我正在使用ASP.NET Core应用程序。我正在尝试实施基于令牌的身份验证,但无法弄清楚如何为我的案例使用新的安全系统。我查看了一些示例,但是它们并没有太大帮助,它们使用Cookie身份验证或外部身份验证(GitHub,Microsoft,Twitter)。
我的情况是:angularjs应用程序应请求/token传递用户名和密码的url。WebApi应该授权用户并返回access_token,它将在以下请求中由angularjs应用程序使用。
/token
access_token
我找到了一篇很棒的文章,内容涉及在ASP.NET的当前版本中完全实现所需的内容- 使用ASP.NET Web API 2,Owin和Identity的基于令牌的身份验证。但是对我来说,如何在ASP.NET Core中执行相同的操作并不明显。
我的问题是:如何配置ASP.NET Core WebApi应用程序以与基于令牌的身份验证一起使用?
David Fowler(ASP .NET Core团队的架构师)汇集了一组非常简单的任务应用程序,其中包括演示JWT的简单应用程序。我很快将把他的更新和简单化的风格纳入本文。
此答案的先前版本使用RSA;如果生成令牌的相同代码也正在验证令牌,则实际上是没有必要的。但是,如果您要分配职责,则可能仍想使用的实例来执行此操作Microsoft.IdentityModel.Tokens.RsaSecurityKey。
Microsoft.IdentityModel.Tokens.RsaSecurityKey
创建一些常量,稍后我们将使用它;这是我所做的:
const string TokenAudience = "Myself";
const string TokenIssuer = “MyProject”;
将此添加到您的Startup.cs的中ConfigureServices。稍后我们将使用依赖项注入来访问这些设置。我假设您authenticationConfiguration是一个ConfigurationSection或Configuration对象,以便可以为调试和生产使用不同的配置。确保您安全地存储密钥!它可以是任何字符串。
ConfigureServices
authenticationConfiguration
ConfigurationSection
Configuration
var keySecret = authenticationConfiguration["JwtSigningKey"];
var symmetricKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(keySecret));
services.AddTransient(_ => new JwtSignInHandler(symmetricKey));
services.AddAuthentication(options => { // This causes the default authentication scheme to be JWT. // Without this, the Authorization header is not checked and // you’ll get no results. However, this also means that if // you’re already using cookies in your app, they won’t be // checked by default. options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; }) .AddJwtBearer(options => { options.TokenValidationParameters.ValidateIssuerSigningKey = true; options.TokenValidationParameters.IssuerSigningKey = symmetricKey; options.TokenValidationParameters.ValidAudience = JwtSignInHandler.TokenAudience; options.TokenValidationParameters.ValidIssuer = JwtSignInHandler.TokenIssuer; });
我已经看到其他答案会更改其他设置,例如ClockSkew;设置了默认值,使其可以在时钟不完全同步的分布式环境中工作。这些是您唯一需要更改的设置。
ClockSkew
User
app.UseMvc()
app.UseAuthentication();
请注意,这不会导致您的令牌与SignInManager或其他任何东西一起发出。您将需要提供自己的输出JWT的机制-参见下文。
SignInManager
您可能需要指定一个AuthorizationPolicy。这将允许您使用来指定仅允许Bearer令牌作为身份验证的控制器和操作[Authorize("Bearer")]。
AuthorizationPolicy
[Authorize("Bearer")]
services.AddAuthorization(auth =>
{ auth.AddPolicy(“Bearer”, new AuthorizationPolicyBuilder() .AddAuthenticationTypes(JwtBearerDefaults.AuthenticationType) .RequireAuthenticatedUser().Build()); });
这是棘手的部分:构建令牌。
class JwtSignInHandler
{ public const string TokenAudience = “Myself”; public const string TokenIssuer = “MyProject”; private readonly SymmetricSecurityKey key;
public JwtSignInHandler(SymmetricSecurityKey symmetricKey) { this.key = symmetricKey; } public string BuildJwt(ClaimsPrincipal principal) { var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); var token = new JwtSecurityToken( issuer: TokenIssuer, audience: TokenAudience, claims: principal.Claims, expires: DateTime.Now.AddMinutes(20), signingCredentials: creds ); return new JwtSecurityTokenHandler().WriteToken(token); }
}
然后,在需要令牌的控制器中,如下所示:
[HttpPost] public string AnonymousSignIn([FromServices] JwtSignInHandler tokenFactory) { var principal = new System.Security.Claims.ClaimsPrincipal(new[] { new System.Security.Claims.ClaimsIdentity(new[] { new System.Security.Claims.Claim(System.Security.Claims.ClaimTypes.Name, "Demo User") }) }); return tokenFactory.BuildJwt(principal); }
在这里,我假设您已经有一个校长。如果您使用的是Identity,则可以使用IUserClaimsPrincipalFactory<>将转换User为ClaimsPrincipal。
IUserClaimsPrincipalFactory<>
ClaimsPrincipal
要测试它 :获得令牌,将其放入jwt.io的表单中。我上面提供的说明还允许您使用配置中的密码来验证签名!
如果要在HTML页面的部分视图中呈现此视图,并与.Net 4.5中的仅承载身份验证结合使用,则现在可以使用进行ViewComponent相同的操作。它与上面的“控制器操作”代码基本相同。
ViewComponent