quickstart asp.net token check

이 문서는 Approov API 보안을 ASP.Net 백엔드에 통합하기 위한 빠른 시작 가이드를 제공합니다. Approov는 요청이 신뢰할 수 있는 모바일 앱 버전에서 발생하는지 확인하여 API 보안을 강화합니다. 이 가이드에서는 Approov CLI 설정, API 도메인 등록, 키 구성(대칭 및 비대칭), 종속성 추가, ASP.Net 애플리케이션에서 Approov 토큰 미들웨어 구현을 다룹니다. 자세한 내용과 문제 해결은 내부에 링크되어 있습니다.

Approov QuickStart - ASP.Net 토큰 확인

Approov는 백엔드 서비스에서 수신한 요청이 신뢰할 수 있는 버전의 모바일 앱에서 발생하는지 확인하는 데 사용되는 API 보안 솔루션입니다.

이 리포지토리는 API 엔드포인트에서 유효한 트래픽을 처리하기 전에 확인 검사를 수행하는 ASP.Net 프레임워크에 대한 Approov 서버 측 요청 확인 코드를 구현합니다.

Approov 통합 빠른 시작

빠른 시작은 다음 운영 체제에서 테스트되었습니다.

먼저 Approov CLI를 설정합니다.

이제 Approov가 토큰을 발행할 API 도메인을 등록하십시오.

참고: 기본적으로 대칭 키(HS256)는 Approov CLI를 통해 추가된 각 API 도메인에 대해 모바일 앱의 유효한 증명에서 Approov 토큰에 서명하는 데 사용됩니다. 따라서 모든 API는 동일한 비밀을 공유하고 백엔드는 다음을 수행해야 합니다. 이 비밀을 안전하게 유지하도록 주의하세요.

보다 안전한 대안은 각 API 도메인에서 서로 다른 키 세트를 사용하고 Approov 토큰을 확인만 할 수 있고 서명할 수는 없는 공개 키로 Approov 토큰을 확인할 수 있도록 허용하는 비대칭 키(RS256 또는 기타)를 사용하는 것입니다. .

비대칭 키를 구현하려면 대칭 HS256 알고리즘 사용에서 RS256과 같은 비대칭 알고리즘으로 변경해야 합니다. 이 경우 먼저 새 키를 추가한 다음 각 API 도메인을 추가할 때 이를 지정해야 합니다. 자세한 내용은 Approov 설명서에서 키 세트 관리를 참조하세요.

다음으로 다음을 사용하여 Approov 관리자 역할을 활성화합니다.

Windows Powershell의 경우:

이제 Approov CLI를 사용하여 Approov 비밀을 얻으세요.

다음으로 프로젝트 .env 파일에 Approov 비밀을 추가합니다.

이제 appname.csproj 파일에 종속성을 추가합니다.

다음으로 Program.cs에서 .env 파일의 비밀을 로드하고 AppSettiongs에 삽입합니다.

이제 앱 설정을 로드하는 클래스를 추가해 보겠습니다.

다음으로 ApproovTokenMiddleware 클래스를 프로젝트에 추가합니다.

참고: Approov 토큰 검증이 실패하면 본문이 비어 있는 401을 반환합니다. 공격자에게 요청이 실패한 이유에 대한 단서를 제공하고 싶지 않기 때문입니다. 400을 반환하면 더 많은 작업을 수행할 수 있습니다.

기본적인 빠른 시작의 세부정보가 충분하지 않나요? 걱정하지 마세요. Approov 통합 테스트 방법을 포함하여 보다 포괄적인 지침 세트가 포함된 자세한 빠른 시작을 확인하세요.

추가 정보

시스템 시계

Approov 토큰의 만료 시간을 올바르게 확인하려면 백엔드 서버가 네트워크를 통해 시스템 시계를 신뢰할 수 있는 시간 소스와 자동으로 동기화하는 것이 매우 중요합니다. Linux에서는 일반적으로 NTP 서버를 사용하여 이 작업을 수행합니다.

문제

지침을 따르는 동안 문제를 발견한 경우 재현 방법과 함께 여기에 보고해 주세요. 그러면 문제를 정리하거나 올바른 경로로 안내해 드리겠습니다.

목차

유용한 링크

Approov 솔루션을 더 자세히 살펴보고 싶다면 다음 링크 중 하나를 출발점으로 사용해 보세요.

목차