A integração entre ASP.NET Identity e FIDO2 é um processo complexo. Nesse post será explorado e resolvido essa complexidade. Assim você poderá adicionar FIDO2 em suas aplicações ASP.NET. Neste post será implementado um fluxo Passwordless, onde não é
Segurança
Artigos técnicos que tem como base segurança de aplicações
FIDO2
FIDO2 é uma framework que tem o objetivo de aumentar a segurança de aplicações Web através de dispositivos que permitem o usuário provar quem ele é sem a necessidade de um usuário e/ou senha. tl;dr - Experiência do
JWT com chave simétrica - O perigo mora em casa
A cada dia que passa o JWT se torna mais popular. Uma opção quase padrão para proteger API's. O problema não é a chave simétrica e sim como ela é utilizada. Você deveria tomar cuidado e rever a implementação de
IdentityServer4 - Key Material
Na documentação oficial do IdentityServer4, na seção Deployment há uma menção sobre Key Material e sua importancia no ambiente de produção. Mas você sabe o que é Key Material? Em criptografia Key Material são os dados privados que compõem uma
Como o IdentityServer4 assina o JWT?
A implementação padrão do IdentityServer4, QuickStart UI, utiliza o algoritmo RSA RS256 (RSASSA-PKCS1-v1_5 using SHA-256) para assinar seus JWTs. Ao ter o primeiro contato com o IdentityServer4, através de seus samples, na maioria dos exemplos será utilizado essa anotação:
ASP.NET Core - Como assinar digitalmente seu JWT
Quando decidimos utilizar JWT em nossas API's e Frontend SPA, precisamos utilizar um algoritmo ao emitir um token. Há diversas opções para assinar o JWT. Ele deve ser simétrico ou assimétrico. Probabilistico ou deterministico. Veja neste artigo como assinar seu