quickstart asp.net token check

Dokumen ini memberikan panduan memulai cepat untuk mengintegrasikan keamanan Approov API ke backend ASP.Net Anda. Approov memverifikasi bahwa permintaan berasal dari versi aplikasi seluler tepercaya, sehingga meningkatkan keamanan API Anda. Panduan ini mencakup pengaturan Approov CLI, mendaftarkan domain API Anda, mengonfigurasi kunci (simetris dan asimetris), menambahkan dependensi, dan mengimplementasikan middleware token Approov di aplikasi ASP.Net Anda. Detail lebih lanjut dan pemecahan masalah ditautkan di dalamnya.

Menyetujui QuickStart - Pemeriksaan Token ASP.Net

Approov adalah solusi keamanan API yang digunakan untuk memverifikasi bahwa permintaan yang diterima oleh layanan backend Anda berasal dari versi aplikasi seluler Anda yang tepercaya.

Repo ini mengimplementasikan kode verifikasi permintaan sisi server Approov untuk kerangka ASP.Net, yang melakukan pemeriksaan verifikasi sebelum mengizinkan lalu lintas yang valid untuk diproses oleh titik akhir API.

Panduan Mulai Integrasi yang Disetujui

Mulai cepat diuji dengan Sistem Operasi berikut:

Pertama, atur Approov CLI.

Sekarang, daftarkan domain API yang tokennya akan dikeluarkan oleh Approov:

CATATAN: Secara default, kunci simetris (HS256) digunakan untuk menandatangani token Approov pada pengesahan aplikasi seluler yang valid untuk setiap domain API yang ditambahkan dengan Approov CLI, sehingga semua API akan berbagi rahasia yang sama dan backend perlu melakukannya berhati-hatilah untuk menjaga rahasia ini tetap aman.

Alternatif yang lebih aman adalah dengan menggunakan kunci asimetris (RS256 atau lainnya) yang memungkinkan rangkaian kunci berbeda untuk digunakan pada setiap domain API dan agar token Approov diverifikasi dengan kunci publik yang hanya dapat memverifikasi, tetapi tidak menandatangani, token Approov .

Untuk mengimplementasikan kunci asimetris, Anda perlu mengubah penggunaan algoritma HS256 simetris ke algoritma asimetris, misalnya RS256, yang mengharuskan Anda menambahkan kunci baru terlebih dahulu, lalu menentukannya saat menambahkan setiap domain API. Silakan kunjungi Mengelola Kumpulan Kunci pada dokumentasi Approov untuk detail lebih lanjut.

Selanjutnya, aktifkan peran admin Approov Anda dengan:

Untuk PowerShell Windows:

Sekarang, dapatkan Rahasia Approov Anda dengan Approov CLI:

Selanjutnya, tambahkan rahasia Approov ke file .env proyek Anda:

Sekarang, tambahkan dependensi ke file appname.csproj Anda:

Selanjutnya, di Program.cs muat rahasia dari file .env dan masukkan ke AppSettiongs:

Sekarang, mari tambahkan kelas untuk memuat pengaturan aplikasi:

Selanjutnya, tambahkan kelas ApproovTokenMiddleware ke proyek Anda:

CATATAN: Ketika validasi token Approov gagal, kami mengembalikan 401 dengan isi kosong, karena kami tidak ingin memberikan petunjuk kepada penyerang tentang alasan permintaan gagal, dan Anda dapat melangkah lebih jauh dengan mengembalikan 400.

Tidak cukup detail dalam panduan memulai sederhana? Jangan khawatir, periksa mulai cepat mendetail yang berisi serangkaian instruksi yang lebih komprehensif, termasuk cara menguji integrasi Approov.

Informasi Lebih Lanjut

Jam Sistem

Untuk memeriksa dengan benar waktu kedaluwarsa token Approov, sangat penting bahwa server backend menyinkronkan jam sistem secara otomatis melalui jaringan dengan sumber waktu resmi. Di Linux hal ini biasanya dilakukan dengan server NTP.

Masalah

Jika Anda menemukan masalah apa pun saat mengikuti instruksi kami, laporkan saja di sini, dengan langkah-langkah untuk mereproduksinya, dan kami akan menyelesaikannya dan/atau memandu Anda ke jalur yang benar.

Daftar Isi

Tautan Berguna

Jika Anda ingin menjelajahi solusi Approov lebih dalam, mengapa tidak mencoba salah satu tautan berikut sebagai titik awal:

Daftar Isi