Autoryzacja dla endpointa w api napisanym w Asp.Net

Question

Tworzę sobię backend w ASP.Net z autoryzacją. Do zrobienia tego skorzystałem z tego - https://jasonwatmore.com/post/2019/10/14/aspnet-core-3-simple-api-for-authentication-registration-and-user-management#running-react

Zrobiłem sobie endpoint do dodawania zdjęcia na serwer dla konkretnego usera:

 [Authorize]
        [HttpPost("{username}/photos/")]
        public IActionResult AddPhoto(String username, [FromForm]IFormFile photo)
        {
         
            //add img to static folder
            var wwww_root = _webHostEnvironment.WebRootPath;
            var path = @"\profiles\" + username + @"\profile_photos\";
            var upload_path = wwww_root + path;

            var pathForFile = upload_path + photo.FileName;

            try
            {
                using (FileStream fileStream = System.IO.File.Create(pathForFile))
                {
                    photo.CopyTo(fileStream);
                    fileStream.Flush();
                }
            }
            catch(DirectoryNotFoundException e)
            {
                return NotFound("This username does not exists");
            }
            var pathOnServer = "http://" + Request.Host.Value + path + photo.FileName;
            var photoImage = _profileService.AddPhoto(username, pathOnServer);
            
            return Ok();

        }

i to działa, ale chciałbym by dla podanego username był wymagany Bearer Token, bo w tym wypadku owszej jest wymagany bearer token, ale działa dla wszystkich tokenów. By jaśniej zoobrazować sytuację:

Mam endpoint - http://localhost:4000/profiles/{username}/photos/

jeśli jako username podam np. admin chciałbym by był wymagany token przypisany właśnie dla admina, a tokeny innych użytkowników były odrzucane.

W podanym linku znalazłem konfigurację dla autentyfikacji

// configure jwt authentication
            var appSettings = appSettingsSection.Get<AppSettings>();
            var key = Encoding.ASCII.GetBytes(appSettings.Secret);
            services.AddAuthentication(x =>
            {
                x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(x =>
            {
                x.Events = new JwtBearerEvents
                {
                    OnTokenValidated = context =>
                    {
                        var userService = context.HttpContext.RequestServices.GetRequiredService<IUserService>();
                        var userId = int.Parse(context.Principal.Identity.Name);
                        var user = userService.GetById(userId);
                        if (user == null)
                        {
                            // return unauthorized if user no longer exists
                            context.Fail("Unauthorized");
                        }
                        return Task.CompletedTask;
                    }
                };
                x.RequireHttpsMetadata = false;
                x.SaveToken = true;
                x.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateIssuerSigningKey = true,
                    IssuerSigningKey = new SymmetricSecurityKey(key),
                    ValidateIssuer = false,
                    ValidateAudience = false
                };
            });

i metodę w kontrolerze do wywołania autentykacji

[AllowAnonymous]
        [HttpPost("authenticate")]
        public IActionResult Authenticate([FromBody]AuthenticateModel model)
        {
            var user = _userService.Authenticate(model.Username, model.Password);

            if (user == null)
                return BadRequest(new { message = "Username or password is incorrect" });

            var tokenHandler = new JwtSecurityTokenHandler();
            var key = Encoding.ASCII.GetBytes(_appSettings.Secret);
            var tokenDescriptor = new SecurityTokenDescriptor
            {
                Subject = new ClaimsIdentity(new Claim[]
                {
                    new Claim(ClaimTypes.Name, user.Id.ToString())
                }),
                Expires = DateTime.UtcNow.AddDays(7),
                SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
            };
            var token = tokenHandler.CreateToken(tokenDescriptor);
            var tokenString = tokenHandler.WriteToken(token);

            // return basic user info and authentication token
            return Ok(new
            {
                Id = user.Id,
                Username = user.Username,
                FirstName = user.FirstName,
                LastName = user.LastName,
                Token = tokenString
            });
        }

ale nie potrafię tego przełożyć na rozwiązanie mojego problemu. Bardzo proszę o wskazówki jak to moge zrobić.

Comments

Jak dajesz AllowAnonymous, to uwierzytelnianie jest pomijane, czyli autoryzacja nie zachodzi.

---

tak, ale to metoda która tworzy token uwierzytelniający więc nie może być autoryzowana

---

No to jest prawidłowo reszta.

---

Ale nie wiem jak zrobić tak jak chcę czyli. Mam tu endpointa do wysyłania zdjęcia na serwer

http://localhost:4000/profiles/{username}/photos/

Po zalogowaniu się na moją stronę użytkownik w odpowiedzi dostaje token wygenerowany przez metodę "Authenticate". Teraz chcę by użytkownik mógł dodać do swojego profilu zdjęcie dlatego client skorzysta z endpointa podanego wyżej i tu potrzebna jest autoryzacja by nie doszło do tego, że inny użytkownik za pomocą swojego tokena doda zdjęcie do innego profilu.

---

Stwórz role.https://docs.microsoft.com/en-us/aspnet/core/security/authorization/roles?view=aspnetcore-3.1

---

Po co parametr username w uri? Usera wyciągasz z tokena, więc sprawdzenie o którym mówisz będzie zbędne.

---

Tylko, pod tym linkiem który wysłałem token nie jest trzymany w bazie, więc powinienem go tam umieszczać po każdym zalogowaniu użytkownika i w body przekazywać jedynie token zalogowanego użytkownika i sprawdzać czy jest w bazie?

Answer 1

Daną która identyfikuje usera przesyłaj w nagłówkach. Mamy tutaj dwa podstawowe podejścia:

1. Stateful: wysyłasz userowi jakiś długi łańcuch będący id jego sesji. Wtedy informację o tym czy jest zalogowany trzymasz po stronie serwera. Dla wygody najczęściej wykorzystuje się ciacho.
2. Stateless: wysyłasz do usera token podpisany przez Twój backend. Kiedy user wysyła do Ciebie ten token jesteś w stanie zweryfikować, czy został on wystawiony przez Ciebie i kim jest user. W tym przypadku sesja jest po stronie użytkownika. 

Comments

Robiłem na podstawie tego artykuły, który podlinkowałem. Tam serwer na podstawie ID użytkownika generuje JWT token. Z kolei dane o zalogowanym użytkowniku są trzymane w localStorage. Czyli wychodzi na to, że jest to podejście "Stateless". Więc reasumując - powinienem w nagłówku przesłać na serwer token użytkownika, który jest zalogowany i serwer odszyfrowuje go i weryfikuje jego poprawność?

---

Sprawdza podpis. Ale jest tak jak powiedziałeś. Podejście stateless. Wobec tego jeśli masz usera z tokena, to nie widzę potrzeby aby przekazywać username w uri.

Gdzieś tam widziałem warianty z całkowitym szyfrowaniem tokena, bo w standardowym jwt jesteś w stanie zobaczyć jakie informacje są przechowywane po stronie klienta.