那些遇到过的问题

多租户Asp.net Core网站中基于参数的JWT认证

Ame*_*mey 4 c# multi-tenant jwt asp.net-core

我在 .net core 2.1 网站中使用基于 JWT 的身份验证。目前这工作正常。现在,我必须创建一个 API 多租户,并且每个租户都将拥有自己的密钥。租户 ID 将作为参数传递给 API。

        [Authorize]
        [HttpGet("tenant/{id}")]
        public async Task<IActionResult> GetInfo(string id)
        {
        }
Run Code Online (Sandbox Code Playgroud)

每个租户都会签署 JWT 并添加到授权标头。我无法想出一种根据参数更改 IssuerSigningKey 的方法。我尝试了以下操作:

  1. 通过将其设为 [ ] 来验证 API 内的 JWT AllowAonymus。这可行,但我最终编写了所有 JWT 验证代码。

  2. 实施ISecurityTokenValidator

我可以实现ISecurityTokenValidator验证令牌并在启动配置中使用它,如下所示:

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options =>
            {
                options.SecurityTokenValidators.Clear();
                options.SecurityTokenValidators.Add(new JWTSecurityTokenValidator());
            });
Run Code Online (Sandbox Code Playgroud)

并实现了我自己的类来验证令牌。

public class JWTSecurityTokenValidator : ISecurityTokenValidator
{
    public ClaimsPrincipal ValidateToken(string securityToken, TokenValidationParameters validationParameters, out SecurityToken validatedToken)
    {
            // Implement the logic
    }
}
Run Code Online (Sandbox Code Playgroud)

但我最终还是做了繁重的工作。另外,我无法访问 ValidateToken 中的参数“tenantId”。

3.使用IssuerSigningKeyResolver:我可以实现一个委托:

IEnumerable<SecurityKey> IssuerSigningKeyResolver(string token, SecurityToken securityToken, string kid, TokenValidationParameters validationParameters)
Run Code Online (Sandbox Code Playgroud)

同样,我无法访问“tenantId”参数来选择适当的密钥。

是否有优雅的解决方案可以IssuerSigningKey根据参数进行选择,这样我就不需要编写自己的逻辑来验证 JWT?或者唯一的选择是选择第一个选项?

Nan*_* Yu 5

您可以使用 DI 将IHttpContextAccessor实例传递到您的实例JWTSecurityTokenValidator并获取属性值IHttpContextAccessor.HttpContext

从 .Net Core 2.1 开始,您可以使用扩展名进行注册:

services.AddHttpContextAccessor();
Run Code Online (Sandbox Code Playgroud)

然后在您的自定义中JWTSecurityTokenValidator,修改以注入IHttpContextAccessor

private readonly IHttpContextAccessor _httpContextAccessor;

public JWTSecurityTokenValidator(IHttpContextAccessor httpContextAccessor) {
    _httpContextAccessor = httpContextAccessor;
}
Run Code Online (Sandbox Code Playgroud)

修改注册Startup.cs

options.SecurityTokenValidators.Clear();

options.SecurityTokenValidators.Add(new JWTSecurityTokenValidator(services.BuildServiceProvider().GetService<IHttpContextAccessor>()));
Run Code Online (Sandbox Code Playgroud)

这样在ValidateToken方法中,您可以从以下位置读取参数_httpContextAccessor.HttpContext,根据您传递参数的方式,从查询字符串或路径中读取:

public ClaimsPrincipal ValidateToken(string securityToken, TokenValidationParameters validationParameters, out SecurityToken validatedToken)
{
        var xx = _httpContextAccessor.HttpContext.Request;
        ........
}
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

2895 次

最近记录:

6 年,6 月 前
相关归档
当用户单击该行的单元格时,如何选择完整的dataGridView行? 49
获取特定应用程序的屏幕截图 48
如何使用Entity Framework执行原始SQL查询而不必使用模型? 39
如何在ASP.NET Core中将403 Forbidden响应作为IActionResult返回 29
使用 .Net Core API 进行元组序列化 6
使用不带身份的承载/ Jwt授权 5
使用 JWT 刷新令牌和短期访问令牌如何不是非常不安全? 5
JWT web token encryption - SecurityAlgoritms.HmacSha256 vs SecurityAlgoritms.HmacSha256Signature 5
在 ASP.NET Core 中将 RTSP 流从 IP 摄像机转发到浏览器 5
如何在 Symfony 中以编程方式验证 jwt 令牌? 0
难疑归档
RESTful编程究竟是什么? 3917
是什么 !!(不是)JavaScript中的运算符? 2906
Git获取远程分支 2088
为什么在C++中读取stdin的行比Python要慢得多? 1738
'real','user'和'sys'在time(1)的输出中意味着什么? 1622
在Vim中复制整行 1555
如何离开/退出/停用python virtualenv? 1461
如何使用jQuery更改超链接的href 1231
简单的面试问题变得更难:给出数字1..100,找到丢失的数字 1115
Objective-C中的快捷方式用于连接NSStrings 1114