可以公开来自“ IdentityError”类的消息吗?
作者:互联网
我对asp.net核心标识框架还很陌生.许多教程,文章和指南似乎都以相同的方式处理IdentityError.它们向用户公开错误的描述,即,将错误的描述添加到ModelState.
有人把错误暴露给用户是一个可怕的主意,因为它可以增强攻击者的能力.
因此,我认为,这必须取决于说明中提供的信息类型.例如,如果错误是“您的密码太弱”或“您需要输入有效的电子邮件地址”.这类信息对用户来说很有价值,应该可以显示.但是,“数据源响应时间太长”已经是太多信息,并且价值不大.我宁愿捕获这种类型的错误,并用一些通用的500错误代替它.
所以我的问题是:向用户显示原始身份错误是否安全?如果没有,我该如何过滤应该和不应该显示给用户的内容?
我尝试查看MSDN docs以了解我可能收到的所有可能的代码.但是这些文档提供的信息很少.
我专门与
var userCreationResult = await userManager.CreateAsync(newUser, password);
但是它适用于任何可能出现IdentityError的实例.
解决方法:
许多软件质量和安全法规对此都有审核要求(向最终用户显示的任何错误消息都不会包含机密信息,或者使具有恶意意图的用户能够危害系统或访问敏感数据),因此这是一个重要的问题.如果有专门解决此问题的文档或文章,那么它将被隐藏.
IdentityError类的两个成员可以假定的可能值已放入框架中.因此,看起来您可以确定它将始终是其中之一,除非您从UserManager之外的任何其他地方获取IdentitiyError的实例.
从错误方法的nameof分配了Code字段,并且从核心框架资源中读取了相关的Description文本,因此将对它们进行本地化.
当前实现中的错误列表(版本3.0.0):
> DefaultError
>并发失败
>密码不匹配
>无效令牌
> RecoveryCodeRedemption失败
>登录已关联
> InvalidUserName
>无效的电子邮件
> DuplicateUserName
>重复电子邮件
> InvalidRoleName
> DuplicateRoleName
> UserAlreadyHasPassword
> UserLockoutNotEnabled
> UserAlreadyInRole
> UserNotInRole
>密码太短
> PasswordRequiresUniqueChars
>密码要求非字母数字
>密码要求非字母数字
>密码要求降低
> PasswordRequiresUpper
其中大多数是静态字符串,不会公开任何变量信息.
以下内容确实公开了可变信息.这是前八种情况下用户先前提供的数据,后两种情况是服务器配置属性的值,有效密码中所需的最小密码长度和最少唯一字符数:
> InvalidUserName:用户名
> InvalidEmail:电子邮件地址
> DuplicateUserName:用户名
> DuplicateEmail:电子邮件地址
> InvalidRoleName:角色的名称
> DuplicateRoleName:角色的名称
> UserAlreadyInRole:角色的名称
> UserNotInRole:角色名称
> PasswordTooShort:最小密码长度
> PasswordRequiresUniqueChars:所需的唯一字符数
如果在您的项目的约束和规范内,这可以视为“安全”,那么答案是肯定的.
标签:asp-net-core,error-handling,security,asp-net-identity,c 来源: https://codeday.me/bug/20191108/2009924.html