quickstart asp.net token check

Este documento fornece um guia de início rápido para integrar a segurança da API Approov em seu back-end ASP.Net. O Approov verifica se as solicitações são originadas de versões confiáveis ​​de aplicativos móveis, aumentando a segurança da sua API. Este guia aborda a configuração da CLI do Approov, o registro de seu domínio de API, a configuração de chaves (simétricas e assimétricas), a adição de dependências e a implementação do middleware de token Approov em seu aplicativo ASP.Net. Mais detalhes e solução de problemas estão vinculados.

Approov QuickStart - Verificação de token ASP.Net

Approov é uma solução de segurança de API usada para verificar se as solicitações recebidas pelos seus serviços de back-end se originam de versões confiáveis ​​dos seus aplicativos móveis.

Este repositório implementa o código de verificação de solicitação do lado do servidor Approov para a estrutura ASP.Net, que executa a verificação antes de permitir que o tráfego válido seja processado pelo endpoint da API.

Início rápido da integração do Approov

O início rápido foi testado com os seguintes sistemas operacionais:

Primeiro, configure a CLI do Approov.

Agora, registre o domínio da API para o qual o Approov emitirá tokens:

NOTA: Por padrão, uma chave simétrica (HS256) é usada para assinar o token Approov em um atestado válido do aplicativo móvel para cada domínio de API adicionado com a CLI do Approov, para que todas as APIs compartilhem o mesmo segredo e o back-end precise tome cuidado para manter esse segredo seguro.

Uma alternativa mais segura é usar chaves assimétricas (RS256 ou outras) que permitem que um conjunto de chaves diferente seja usado em cada domínio da API e que o token Approov seja verificado com uma chave pública que só pode verificar, mas não assinar, tokens Approov .

Para implementar a chave assimétrica, você precisa mudar do algoritmo simétrico HS256 para um algoritmo assimétrico, por exemplo RS256, que exige que você primeiro adicione uma nova chave e, em seguida, especifique-a ao adicionar cada domínio de API. Visite Gerenciando conjuntos de chaves na documentação do Approov para obter mais detalhes.

Em seguida, habilite sua função de administrador do Approov com:

Para o PowerShell do Windows:

Agora, obtenha seu segredo do Approov com a CLI do Approov:

Em seguida, adicione o segredo do Approov ao arquivo .env do seu projeto:

Agora, adicione ao seu arquivo appname.csproj as dependências:

A seguir, em Program.cs, carregue os segredos do arquivo .env e injete-os em AppSettiongs:

Agora, vamos adicionar a classe para carregar as configurações do aplicativo:

Em seguida, adicione a classe ApproovTokenMiddleware ao seu projeto:

NOTA: Quando a validação do token Approov falha, retornamos um 401 com corpo vazio, porque não queremos dar pistas a um invasor sobre o motivo da falha da solicitação, e você pode ir ainda mais longe retornando um 400.

Não há detalhes suficientes no início rápido básico? Não se preocupe, verifique os guias de início rápido detalhados que contêm um conjunto mais abrangente de instruções, incluindo como testar a integração do Approov.

Mais informações

Relógio do sistema

Para verificar corretamente os tempos de expiração dos tokens Approov é muito importante que o servidor backend esteja sincronizando automaticamente o relógio do sistema na rede com uma fonte de tempo autorizada. No Linux isso geralmente é feito com um servidor NTP.

Problemas

Se você encontrar algum problema ao seguir nossas instruções, basta reportá-lo aqui, com os passos para reproduzi-lo, e nós resolveremos e/ou orientaremos você para o caminho correto.

Índice

Links úteis

Se você deseja explorar a solução Approov com mais profundidade, por que não tentar um dos seguintes links como ponto de partida:

Índice