ASP.NET Core中基于令牌的身份验证

我正在使用ASP.NET

Core应用程序。我正在尝试实施基于令牌的身份验证,但无法弄清楚如何为我的案例使用新的安全系统。我查看了一些示例,但是它们并没有太大帮助,它们使用Cookie身份验证或外部身份验证(GitHub,Microsoft,Twitter)。

我的情况是:angularjs应用程序应请求/token传递用户名和密码的url。WebApi应该授权用户并返回access_token,它将在以下请求中由angularjs应用程序使用。

我找到了一篇很棒的文章,内容涉及在ASP.NET的当前版本中完全实现所需的内容- 使用ASP.NET Web API

2,Owin和Identity的基于令牌的身份验证。但是对我来说,如何在ASP.NET

Core中执行相同的操作并不明显。

我的问题是:如何配置ASP.NET Core WebApi应用程序以与基于令牌的身份验证一起使用?

回答:

回答:

David Fowler(ASP .NET

Core团队的架构师)汇集了一组非常简单的任务应用程序,其中包括演示JWT的简单应用程序。我很快将把他的更新和简单化的风格纳入本文。

回答:

此答案的先前版本使用RSA;如果生成令牌的相同代码也正在验证令牌,则实际上是没有必要的。但是,如果您要分配职责,则可能仍想使用的实例来执行此操作Microsoft.IdentityModel.Tokens.RsaSecurityKey

  1. 创建一些常量,稍后我们将使用它;这是我所做的:

    const string TokenAudience = "Myself";

    const string TokenIssuer = “MyProject”;

  2. 将此添加到您的Startup.cs的中ConfigureServices。稍后我们将使用依赖项注入来访问这些设置。我假设您authenticationConfiguration是一个ConfigurationSectionConfiguration对象,以便可以为调试和生产使用不同的配置。确保您安全地存储密钥!它可以是任何字符串。

    var keySecret = authenticationConfiguration["JwtSigningKey"];

    var symmetricKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(keySecret));

    services.AddTransient(_ => new JwtSignInHandler(symmetricKey));

    services.AddAuthentication(options =>

    {

    // This causes the default authentication scheme to be JWT.

    // Without this, the Authorization header is not checked and

    // you’ll get no results. However, this also means that if

    // you’re already using cookies in your app, they won’t be

    // checked by default.

    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;

    })

    .AddJwtBearer(options =>

    {

    options.TokenValidationParameters.ValidateIssuerSigningKey = true;

    options.TokenValidationParameters.IssuerSigningKey = symmetricKey;

    options.TokenValidationParameters.ValidAudience = JwtSignInHandler.TokenAudience;

    options.TokenValidationParameters.ValidIssuer = JwtSignInHandler.TokenIssuer;

    });

我已经看到其他答案会更改其他设置,例如ClockSkew;设置了默认值,使其可以在时钟不完全同步的分布式环境中工作。这些是您唯一需要更改的设置。

  1. 设置身份验证。在需要您的User信息的任何中间件之前,您应该有此行app.UseMvc()
    app.UseAuthentication();

请注意,这不会导致您的令牌与SignInManager或其他任何东西一起发出。您将需要提供自己的输出JWT的机制-参见下文。

  1. 您可能需要指定一个AuthorizationPolicy。这将允许您使用来指定仅允许Bearer令牌作为身份验证的控制器和操作[Authorize("Bearer")]

    services.AddAuthorization(auth =>

    {

    auth.AddPolicy(“Bearer”, new AuthorizationPolicyBuilder()

    .AddAuthenticationTypes(JwtBearerDefaults.AuthenticationType)

    .RequireAuthenticatedUser().Build());

    });

  2. 这是棘手的部分:构建令牌。

    class JwtSignInHandler

    {

    public const string TokenAudience = “Myself”;

    public const string TokenIssuer = “MyProject”;

    private readonly SymmetricSecurityKey key;

    public JwtSignInHandler(SymmetricSecurityKey symmetricKey)

    {

    this.key = symmetricKey;

    }

    public string BuildJwt(ClaimsPrincipal principal)

    {

    var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

    var token = new JwtSecurityToken(

    issuer: TokenIssuer,

    audience: TokenAudience,

    claims: principal.Claims,

    expires: DateTime.Now.AddMinutes(20),

    signingCredentials: creds

    );

    return new JwtSecurityTokenHandler().WriteToken(token);

    }

    }

然后,在需要令牌的控制器中,如下所示:

    [HttpPost]

public string AnonymousSignIn([FromServices] JwtSignInHandler tokenFactory)

{

var principal = new System.Security.Claims.ClaimsPrincipal(new[]

{

new System.Security.Claims.ClaimsIdentity(new[]

{

new System.Security.Claims.Claim(System.Security.Claims.ClaimTypes.Name, "Demo User")

})

});

return tokenFactory.BuildJwt(principal);

}

在这里,我假设您已经有一个校长。如果您使用的是Identity,则可以使用IUserClaimsPrincipalFactory<>将转换UserClaimsPrincipal

  1. :获得令牌,将其放入jwt.io的表单中。我上面提供的说明还允许您使用配置中的密码来验证签名!

  2. 如果要在HTML页面的部分视图中呈现此视图,并与.Net 4.5中的仅承载身份验证结合使用,则现在可以使用进行ViewComponent相同的操作。它与上面的“控制器操作”代码基本相同。

以上是 ASP.NET Core中基于令牌的身份验证 的全部内容, 来源链接: utcz.com/qa/402099.html

回到顶部