne angeben müssen. Weitere Informationen finden Sie unter Verwalten von Schlüsselsätzen in der Approov-Dokumentation.

Aktivieren Sie als Nächstes Ihre Approov-Administratorrolle mit:

Für die Windows-Powershell:

Holen Sie sich jetzt Ihr Approov-Geheimnis mit der Approov-CLI:

Fügen Sie als Nächstes das Approov-Geheimnis zu Ihrer Projekt-.env-Datei hinzu:

Fügen Sie nun Ihrer appname.csproj-Datei die Abhängigkeiten hinzu:

Als nächstes laden Sie in Program.cs die Geheimnisse aus der .env-Datei und fügen sie in AppSettiongs ein:

Fügen wir nun die Klasse hinzu, um die App-Einstellungen zu laden:

Fügen Sie als Nächstes die ApproovTokenMiddleware-Klasse zu Ihrem Projekt hinzu:

HINWEIS: Wenn die Validierung des Approov-Tokens fehlschlägt, geben wir eine 401 mit einem leeren Textkörper zurück, da wir einem Angreifer keine Hinweise auf den Grund geben möchten, warum die Anfrage fehlgeschlagen ist. Sie können sogar noch weiter gehen, indem Sie eine 400 zurückgeben.

Nicht genügend Details im Basis-Schnellstart? Keine Sorge, sehen Sie sich die detaillierten Schnellstartanleitungen an, die ausführlichere Anweisungen enthalten, einschließlich der Anleitung zum Testen der Approov-Integration.

Weitere Informationen

Systemuhr

Um die Ablaufzeit der Approov-Token korrekt zu überprüfen, ist es sehr wichtig, dass der Backend-Server die Systemuhr über das Netzwerk automatisch mit einer maßgeblichen Zeitquelle synchronisiert. Unter Linux erfolgt dies normalerweise über einen NTP-Server.

Probleme

Wenn Sie beim Befolgen unserer Anweisungen auf ein Problem stoßen, melden Sie es einfach hier mit den Schritten zur Reproduktion. Wir werden es dann beheben und/oder Sie auf den richtigen Weg führen.

Inhaltsverzeichnis

Nützliche Links

Wenn Sie die Approov-Lösung ausführlicher erkunden möchten, können Sie einen der folgenden Links als Ausgangspunkt nutzen:

Inhaltsverzeichnis