使用Swiyu瑞士电子身份通过Duende和.NET Aspire认证用户
本文展示了如何使用Duende IdentityServer和ASP.NET Core Identity验证用户身份,该验证过程使用瑞士数字身份和信任基础设施(Swiyu)来验证可验证数字凭证。Swiyu基础设施通过提供的通用容器实现,这些容器实现了OpenID for Verifiable Presentations标准以及许多其他实现可验证凭证的标准。该基础设施可用于实现身份用例或基本认证流程。
使用可验证凭证是实现身份识别用例的好方法,但不是实现认证流程的好方法。当需要高安全性时,应将用户识别与强认证流程结合使用,例如通行密钥认证和可验证凭证识别。
代码:https://github.com/swiss-ssi-group/swiyu-idp-aspire-aspnetcore
设置
使用Duende身份服务器作为Web应用程序的OpenID Connect服务器。当用户认证时,可以在身份提供者内部使用瑞士电子身份完成认证。应用程序使用.NET Aspire、ASP.NET Core Identity和瑞士公共测试版通用容器实现。这些容器实现了OpenID可验证凭证标准,并提供了简单的API来集成不同的应用程序。使用Swiyu很简单,但不是进行认证的好方法,因为它不具备防钓鱼能力。它是进行身份检查的好方法。
注册流程
要使用Swiyu注册,使用以下四个声明来识别人员:
- birth_date
- birth_place
- family_name
- given_name
注册端点需要已认证的用户。账户已经注册了电子邮件并创建了密码认证。然后可以添加电子身份,并将声明附加到此账户。
要使用瑞士电子身份注册和识别用户,使用瑞士通用API创建验证演示请求。OnPostAsync方法启动此过程。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
public async Task OnPostAsync()
{
var presentation = await _verificationService
.CreateBetaIdVerificationPresentationAsync();
var verificationResponse = JsonSerializer.Deserialize<CreateVerificationPresentationModel>(presentation);
// verification_url
QrCodeUrl = verificationResponse!.verification_url;
var qrCode = QrCode.EncodeText(verificationResponse!.verification_url, QrCode.Ecc.Quartile);
QrCodePng = qrCode.ToPng(20, 4, MagickColors.Black, MagickColors.White);
VerificationId = verificationResponse.id;
}
|
请求体发送通用API中定义的所需演示:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
|
{
var json = $$"""
{
"jwt_secured_authorization_request": true,
"presentation_definition": {
"id": "{{presentationDefinitionId}}",
"name": "Verification",
"purpose": "Verify using Beta ID",
"input_descriptors": [
{
"id": "{{inputDescriptorsId}}",
"format": {
"vc+sd-jwt": {
"sd-jwt_alg_values": [
"ES256"
],
"kb-jwt_alg_values": [
"ES256"
]
}
},
"constraints": {
"fields": [
{
"path": [
"$.vct"
],
"filter": {
"type": "string",
"const": "{{vcType}}"
}
},
{ "path": [ "$.birth_date" ] },
{ "path": [ "$.given_name" ] },
{ "path": [ "$.family_name" ] },
{ "path": [ "$.birth_place" ] }
]
}
}
]
}
}
""";
return json;
}
|
UI开始轮询后端,检查验证是否完成。该过程在带外完成,与会话没有连接。这是一个问题,因为无法防止钓鱼攻击。发送的数据是正确的,但与使用身份的会话断开连接。一旦用户使用Swiyu钱包完成身份检查,用户将得到更新并附加到账户。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
|
[HttpGet("verification-response")]
public async Task<ActionResult> VerificationResponseAsync([FromQuery] string? id)
{
try
{
if (id == null)
{
return BadRequest(new { error = "400", error_description = "Missing argument 'id'" });
}
var verificationModel = await _verificationService.GetVerificationStatus(id);
if (verificationModel != null && verificationModel.state == "SUCCESS")
{
// In a business app we can use the data from the verificationModel
// Verification data:
// Use: wallet_response/credential_subject_data
var verificationClaims = _verificationService.GetVerifiedClaims(verificationModel);
var user = await _userManager.FindByEmailAsync(GetEmail(User.Claims)!);
var exists = _applicationDbContext.SwiyuIdentity.FirstOrDefault(c =>
c.BirthDate == verificationClaims.BirthDate &&
c.BirthPlace == verificationClaims.BirthPlace &&
c.GivenName == verificationClaims.GivenName &&
c.FamilyName == verificationClaims.FamilyName);
if(exists != null)
{
throw new Exception("Swiyu already in use and connected to an account...");
}
if (user != null && user.SwiyuIdentityId <= 0)
{
var swiyuIdentity = new SwiyuIdentity
{
UserId = user.Id,
BirthDate = verificationClaims.BirthDate,
FamilyName = verificationClaims.FamilyName,
BirthPlace = verificationClaims.BirthPlace,
GivenName = verificationClaims.GivenName,
Email = user.Email!
