如何从 JWT 检索理赔原则 asp.net 核心
在我的解决方案中,我有两个项目。1) Web API和2)MVC。我正在使用ASP。NET核心。API发布JWT令牌,MVC使用它来获得受保护的资源。我正在使用openiddict库发布JWT。在MVC项目中,在AccountController登录方法中,我想要检索ClaimsPrincipal(使用JwtSecurityTokenHandler ValidateToken方法)并分配给HttpContext.User。声明和HttpContext.User.Identity。我想将令牌存储在会话中,对于成功登录后的每个请求,将其在头中传递给Web API。我可以成功地发布JWT并在MVC项目中使用它,但当我尝试检索ClaimsPrincipal时,它抛出了一个错误。首先,我甚至不确定从JWT检索ClaimSpriciapal是否是正确的方法。如果是,未来的道路是什么。
WebAPI.Startup.CS
public class Startup
{
public static string SecretKey => "MySecretKey";
public static SymmetricSecurityKey SigningKey => new SymmetricSecurityKey(Encoding.ASCII.GetBytes(SecretKey));
public Startup(IHostingEnvironment env)
{
var builder = new ConfigurationBuilder()
.SetBasePath(env.ContentRootPath)
.AddJsonFile("appsettings.json", optional: true, reloadOnChange: true)
.AddJsonFile($"appsettings.{env.EnvironmentName}.json", optional: true)
.AddEnvironmentVariables();
Configuration = builder.Build();
}
public IContainer ApplicationContainer { get; private set; }
public IConfigurationRoot Configuration { get; }
// This method gets called by the runtime. Use this method to add services to the container.
public IServiceProvider ConfigureServices(IServiceCollection services)
{
// Add framework services.
services.AddCors();
services.AddMvc().AddJsonOptions(options => { options.SerializerSettings.ContractResolver = new Newtonsoft.Json.Serialization.DefaultContractResolver(); });
services.AddAutoMapper();
services.AddDbContext<MyDbContext>(options =>
{
options.UseMySql(Configuration.GetConnectionString("MyDbContext"));
options.UseOpenIddict();
});
services.AddOpenIddict(options =>
{
options.AddEntityFrameworkCoreStores<TelescopeContext>();
options.AddMvcBinders();
options.EnableTokenEndpoint("/Authorization/Token");
options.AllowPasswordFlow();
options.AllowRefreshTokenFlow();
options.DisableHttpsRequirement();
options.UseJsonWebTokens();
options.AddEphemeralSigningKey();
options.SetAccessTokenLifetime(TimeSpan.FromMinutes(30));
});
var config = new MapperConfiguration(cfg => { cfg.AddProfile(new MappingProfile()); });
services.AddSingleton(sp => config.CreateMapper());
// Create the Autofac container builder.
var builder = new ContainerBuilder();
// Add any Autofac modules or registrations.
builder.RegisterModule(new AutofacModule());
// Populate the services.
builder.Populate(services);
// Build the container.
var container = builder.Build();
// Create and return the service provider.
