那些遇到过的问题

.net core - 忽略Jwt中间件身份验证签名密钥

adn*_*ili 5 .net c# jwt openid-connect openiddict

我正在使用配置为使用json web令牌的openiddict:

// Add authentication
services.AddAuthentication();

// Add OpenId Connect/OAuth2
services.AddOpenIddict()
    .AddEntityFrameworkCoreStores<ApplicationDbContext>()
    .AddMvcBinders()
    .EnableTokenEndpoint("/connect/token")
    .AllowPasswordFlow()
    .AllowRefreshTokenFlow()
    .UseJsonWebTokens()      // access_token should be jwt
    // You can disable the HTTPS requirement during development or if behind a reverse proxy
    .DisableHttpsRequirement()
    // Register a new ephemeral key, that is discarded when the application
    // shuts down. Tokens signed using this key are automatically invalidated.
    // To be used during development
    .AddEphemeralSigningKey();
Run Code Online (Sandbox Code Playgroud)

我通过以下方式配置JWT中间件:

// Add Jwt middleware for authentication
var secretKey = Configuration.Get<AppOptions>().Jwt.SecretKey;
app.UseJwtBearerAuthentication(new JwtBearerOptions
{
    AutomaticAuthenticate = true,
    AutomaticChallenge = true,
    RequireHttpsMetadata = env.IsProduction(),
    Audience = Configuration.Get<AppOptions>().Jwt.Audience,
    Authority = Configuration.Get<AppOptions>().Jwt.Authority,
    TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secretKey)),

        ValidateIssuer = true,
        // makes no difference seemingly being ignored
        //ValidIssuer = Configuration.Get<AppOptions>().Jwt.Authority,

        ValidateAudience = true,
        ValidAudience = Configuration.Get<AppOptions>().Jwt.Audience,

        ValidateLifetime = true,
    }
});

// Add OpedId Connect middleware
app.UseOpenIddict();
Run Code Online (Sandbox Code Playgroud)

如您所见,发行者签名密钥设置为对称密钥:

IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secretKey)),
Run Code Online (Sandbox Code Playgroud)

但创建的jwt access_tokens alg声明设置为RS256,所以似乎忽略了此设置,openiddict使用RSA私钥对从中生成的令牌进行签名

.AddEphemeralSigningKey();
Run Code Online (Sandbox Code Playgroud)

adn*_*ili 2

为了强制 openiddict 使用对称密钥,必须在 openiddict 中进行配置

 services.AddOpenIddict()
.AddEntityFrameworkCoreStores<ApplicationDbContext>()
.AddMvcBinders()
.EnableTokenEndpoint("/connect/token")
.AllowPasswordFlow()
.AllowRefreshTokenFlow()
.UseJsonWebTokens()
// You can disable the HTTPS requirement during development or if behind a reverse proxy
.DisableHttpsRequirement()

// set your symmetric key

.AddSigningKey(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Configuration.Get<AppOptions>().Jwt.SecretKey)));
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

3711 次

最近记录:

8 年,8 月 前
相关归档
在Windows应用程序中显示控制台 80
什么时候copy-local应该设置为true,什么时候不应该? 69
在C#中将类的名称作为字符串获取 65
C#如果文本框具有焦点,如何通过按Enter键单击按钮? 64
在Form Constructors和Form Load事件中应该使用哪些设置代码? 55
如何在C#中自动交换2个整数? 26
为什么我的绑定DataGridView抛出"操作无效,因为它导致对SetCurrentCellAddressCore函数的可重入调用"错误? 26
什么时候返回IOrderedEnumerable? 22
Rhino Mocks存根和模拟只适用于接口? 21
使用HttpOnly Cookie的django-rest-framework 5
难疑归档
为什么char []比字符串更适合密码? 3298
如何测试空的JavaScript对象? 2730
如何使用保存实例状态保存Android Activity状态? 2538
在JavaScript中编码URL? 2392
PHP:从数组中删除元素 2362
如何克隆或复制列表? 2289
什么是__init__.py? 2074
.gitignore和.gitkeep有什么区别? 1776
如何创建文件并用Java写入? 1336
如何让ASP.NET Web API使用Chrome返回JSON而不是XML? 1220