ASP. NET Web API-经过身份验证的加密JWT令牌-我需要OAuth吗?
我正在考虑使用经过身份验证的加密JWT令牌来验证/授权对ASP. NET Web API应用程序的访问。
根据我到目前为止读到的内容,在我看来,这是一个从令牌服务生成JWT令牌并通过http授权头将其传递给Web API的选项。
我发现了一些实现JWT创建和使用的好代码示例(Badrinarayanan Lakshmiraghavan的Pro ASP.NET Web API Security)。
我试图理解我是否需要一个完整的OAuth实现来支持这一点,或者我是否可以简单地在auth头中传递令牌。
假设令牌被正确加密和签名,在不使用OAuth的情况下保持简单是否存在任何固有的安全漏洞?
在不影响安全性的情况下,尽可能简单地满足我的需求。
共有2个答案
看起来您并不需要OAuth提供的auth委托。HMAC身份验证对于您的场景来说还不够吗?。有了HMAC,你根本不需要和JWT打交道。这是我为HMAC身份验证所做的一个实现。网
https://github.com/pcibraro/hawknet
巴勃罗。
这并不是说你在使用代币时必须始终使用OAuth。但考虑到您的应用程序是一个JavaScript应用程序,您最好实现一个三条腿的身份验证。Thinktecture identity server不支持隐式授权。但是,如果客户端应用程序访问用户凭证对您来说不是问题,您的JavaScript应用程序可以从用户处获取用户ID和密码,并从令牌颁发者处发出令牌请求,确保用户ID和密码不存储在JavaScript应用程序(包括DOM)中的任何位置。这个令牌请求也可以是一个简单的HTTP POST,它不需要与OAuth相关。如果最终用户不在客户端应用程序中输入凭据,那么OAuth隐式授权就是一种方式。顺便说一句,你不需要加密JWT。TIS发布签名JWT,这将确保令牌完整性。但是,如果您担心机密性,可以使用HTTPS来获取令牌,也可以呈现令牌。
-
我在做一个全堆栈的web应用程序。我的前端由angular-cli组成,后端由node+Express构建。
-
} 要获取令牌,我执行以下步骤: > 使用浏览器转到:http://localhost:9000/oauth/authorize?response_type=code&client_id=test&redirect_uri=http%3a%2f%2flocalhost%3a8080%2f&scope=write 首先,它将我重定向到一个登录表单,在那里我输入用户名和密码:admin abc 请帮我
-
我在令牌使用者上得到以下错误。任何帮助解决这将是非常感谢的。多谢了。 “IDX10503:签名验证失败。 公共无效配置(IApplicationBuilder应用程序)
-
我正在尝试在ASP.NET5中实现OAuth承载令牌身份验证,并且正在努力寻找一个如何实现这一点的示例,因为OWIN的东西在ASP.NET5中发生了变化。 例如IApplicationBuilder.UseOAuthAuthorizationServer()和IApplicationBuilder。UseOAuthBearerAuthentication()要么不再存在,要么缺少引用? 如有任何指
-
本文向大家介绍Angular之jwt令牌身份验证的实现,包括了Angular之jwt令牌身份验证的实现的使用技巧和注意事项,需要的朋友参考一下 Angular之jwt令牌身份验证 demo https://gitee.com/powersky/jwt 介绍 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该toke
-
我试图用PHP为两个主题相连的领域创建一个简单的SSO系统。 因此,我想知道是否可以将包含用户用户名的签名JWT令牌从域a存储到本地存储。然后使用来自域B的相同密钥来验证JWT,这将导致成功的身份验证。 我在谷歌搜索了一些答案,我发现其中一些包含了一个中间认证域,它将负责认证。但我只想把我有的两个域联系起来。 谢了。