Boosting Code Readability and Manageability in ASP.NET Core
معادل این مطلب برای ASP.NET Core
دقیقا مثال بالا را پیاده سازی کردم.
هم بصورت [NoBrowserCache] و هم بصورت کلی
در دو حالت هم مقادیر ست میشن
با هر بار خروج از سیستم از هر صفحه ای، با زدن دکمه بک به همون صفحه برمیگرده
دقیقا مثال بالا را پیاده سازی کردم.
هم بصورت [NoBrowserCache] و هم بصورت کلی
services.AddMvc(options =>
{
options.Filters.Add(typeof(NoBrowserCacheAttribute));
}); 
با هر بار خروج از سیستم از هر صفحه ای، با زدن دکمه بک به همون صفحه برمیگرده
در ورژنهای جاری ASP.NET MVC امکان استفاده از متدهای Web API در کنترلهای ASP.NET MVC فراهم نیست؟
List Of Notification Libraries And Plugins For JavaScript And JQuery Used In ASP.NET MVC Razor
How to Take an Asp.Net MVC Web Site Down for Maintenance
Today we are releasing the final version of Entity Framework Core 2.0, alongside .NET Core 2.0 and ASP.NET Core 2.0.
Entity Framework (EF) Core is the lightweight, extensible, and cross-platform version of Entity Framework, the popular Object/Relational Mapping (O/RM) framework for .NET.
- نکات مطلب «اعتبارسنجی مبتنی بر JWT در ASP.NET Core 2.0 بدون استفاده از سیستم Identity» را با این پروژه یکی کنید (قسمت تولید توکن و قسمت تولید Claims آن).
ضمنا در ASP.NET Core، بخش MVC و Web API یکی هستند. یعنی زمانیکه کاربر لاگین کرد، در یک کنترلر هم میتوان متدهای Web API را در اختیار او قرار داد و هم MVC را. بنابراین الزامی به استفادهی از JWT برای کار با Web API آن وجود ندارد. JWT فقط یک روش اعتبارسنجی دیگر است. کلاینتها در حین کار با JWT باید اکسستوکن را به سمت سرور ارسال کنند؛ در حین کار با کوکیها، کوکی تولید شدهی پس از لاگین را. مابقی آن یکی است. یعنی این پروژه الزاما نیازی به تلفیق با JWT ندارد. کوکیها، هم در برنامههای MVC و هم در کلاینتهای غیر MVC قابل استفاده هستند.
- مربوط است به استفاده از تامین کنندههای لاگین خارجی مانند گوگل، توئیتر و غیره.
در NET Core. به ظاهر دیگر خبری از کلاسهایی مانند RNGCryptoServiceProvider برای تولید اعداد تصادفی و یا SHA256Managed (و تمام کلاسهای Managed_) برای هش کردن اطلاعات نیست. در ادامه این موارد را بررسی کرده و با معادلهای آنها در NET Core. آشنا خواهیم شد.
تغییرات الگوریتمهای هش کردن اطلاعات
با حذف و تغییرنام کلاسهایی مانند SHA256Managed (و تمام کلاسهای Managed_) در NET Core.، معادل کدهایی مانند:
به صورت ذیل درآمدهاست:
البته اگر از یک برنامهی ASP.NET Core استفاده میکنید، اسمبلیهای مرتبط آن به صورت پیش فرض به پروژه الحاق شدهاند. اما اگر میخواهید یک کتابخانهی جدید را ایجاد کنید، نیاز است وابستگی ذیل را نیز به فایل project.json آن اضافه نمائید:
به علاوه اگر نیاز به محاسبهی هش حاصل از جمع چندین byte array را دارید، در اینجا میتوان از الگوریتمهای IncrementalHash به صورت ذیل استفاده کرد:
این الگوریتمها شامل MD5، SHA1، SHA256، SHA384 و SHA512 میشوند.
تولید اعداد تصادفی Thread safe در NET Core.
روشهای زیادی برای تولید اعداد تصادفی در برنامههای دات نت وجود دارند؛ اما مشکل اکثر آنها این است که thread safe نیستند و نباید از آنها در برنامههای چند ریسمانی (مانند برنامههای وب)، به نحو متداولی استفاده کرد. در این بین تنها کلاسی که thread safe است، کلاس RNGCryptoServiceProvider میباشد؛ آن هم با یک شرط:
از کلاس آن باید تنها یک وهلهی static readonly در کل برنامه وجود داشته باشد (مطابق مستندات MSDN).
