那些遇到过的问题

JWT 令牌到期时间失败 .net 核心

Abh*_*hna 6 access-token jwt asp.net-web-api .net-core refresh-token

我正在尝试通过 .NET Core 2.1 中的刷新令牌和 JWT 实现基于令牌的身份验证。

这就是我实现 JWT 令牌的方式:

启动文件

services.AddAuthentication(option =>
    {
        option.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        option.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
        option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
    }).AddJwtBearer(options =>
    {
        options.SaveToken = true;
        options.RequireHttpsMetadata = true;
        options.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidAudience = Configuration["Jwt:Site"],
            ValidIssuer = Configuration["Jwt:Site"],
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:SigningKey"]))
        };

        options.Events = new JwtBearerEvents
        {
            OnAuthenticationFailed = context =>
            {
                if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
                {
                    context.Response.Headers.Add("Token-Expired", "true");
                }
                return Task.CompletedTask;
            }
        };
    });
Run Code Online (Sandbox Code Playgroud)

代币生成:

var jwt = new JwtSecurityToken(
                issuer: _configuration["Jwt:Site"],
                audience: _configuration["Jwt:Site"],
                expires: DateTime.UtcNow.AddMinutes(1),
                signingCredentials: new SigningCredentials(signinKey, SecurityAlgorithms.HmacSha256)
                );

        return new TokenReturnViewModel()
        {
            token = new JwtSecurityTokenHandler().WriteToken(jwt),
            expiration = jwt.ValidTo,
            currentTime = DateTime.UtcNow
        };
Run Code Online (Sandbox Code Playgroud)

我在 Response 中得到了正确的值。

在此处输入图片说明

但是一分钟后,我在 Postman 中为授权设置了相同的令牌,它起作用了。如果令牌已过期,则不应过期。

我使用不记名令牌作为身份验证。

我究竟做错了什么?需要方向。

Div*_*Div 29

有一个名为 的令牌验证参数ClockSkew,它获取或设置在验证时间时应用的时钟偏差。的默认值为ClockSkew5 分钟。这意味着如果您尚未设置它,您的令牌将在最多 5 分钟内仍然有效。

如果您想在确切的时间使您的令牌过期;你需要ClockSkew如下设置为零,

options.TokenValidationParameters = new TokenValidationParameters()
{
    //other settings
    ClockSkew = TimeSpan.Zero
};
Run Code Online (Sandbox Code Playgroud)

另一种方法,创建自定义 AuthorizationFilter并手动检查。

var principal = ApiTokenHelper.GetPrincipalFromToken(token);
var expClaim = principal.Claims.First(x => x.Type == "exp").Value;
var tokenExpiryTime = Convert.ToDouble(expClaim).UnixTimeStampToDateTime();
if (tokenExpiryTime < DateTime.UtcNow)
{
  //return token expired
}
Run Code Online (Sandbox Code Playgroud)

这里,GetPrincipalFromToken是类的自定义方法,ApiTokenHelper它将返回ClaimsPrincipal您在发出令牌时存储的值。

归档时间:

查看次数:

12434 次

最近记录:

4 年,2 月 前
JWT Token身份验证,过期令牌仍在工作,.net核心Web Api 9
JWT Token身份验证,过期令牌仍在工作,.net核心Web Api 9
更多相关链接
相关归档
使用System.Net.Http调用Delete Web API方法时传递正文内容 7
洋葱架构标识框架 6
Android Keystore存储访问令牌 6
用于ASP.NET Web API请求的"透明"服务器端代理 5
验证响应属性名称为 PascalCase 而不是 CamelCase 5
Hangfire 事务流程(工作单元) 5
为JSON对象数组命名 3
如何使用远程主机的 dotnet 发布执行依赖于框架的部署 3
ASP.NET Core 中的循环依赖 3
如何防止 NLog 处理引用库中的日志语句? 3
难疑归档
如何在jQuery中选择具有多个类的元素? 1985
在JavaScript中定义枚举的首选语法是什么? 1982
什么是复制和交换习语? 1907
如何在Bash中解析命令行参数? 1764
lodash和下划线之间的差异 1566
SQL Server中的LEFT JOIN与LEFT OUTER JOIN 1514
为什么Dictionary优先于Hashtable? 1348
在文本框中的Enter键上使用JavaScript触发按钮单击 1250
URL.Combine的URL? 1186
有条件地申请课程的最佳方式是什么? 1172