};
_applicationDbContext.SwiyuIdentity.Add(swiyuIdentity);
// Save to DB
user.SwiyuIdentityId = swiyuIdentity.Id;
await _applicationDbContext.SaveChangesAsync();
}
}
return Ok(verificationModel);
}
catch (Exception ex)
{
return BadRequest(new { error = "400", error_description = ex.Message });
}
}
|
认证流程
用户拥有一个账户,可以使用瑞士电子身份进行认证。用户和应用程序使用OpenID Connect从Web应用程序进行认证,并在身份提供者上使用存储在手机上的凭证的瑞士钱包进行认证。任何可以访问手机的人都可以使用这些凭证。这也是安全性的一个缺口。
一旦身份提供者打开,使用登录端点。可以启动Swiyu身份检查,并发送类似于注册流程中的验证演示请求。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
|
public async Task<IActionResult> OnGet(string? returnUrl)
{
if (returnUrl != null)
{
// check if we are in the context of an authorization request
var context = await _interaction.GetAuthorizationContextAsync(returnUrl);
ReturnUrl = returnUrl;
}
var presentation = await _verificationService
.CreateBetaIdVerificationPresentationAsync();
var verificationResponse = JsonSerializer.Deserialize<CreateVerificationPresentationModel>(presentation);
// verification_url
QrCodeUrl = verificationResponse!.verification_url;
var qrCode = QrCode.EncodeText(verificationResponse!.verification_url, QrCode.Ecc.Quartile);
QrCodePng = qrCode.ToPng(20, 4, MagickColors.Black, MagickColors.White);
VerificationId = verificationResponse.id;
return Page();
}
|
使用Duende默认模板的基本登录界面已进行调整。
登录UI轮询并检查演示的状态。如果VerificationId有成功的响应,则使用声明并对身份进行认证。这里应该添加一些额外的验证。最好也验证电子邮件。如果用户的电子邮件与验证数据附加的账户相同,安全性会稍微强一些。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
|
public async Task<IActionResult> OnPost()
{
VerificationClaims verificationClaims = null;
try
{
if (VerificationId == null)
{
return BadRequest(new { error = "400", error_description = "Missing argument 'VerificationId'" });
}
var verificationModel = await RequestSwiyuClaimsAsync(1, VerificationId);
verificationClaims = _verificationService.GetVerifiedClaims(verificationModel);
// check if we are in the context of an authorization request
var context = await _interaction.GetAuthorizationContextAsync(ReturnUrl);
if (ModelState.IsValid)
{
var claims = new List<Claim>
{
new Claim("name", verificationClaims.GivenName),
new Claim("family_name", verificationClaims.FamilyName),
new Claim("birth_place", verificationClaims.BirthPlace),
new Claim("birth_date", verificationClaims.BirthDate)
};
var exists = _applicationDbContext.SwiyuIdentity.FirstOrDefault(c =>
c.BirthDate == verificationClaims.BirthDate &&
c.BirthPlace == verificationClaims.BirthPlace &&
c.GivenName == verificationClaims.GivenName &&
c.FamilyName == verificationClaims.FamilyName);
if (exists != null)
{
var user = await _userManager.FindByIdAsync(exists.UserId);
await _signInManager.SignInWithClaimsAsync(user, null, claims);
if (context != null)
{
if (context.IsNativeClient())
{
// The client is native, so this change in how to
// return the response is for better UX for the end user.
return this.LoadingPage(ReturnUrl);
}
}
return Redirect(ReturnUrl);
}
}
}
catch (Exception ex)
{
return BadRequest(new { error = "400", error_description = ex.Message });
}
return Page();
}
|
身份提供者显示二维码以验证凭证。
一旦账户被验证,OpenID Connect流程可以完成。
注意事项
使用瑞士电子身份(Swiyu)进行身份识别是一个优秀的解决方案,但不是进行认证的好解决方案。这是弱认证,可能被钓鱼。对于需要低级别认证的业务流程,可以接受这种风险。应该始终可以使用更强的认证方式,例如使用通行密钥。
使用Swiyu的场景
链接
标准