بنابراین اگر در کدهای خود چنین تعریفی را دارید:
اشتباه است و باید اصلاح شود.
در NET Core. این کلاس به طور کامل حذف شدهاست و معادل جدید آن کلاس RandomNumberGenerator است که به صورت ذیل قابل استفاده است (و در عمل تفاوتی بین کدهای آن با کدهای RNGCryptoServiceProvider نیست):
در اینجا نیز یک وهله از کلاس RandomNumberGenerator را ایجاد کردهایم، اما استاتیک نیست. علت اینجا است که چون برنامههای ASP.NET Core به همراه یک IoC Container توکار هستند، میتوان این کلاس را با طول عمر singleton معرفی کرد که همان کار را انجام میدهد:
و پس از این تنظیم، میتوان سرویس IRandomNumberProvider را در تمام قسمتهای برنامه، با کمک تزریق وابستگیهای آن در سازندهی کلاسها، استفاده کرد و نکتهی مهم آن thread safe بودن آن جهت کاربردهای چند ریسمانی است. بنابراین دیگر در برنامههای وب خود از new Random استفاده نکنید.
نیاز به الگوریتمهای رمزنگاری متقارن قوی و معادل بهتر آنها در ASP.NET Core
ASP.NET Core به همراه یکسری API جدید است به نام data protection APIs که روشهایی را برای پیاده سازی بهتر الگوریتمهای هش کردن اطلاعات و رمزنگاری اطلاعات، ارائه میدهند و برای مثال ASP.NET Core Identity و یا حتی Anti forgery token آن، در پشت صحنه دقیقا از همین API برای انجام کارهای رمزنگاری اطلاعات استفاده میکنند.
برای مثال اگر بخواهید کتابخانهای را طراحی کرده و در آن از الگوریتم AES استفاده نمائید، نیاز است تنظیم اضافهتری را جهت دریافت کلید عملیات نیز اضافه کنید. اما با استفاده از data protection APIs نیازی به اینکار نیست و مدیریت ایجاد، نگهداری و انقضای این کلید به صورت خودکار توسط سیستم data protection انجام میشود. کلیدهای این سیستم موقتی هستند و طول عمری محدود دارند. بنابراین باتوجه به این موضوع، روش مناسبی هستند برای تولید توکنهای Anti forgery و یا تولید محتوای رمزنگاری شدهی کوکیها. بنابراین نباید از آن جهت ذخیره سازی اطلاعات ماندگار در بانکهای اطلاعاتی استفاده کرد.
فعال سازی این سیستم نیازی به تنظیمات اضافهتری در ASP.NET Core ندارد و جزو پیش فرضهای آن است. در کدهای ذیل، نمونهای از استفادهی از این سیستم را ملاحظه میکنید:
کار با تزریق IDataProtectionProvider در سازندهی کلاس شروع میشود. سرویس آن به صورت پیش فرض توسط ASP.NET Core در اختیار برنامه قرار میگیرد و نیازی به تنظیمات اضافهتری ندارد. پس از آن باید یک محافظت کنندهی جدید را با فراخوانی متد CreateProtector آن ایجاد کرد و در آخر کار با آن به سادگی فراخوانی متدهای Unprotect و Protect است که ملاحظه میکنید.
پس از طراحی این سرویس جدید نیز میتوان وابستگیهای آنرا به نحو فوق به سیستم معرفی کرد و از سرویس IProtectionProvider آن در تمام قسمتهای برنامه (جهت کارهای کوتاه مدت رمزنگاری اطلاعات) استفاده نمود.
مستندات مفصل این API را در اینجا میتوانید مطالعه کنید.
معادل الگوریتم Rijndael در NET Core.
همانطور که عنوان شد، طول عمر کلیدهای data protection API محدود است و به همین جهت برای کارهایی چون تولید توکنها، رمزنگاری کوئری استرینگها و یا کوکیهای کوتاه مدت، بسیار مناسب است. اما اگر نیاز به ذخیره سازی طولانی مدت اطلاعات رمزنگاری شده وجود داشته باشد، یکی از الگوریتمهای مناسب اینکار، الگوریتم AES است.
