UseJwtBearerAuthentication与IDX10504失败:无法验证签名,令牌没有签名

时间:2016-07-21 13:49:46

标签: c# asp.net-core asp.net-identity json-web-token

使用ASP.NET Core 1.0(rtm),我已经生成了一些minimal verifiable sample,我发现我生成的JSON Web令牌没有传递.net核心json web令牌中间件声明挑战,并且没有出现此错误:

Microsoft.IdentityModel.Tokens.SecurityTokenInvalidSignatureException: 
IDX10504: Unable to validate signature, token does not have a signature: 
'... ... token value here...'

我已经生成了一个最小的样本,它在ASP.NET Core RC1中运行良好,但在RTM中不起作用。我没有移植到RC2进行测试,但我相信这样的测试毫无意义。您可以使用提供的测试脚本来演示演示:

 python tests\testloginapi.py
  GET OK: 200 http://localhost:54993/authorize/login?username=TEST&pas...
  POST OK: 200 http://localhost:54993/authorize/login?username=TEST&pas...
  authorization token received... eyJhbGciOi...
  expected status 200 but got 401 for GET http://localhost:54993/authorizetest/test

我最小例子的显着点是:

Startup.cs方法配置有:

        app.UseJwtBearerAuthentication(_keyArtifacts.getJwtBearerOptions());

承载选项如下:

  public static JwtBearerOptions CreateJwtBearerOption(RsaSecurityKey key, string tokenIssuer, string tokenAudience)
        {
            var jwtBearerOptions = new JwtBearerOptions();


            jwtBearerOptions.AutomaticAuthenticate = true;
            jwtBearerOptions.AutomaticChallenge = true;
            jwtBearerOptions.TokenValidationParameters.ValidateIssuerSigningKey = true;
            jwtBearerOptions.TokenValidationParameters.IssuerSigningKey = key;
            jwtBearerOptions.TokenValidationParameters.ValidIssuer = tokenIssuer;
            jwtBearerOptions.TokenValidationParameters.ValidateIssuer = true;
            jwtBearerOptions.TokenValidationParameters.ValidateLifetime = true;
            jwtBearerOptions.TokenValidationParameters.ClockSkew = TimeSpan.Zero;



            jwtBearerOptions.TokenValidationParameters.ValidAudience = tokenAudience;
            return jwtBearerOptions;
        }

这个问题真的归结为:

  1. 在Asp.net core 1.0 rtm中,创建将通过中间件挑战的令牌的最小步骤是什么?

  2. 我只是错过了一些简单的步骤(可能只有一行代码),这将使这个演示工作,包括"签署"工作

  3. 鉴于demo仍然是一段可怕的代码,没有人应该在制作中使用它(因为我已经为此感到羞耻),我希望这个问题仍然存在关于如何使UseJwtBearerAuthentication系统真正起作用,至少在演示规模上是有启发性的。

1 个答案:

答案 0 :(得分:3)

  

在Asp.net核心1.0 rtm中,创建将通过中间件挑战的令牌的最小步骤是什么?   我只是错过了一些简单的步骤(可能只有一行代码),这将使这个演示工作,包括“签名”工作?

IdentityModel(负责验证JWT承载中间件收到的令牌的库)无法验证您的JWT令牌,因为它们实际上没有任何签名,如您所看到的错误中所述。

缺少签名可能是因为您在创建自己的令牌时没有分配SecurityTokenDescriptor.SigningCredentials这一事实:

JwtSecurityTokenHandler handler = BearerOptions
    .SecurityTokenValidators
    .OfType<JwtSecurityTokenHandler>()
    .First();

var tokenData = new SecurityTokenDescriptor
{

    Issuer = BearerOptions.TokenValidationParameters.ValidIssuer,
    Audience = BearerOptions.TokenValidationParameters.ValidAudience,
    Subject = new ClaimsIdentity(claims),
    Expires = DateTime.Now.AddDays(1),
    NotBefore = DateTime.Now
};

/*JwtSecurityToken*/
var securityToken =
    handler.CreateToken
    (
        tokenData
    );

修复它,它应该可以工作。

  

鉴于该演示仍然是一段可怕的代码,并且没有人应该在生产中使用它(因为我已经为此感到羞耻),我希望这个问题仍然可以说明如何制作UseJwtBearerAuthentication系统实际上工作,至少在演示规模。

实际上,问题不在于您如何使用JWT承载中间件,而是如何生成自己的令牌。实现自己的令牌发行者酱很好,但使用像OAuth2或OpenID Connect这样的标准通常更好更容易使用(例如,当拥有OIDC服务器时,您不必配置JWT承载中间件,因为它将直接下载使用OIDC discovery)签名密钥。

欢迎阅读此其他SO answer以获取更多信息。