return container.Resolve<IServiceProvider>();
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IApplicationLifetime applicationLifetime)
{
loggerFactory.AddConsole(Configuration.GetSection("Logging"));
loggerFactory.AddDebug();
app.UseCors(builder => builder.WithOrigins("http://localhost:9001/")
.AllowAnyOrigin());
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
Authority = "http://localhost:9001/",
AutomaticAuthenticate = true,
AutomaticChallenge = true,
Audience = "http://localhost:9000/",
RequireHttpsMetadata = false,
TokenValidationParameters = new TokenValidationParameters()
{
ValidateIssuer = true,
ValidIssuer = "http://localhost:9001/",
ValidateAudience = true,
ValidAudience = "http://localhost:9000",
ValidateLifetime = true,
IssuerSigningKey = SigningKey
}
});
app.UseOpenIddict();
app.UseMvcWithDefaultRoute();
applicationLifetime.ApplicationStopped.Register(() => this.ApplicationContainer.Dispose());
}
}
WebAPI.AuthorizationController。发行JWT的cs。
[Route("[controller]")]
public class AuthorizationController : Controller
{
private IUsersService UserService { get; set; }
public AuthorizationController(IUsersService userService)
{
UserService = userService;
}
[HttpPost("Token"), Produces("application/json")]
public async Task<IActionResult> Exchange(OpenIdConnectRequest request)
{
if (request.IsPasswordGrantType())
{
if (await UserService.AuthenticateUserAsync(new ViewModels.AuthenticateUserVm() { UserName = request.Username, Password = request.Password }) == false)
return Forbid(OpenIdConnectServerDefaults.AuthenticationScheme);
var user = await UserService.FindByNameAsync(request.Username);
var identity = new ClaimsIdentity(OpenIdConnectServerDefaults.AuthenticationScheme, OpenIdConnectConstants.Claims.Name, null);
identity.AddClaim(OpenIdConnectConstants.Claims.Subject, user.UserId.ToString(), OpenIdConnectConstants.Destinations.AccessToken);
identity.AddClaim(OpenIdConnectConstants.Claims.Username, user.UserName, OpenIdConnectConstants.Destinations.AccessToken);
identity.AddClaim(OpenIdConnectConstants.Claims.Email, user.EmailAddress, OpenIdConnectConstants.Destinations.IdentityToken);
identity.AddClaim(OpenIdConnectConstants.Claims.GivenName, user.FirstName, OpenIdConnectConstants.Destinations.IdentityToken);
identity.AddClaim(OpenIdConnectConstants.Claims.MiddleName, user.MiddleName, OpenIdConnectConstants.Destinations.IdentityToken);
identity.AddClaim(OpenIdConnectConstants.Claims.FamilyName, user.LastName, OpenIdConnectConstants.Destinations.IdentityToken);
identity.AddClaim(OpenIdConnectConstants.Claims.EmailVerified, user.IsEmailConfirmed.ToString(), OpenIdConnectConstants.Destinations.IdentityToken);
identity.AddClaim(OpenIdConnectConstants.Claims.Audience, "http://localhost:9000", OpenIdConnectConstants.Destinations.AccessToken);
var principal = new ClaimsPrincipal(identity);
return SignIn(principal, OpenIdConnectServerDefaults.AuthenticationScheme);
}
throw new InvalidOperationException("The specified grant type is not supported.");
}
}
MVC.AccountController.cs包含登录名,GetTokenAsync 方法。
public class AccountController : Controller
{
public static string SecretKey => "MySecretKey";
public static SymmetricSecurityKey SigningKey => new SymmetricSecurityKey(Encoding.ASCII.GetBytes(SecretKey));
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
public async Task<IActionResult> Login(LoginVm vm, string returnUrl = null)
{
ViewData["ReturnUrl"] = returnUrl;
if (ModelState.IsValid)
{
var token = await GetTokenAsync(vm);
SecurityToken validatedToken = null;
TokenValidationParameters validationParameters = new TokenValidationParameters()
{
ValidateIssuer = true,
ValidIssuer = "http://localhost:9001/",
ValidateAudience = true,
ValidAudience = "http://localhost:9000",
ValidateLifetime = true,
IssuerSigningKey = SigningKey
};
JwtSecurityTokenHandler handler = new JwtSecurityTokenHandler();
try
{
ClaimsPrincipal principal = handler.ValidateToken(token.AccessToken, validationParameters, out validatedToken);
}
catch (Exception e)
{
throw;
}
}
return View(vm);
}
private async Task<TokenVm> GetTokenAsync(LoginVm vm)
{
using (var client = new HttpClient())
{
var request = new HttpRequestMessage(HttpMethod.Post, $"http://localhost:9001/Authorization/Token");
request.Content = new FormUrlEncodedContent(new Dictionary<string, string>
{
["grant_type"] = "password",
["username"] = vm.EmailAddress,
["password"] = vm.Password
});
var response = await client.SendAsync(request, HttpCompletionOption.ResponseContentRead);
response.EnsureSuccessStatusCode();
var payload = await response.Content.ReadAsStringAsync();
//if (payload["error"] != null)
// throw new Exception("An error occurred while retriving an access tocken.");
return JsonConvert.DeserializeObject<TokenVm>(payload);
}
}
}
我收到错误:“IDX10501:签名验证失败。无法匹配“kid”:“0-ay 7 tpaue 2-zvluvqmmujfj 54 imib 70 e-XUSYIB”,\ n token:“{ \ " alg \ ":\ " RS 256 \ ",\"typ\":\"JWT\ ",\ " kid \ ":\ " 0-ay 7 tpaue 2-zvluvqmmujfj 54 imib 70 e-XUSYIB \ " }。{\"sub\":\"10\ ",\ "用户名\":\ "...