الگوریتم Rijndael نگارش کامل دات نت، اینبار نام اصلی آن یا AES را در NET Core. پیدا کردهاست و نمونهای از نحوهی استفادهی از آن، جهت رمزنگاری و رمزگشایی اطلاعات، به صورت ذیل است:
همانطور که در کدهای فوق نیز مشخص است، این روش نیاز به قید صریح key و salt را دارد. اما روش استفادهی از data protection APIs مدیریت key و salt را خودکار کردهاست؛ آن هم با طول عمر کوتاه. در این حالت دیگر نیازی نیست تا جفت کلیدی را که احتمالا هیچگاه در طول عمر برنامه تغییری نمیکنند، از مصرف کنندهی کتابخانهی خود دریافت کنید و یا حتی نام خودتان را به عنوان کلید در کدها به صورت hard coded قرار دهید!
تغییرات الگوریتمهای هش کردن اطلاعات
با حذف و تغییرنام کلاسهایی مانند SHA256Managed (و تمام کلاسهای Managed_) در NET Core.، معادل کدهایی مانند:
using (var sha256 = new SHA256Managed())
{
// Crypto code here...
} public static string GetHash(string text)
{
using (var sha256 = SHA256.Create())
{
var hashedBytes = sha256.ComputeHash(Encoding.UTF8.GetBytes(text));
return BitConverter.ToString(hashedBytes).Replace("-", "").ToLower();
}
} "dependencies": {
"System.Security.Cryptography.Algorithms": "4.2.0"
}, به علاوه اگر نیاز به محاسبهی هش حاصل از جمع چندین byte array را دارید، در اینجا میتوان از الگوریتمهای IncrementalHash به صورت ذیل استفاده کرد:
using (var md5 = IncrementalHash.CreateHash(HashAlgorithmName.MD5))
{
md5.AppendData(byteArray1, 0, byteArray1.Length);
md5.AppendData(byteArray2, 0, byteArray2.Length);
var hash = md5.GetHashAndReset();
} تولید اعداد تصادفی Thread safe در NET Core.
روشهای زیادی برای تولید اعداد تصادفی در برنامههای دات نت وجود دارند؛ اما مشکل اکثر آنها این است که thread safe نیستند و نباید از آنها در برنامههای چند ریسمانی (مانند برنامههای وب)، به نحو متداولی استفاده کرد. در این بین تنها کلاسی که thread safe است، کلاس RNGCryptoServiceProvider میباشد؛ آن هم با یک شرط:
private static readonly RNGCryptoServiceProvider Rand = new RNGCryptoServiceProvider();
بنابراین اگر در کدهای خود چنین تعریفی را دارید:
var rand = new RNGCryptoServiceProvider();
در NET Core. این کلاس به طور کامل حذف شدهاست و معادل جدید آن کلاس RandomNumberGenerator است که به صورت ذیل قابل استفاده است (و در عمل تفاوتی بین کدهای آن با کدهای RNGCryptoServiceProvider نیست):
public interface IRandomNumberProvider
{
int Next();
int Next(int max);
int Next(int min, int max);
}
public class RandomNumberProvider : IRandomNumberProvider
{
private readonly RandomNumberGenerator _rand = RandomNumberGenerator.Create();
public int Next()
{
var randb = new byte[4];
_rand.GetBytes(randb);
var value = BitConverter.ToInt32(randb, 0);
if (value < 0) value = -value;
return value;
}
public int Next(int max)
{
var randb = new byte[4];
_rand.GetBytes(randb);
var value = BitConverter.ToInt32(randb, 0);
value = value % (max + 1); // % calculates remainder
if (value < 0) value = -value;
return value;
}
public int Next(int min, int max)
{
var value = Next(max - min) + min;
return value;
}
} public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.TryAddSingleton<IRandomNumberProvider, RandomNumberProvider>(); نیاز به الگوریتمهای رمزنگاری متقارن قوی و معادل بهتر آنها در ASP.NET Core
ASP.NET Core به همراه یکسری API جدید است به نام data protection APIs که روشهایی را برای پیاده سازی بهتر الگوریتمهای هش کردن اطلاعات و رمزنگاری اطلاعات، ارائه میدهند و برای مثال ASP.NET Core Identity و یا حتی Anti forgery token آن، در پشت صحنه دقیقا از همین API برای انجام کارهای رمزنگاری اطلاعات استفاده میکنند.
برای مثال اگر بخواهید کتابخانهای را طراحی کرده و در آن از الگوریتم AES استفاده نمائید، نیاز است تنظیم اضافهتری را جهت دریافت کلید عملیات نیز اضافه کنید. اما با استفاده از data protection APIs نیازی به اینکار نیست و مدیریت ایجاد، نگهداری و انقضای این کلید به صورت خودکار توسط سیستم data protection انجام میشود. کلیدهای این سیستم موقتی هستند و طول عمری محدود دارند. بنابراین باتوجه به این موضوع، روش مناسبی هستند برای تولید توکنهای Anti forgery و یا تولید محتوای رمزنگاری شدهی کوکیها. بنابراین نباید از آن جهت ذخیره سازی اطلاعات ماندگار در بانکهای اطلاعاتی استفاده کرد.
