Introduction à la sécurité dans ASP.NET Core

Introduction à la sécurité dans
ASP.NET Core
Anthony Giretti
Développeur sénior ASP.NET chez Spiria
anthony.giretti@gmail.com
http://anthonygiretti.com

La sécurité
• Le mécanisme d’authentification
• Les autorisations
• La protection des données
• SSL et Https
• Anti-Request Forgery
• Prévention des attaques XSS
• Autorisation /rejet des requêtes Cross-Origin

La sécurité
L’authentification avec ASP.NET Core Identity
• Introduction à ASP.NET Core Identity
Système d’abonnement permettant d’ajouter des fonctionnalités de
connexion à son application en utilisant un nom d’utilisateur et un mot de
passe ou utiliser un fournisseur de connexion tel que Facebook,
Compatible avec SQL Server, Azure Storage Table

La sécurité
• Exemple avec les comptes utilisateurs individuels
ASP.NET Core Identity fortement couplé avec EntityFramework (package
Microsoft.AspNetCore.Identity.EntityFrameworkCore)

La sécurité

La sécurité
• Configuration du service

La sécurité
• Activation du service

La sécurité
• Instanciation dans un controlleur

La sécurité
• Création d’un utilisateur

La sécurité
• Authentification d’un utilisateur

La sécurité
• LogOff

La sécurité
(Démo sur mon pc)
•  Tutoriel complet ici :
https://docs.asp.net/en/latest/security/authentication/i
dentity.html

La sécurité
• Features associées :
Authentification avec Facebook, Google et autres fournisseurs externes
(https://docs.asp.net/en/latest/security/authentication/sociallogins.html)
Support de OAuth 2.0
(https://docs.asp.net/en/latest/security/authentication/oauth2.html)
Confirmation de compte et récupération de mot de passe sécurisée
(https://docs.asp.net/en/latest/security/authentication/accconfirm.html)
Authentification par SMS
(https://docs.asp.net/en/latest/security/authentication/2fa.html)

La sécurité
L’authentification sans ASP.NET Core Identity
Utilisation des Cookies classiques (via HttpContext.Request.Cookies)
Utilisation des Cookies Middleware
Claim-based (cf : WIF)
Permettent de sérialiser les informations d’utilisateur (Principal) et d’encrypter dans un cookie
Capable via des évènements de valider son intégrité
De recréer le Principal et de l’assigner à l’objet User de HttpContext

La sécurité
• Configuration

La sécurité
• Exemple de login

La sécurité
• Exemple de page nécessitant d’être authentifié

La sécurité
• LogOff

La sécurité
• Gestionnaire d’évènement, exemple en vas de modification d’une
information de l’utilisateur principal courant.

La sécurité
(Démo sur mon pc)
•  Tutoriel complet ici :
https://docs.asp.net/en/latest/security/authentication/c
ookie.html

La sécurité
Les autorisations avec ASP.NET Core
• Introduction aux autorisations :
On retrouve les attributs AuthorizeAttribute et AllowAnonymousAttribute
On les retrouve dans le namespace Microsoft.AspNetCore.Authorization
 Simple Authorization
 Role based Authorization
 Claims-Based Authorization
 Custom Policy-Based Authorization

La sécurité
• Reprenons l’exemple avec les cookies

La sécurité
• Les autorisations simples

La sécurité
• Les autorisations basées sur des rôles

La sécurité
• Configuration des autorisation basées sur les claims

La sécurité
• Exemple

La sécurité
• Pour aller plus loin….
Il est possible de créer des policies plus élaborées
Il est aussi possible de créer ses propres Handlers
(https://docs.asp.net/en/latest/security/authorization/policies.html)

La sécurité
La protection des données avec .NET Core
• Introduction :
Toute nouvelle feature de .NET Core
Propose 3 manières de protéger ses données
 Data Protection (cryptage à vocation non durable basée sur une clé et un lifetime défini, réversible)
 Hashing (encodage irréversible, recommandé pour les mots de passes)
 Encryption (cryptage à vocation durable, réversible)

La sécurité
• Configuration du Data Protection :
Dépendance au namespace Microsoft.AspNetCore.DataProtection

La sécurité
• Exemple d’utilisation du Data Protection

La sécurité
• Implémentation d’une classe statique de :
Dépendance au namespace Microsoft.Cryptography.KeyDerivation

La sécurité
• Introduction à la nouvelle librairie d’encryption
Basée sur 2 nouvelle interface : IAuthenticatedEncryptor et
IAuthenticatedEncryptorDescriptor
Description ici : https://docs.asp.net/en/latest/security/data-
protection/extensibility/core-crypto.html

Merci! C’était :
Introduction à la sécurité dans
ASP.NET Core
Anthony Giretti
Développeur sénior ASP.NET chez Spiria
anthony.giretti@gmail.com
http://anthonygiretti.com
Code source de cette présentation : https://github.com/AnthonyGiretti/aspnetcoresecurity

Introduction à la sécurité dans ASP.NET Core

Contenu connexe

Tendances

En vedette

Plus de MSDEVMTL

Introduction à la sécurité dans ASP.NET Core