共有2个答案
首先,我甚至不确定这种从JWT收回主权的做法是否正确。
这可能不是我个人使用的方法。相反,我只需依靠JWT中间件从访问令牌中提取ClaimsMain(无需手动使用JwtSecurityTokenHandler)。
标识模型引发的异常实际上是由一个非常简单的根本原因引起的:您已将 OpenIddict 配置为使用短暂的 RSA 非对称签名密钥(通过添加签名密钥()),并在 JWT 持有者选项中注册了对称签名密钥,这种情况显然行不通。
您有两个选项可以解决这个问题:
>
使用AddSigningKey(SigningKey)在OpenId选项中注册您的对称签名密钥,以便OpenIdcript可以使用它。
使用非对称签名密钥(通过在生产环境中调用“添加签名密钥”()或“添加签名证书”/“添加签名密钥”(),并让 JWT 持有者中间件使用它来代替对称签名密钥。为此,请删除整个令牌验证参数配置,以允许标识模型从OpenIddict的发现endpoint下载公共签名密钥。
看到这条线索是因为我在寻找相同的东西(虽然不是例外),而被接受的答案确实有助于OP,但它对我没有帮助:如何从JWT令牌创建<code>ClaimsPrincipal
经过一些研究和挖掘,我找到了一种手动操作的方法(这是我的情况,我必须在特定情况下手动操作)。
为此,首先,使用JwtSecurityTokenHandler类解析令牌:
var token = new JwtSecurityTokenHandler().ReadJwtToken(n.TokenEndpointResponse.AccessToken);
之后,您只需要创建一个新的ClaimsPrincipal:
var identity = new ClaimsPrincipal(new ClaimsIdentity(token.Claims));
在我的特定情况下,我只需要更新已经经过身份验证的用户的声明,所以我使用以下代码:
var identity = (ClaimsIdentity)User.Identity;
identity.AddClaims(token.Claims);
希望有一天它会帮助某人,如果寻找标题的答案。
-
我试图通过查询/tokenendpoint从另一个应用程序中检索spring boot应用程序中的azure JWT访问令牌,但我收到的令牌似乎不正确。 该项目有一个spring boot后端和一个Eclipse rcp前端。我正在尝试从eclipse前端检索访问令牌。对此,我有下面的控制器: 返回具有以下格式的令牌: 使用具有以下相关依赖关系的spring boot构建: v2.2.4 V2.2
-
问题内容: 我将Hibernate与代理一起使用,并且得到了属于的类的对象。 是否有Hibernate方法从代理 类中 检索基类(在这种情况下)?我知道,但是需要一个,而我正在寻找一个以a作为输入的方法。 问题答案: 我发现,这比我想像的要容易:只需调用代理类即可获得未代理的原始类。我不确定这有多普遍,但似乎可行。
-
正如我所看到的,Spring Security OAuth2.x项目被移到了Spring Security 5.2.x。我尝试用一种新的方式来实现授权和资源服务器。Everythin工作正常,除了一件事--注释。当我尝试将其与标准一起使用时,我总是被禁止。我看到的是对象的类型为不能解析权限,我不知道为什么。 并在将其强制转换为后声明 资源服务器配置 也许有人也有类似的问题?
-
我想获取存储在JWT中的角色声明。我使用以下代码来做到这一点: 但这最终给出了目标代码: 我调试了代码,发现了这样的声明: 如何提取“ROLE_ADMIN”?
-
介绍Kubernetes架构以及核心概念。