فعال سازی این سیستم نیازی به تنظیمات اضافهتری در ASP.NET Core ندارد و جزو پیش فرضهای آن است. در کدهای ذیل، نمونهای از استفادهی از این سیستم را ملاحظه میکنید:
public interface IProtectionProvider
{
string Decrypt(string inputText);
string Encrypt(string inputText);
}
namespace Providers
{
public class ProtectionProvider : IProtectionProvider
{
private readonly IDataProtector _dataProtector;
public ProtectionProvider(IDataProtectionProvider dataProtectionProvider)
{
_dataProtector = dataProtectionProvider.CreateProtector(typeof(ProtectionProvider).FullName);
}
public string Decrypt(string inputText)
{
var inputBytes = Convert.FromBase64String(inputText);
var bytes = _dataProtector.Unprotect(inputBytes);
return Encoding.UTF8.GetString(bytes);
}
public string Encrypt(string inputText)
{
var inputBytes = Encoding.UTF8.GetBytes(inputText);
var bytes = _dataProtector.Protect(inputBytes);
return Convert.ToBase64String(bytes);
}
}
} public class Startup
{
public void ConfigureServices(IServiceCollection services)
{
services.TryAddSingleton<IProtectionProvider, ProtectionProvider>(); مستندات مفصل این API را در اینجا میتوانید مطالعه کنید.
معادل الگوریتم Rijndael در NET Core.
همانطور که عنوان شد، طول عمر کلیدهای data protection API محدود است و به همین جهت برای کارهایی چون تولید توکنها، رمزنگاری کوئری استرینگها و یا کوکیهای کوتاه مدت، بسیار مناسب است. اما اگر نیاز به ذخیره سازی طولانی مدت اطلاعات رمزنگاری شده وجود داشته باشد، یکی از الگوریتمهای مناسب اینکار، الگوریتم AES است.
الگوریتم Rijndael نگارش کامل دات نت، اینبار نام اصلی آن یا AES را در NET Core. پیدا کردهاست و نمونهای از نحوهی استفادهی از آن، جهت رمزنگاری و رمزگشایی اطلاعات، به صورت ذیل است:
public string Decrypt(string inputText, string key, string salt)
{
var inputBytes = Convert.FromBase64String(inputText);
var pdb = new Rfc2898DeriveBytes(key, Encoding.UTF8.GetBytes(salt));
using (var ms = new MemoryStream())
{
var alg = Aes.Create();
alg.Key = pdb.GetBytes(32);
alg.IV = pdb.GetBytes(16);
using (var cs = new CryptoStream(ms, alg.CreateDecryptor(), CryptoStreamMode.Write))
{
cs.Write(inputBytes, 0, inputBytes.Length);
}
return Encoding.UTF8.GetString(ms.ToArray());
}
}
public string Encrypt(string inputText, string key, string salt)
{
var inputBytes = Encoding.UTF8.GetBytes(inputText);
var pdb = new Rfc2898DeriveBytes(key, Encoding.UTF8.GetBytes(salt));
using (var ms = new MemoryStream())
{
var alg = Aes.Create();
alg.Key = pdb.GetBytes(32);
alg.IV = pdb.GetBytes(16);
using (var cs = new CryptoStream(ms, alg.CreateEncryptor(), CryptoStreamMode.Write))
{
cs.Write(inputBytes, 0, inputBytes.Length);
}
return Convert.ToBase64String(ms.ToArray());
}
} Full Stack ASP.NET Core 2.0 MVC Forum Build
Topics Covered:
- Setting up a new ASP .NET Core 2.0 MVC web application with Identity user authentication in Visual Studio
- Separating Web, Services, and Data Access Layers in our solution
- Setting up tests with NUnit and .NET Core virtual in-memory database
- Debugging / Fixing bugs
- Implementing the MVC (Model-View-Controller) pattern
- Dependency Injection of Services into our Controllers
- Using input forms to pass data from our Views to our Controllers
- Azure file storage for Profile Image uploads
- Azure SQL database hosting
- SQL Database seeding for starting the application with a super-user
- Code-first database migrations
- Writing SQL queries to inspect data in our database
- Deploying the application to Azure.
