基于 asp.net core cliam 的授权抛出“HTTP 错误 400。请求标头的大小太长。”当设置大量索赔时

Posted 2023-03-30

【中文标题】基于 asp.net core cliam 的授权抛出“HTTP 错误 400。请求标头的大小太长。”当设置大量索赔时

【英文标题】：asp.net core cliam based authorization throw "HTTP Error 400. The size of the request headers is too long." when large number of claim is set

【发布时间】：2021-07-24 16:48:36

【问题描述】：

我已经在我的 asp.net core 2.1 站点中实现了声明基础授权。它是一个ERP，有很多部分。每个部分都有查看、添加、编辑、删除等权限。 假设如果我有 100 个部分，那么它将是大约 400 个索赔。

角色可以拥有任何或所有声明。当用户具有具有所有权限的角色时，即该角色的 [AspNetRoleClaims] 表中的 400 行说“管理员”角色。当用户说“admin”具有“Administrator”角色尝试登录时，他/她会得到

错误请求 - 请求太长

HTTP 错误 400。请求标头的大小太长。

这是因为保存授权信息的cookie超过了浏览器支持的长度。

大约 281 行，随着更多模块的添加，这将在不久的将来增加。

有什么办法可以解决这个问题。或者当我必须处理大量许可时的任何解决方法。即每个控制器操作可能有不同的授权策略。

或者如果我们可以将这些授权信息保存在数据库或会话中而不是 cookie 中。

有没有办法获得大量许可但不使用那么多的索赔政策。

我们是否可以仅在用户浏览特定控制器/操作时强制检查声明，而不是将所有权限信息保存在 cookie 中。

任何建议都会有所帮助。谢谢

【问题讨论】：

您是否将整个 OIDC 令牌存储在您的 cookie 中？这或许可以解释

您所说的“声明基础授权”是什么意思？

"每个部分都有查看、添加、编辑、删除等权限。假设如果我有 100 个部分，那么它将是大约 400 个声明。" - 如果你有细粒度的权限，那么你不应该使用字符串。使用打包格式。

当我试图缩小自己的 cookie 时，我为 ASP.NET Core 编写了另一种票证格式。它不适合安全应用程序（由于CRIME/BREACH），但您可能会发现它很有用：github.com/Jehoel/aspnetcore-auth-cookie-optimizations - 它使我的 cookie 从 7KB 减少到 2KB。

@Dai 你所说的打包格式是什么意思。你的意思是我应该使用整数而不是字符串作为声明值。

【参考方案1】：

听起来您正在使用字符串来存储权限 - 而且您拥有很多细粒度的权限。更糟糕的是，ASP.NET Core 2.x（默认情况下）将使用the full WS-* string type name（ClaimValueTypes.String == "http://www.w3.org/2001/XMLSchema/#string"）存储String-typed 声明，这太糟糕了......我不知道它是如何通过代码审查的, 待定）。

首先，如果您始终为每个项目（View、Add、Edit、Delete）恰好有 4 个布尔权限值，那么您可以将其打包成 2 位，这样您就可以每个字节存储 4 个区域 - 因此 400 个区域将占用 100 个字节（假设您可以通过顺序索引识别它们 - 如果您在应用程序代码中生成映射，这是可行的）。

由于这涉及自定义票证格式，您需要：

子类Microsoft.AspNetCore.Authentication.TicketSerializer。 子类Microsoft.AspNetCore.DataProtection.SecureDataFormat<AuthenticationTicket> 在IPostConfigureOptions<CookieAuthenticationOptions> 中设置自定义序列化程序。

正如我在评论中所写的，当我试图缩小自己的 cookie 时，我为 ASP.NET Core 编写了另一种票证格式。 It isn't suitable for secure applications when GZip compression is enabled (due to CRIME/BREACH) 但您可能会发现它可以作为编写自己的序列化程序的起点：https://github.com/Jehoel/aspnetcore-auth-cookie-optimizations（它使我的 cookie 从 7KB 减少到 2KB）。

【讨论】：

众所周知和常见的声明名称和类型由 1 字节整数表示，而不是它们的完整字符串表示形式。你的意思是它只适用于众所周知的声明，而不是在声明名称不常见的情况下。

嗨，当我们浏览特定的控制器/动作时，有什么方法可以检查运行时的权限，而不是提前在 cookie 中保存权限。

@dilli.shrestha 这与您提出的问题完全不同。

@dilli.shrestha 如果您打算使用我的代码，请仔细阅读：您可以将自己的声明名称和类型添加到代码手册中。

OptimizedTicketDataFormat.ChunkSize ，不包含定义。对不起，我写在这里而不是你的回购。你能告诉我，这是什么，“ChunkSize”。 “OptimizedTicketDataFormat”类中似乎缺少它