使用ASP.NET Core 1.0(rtm),我已经生成了一些minimal verifiable sample,我发现我生成的JSON Web令牌没有传递.net核心json web令牌中间件声明挑战,并且没有出现此错误:
Microsoft.IdentityModel.Tokens.SecurityTokenInvalidSignatureException:
IDX10504: Unable to validate signature, token does not have a signature:
'... ... token value here...'
我已经生成了一个最小的样本,它在ASP.NET Core RC1中运行良好,但在RTM中不起作用。我没有移植到RC2进行测试,但我相信这样的测试毫无意义。您可以使用提供的测试脚本来演示演示:
python tests\testloginapi.py
GET OK: 200 http://localhost:54993/authorize/login?username=TEST&pas...
POST OK: 200 http://localhost:54993/authorize/login?username=TEST&pas...
authorization token received... eyJhbGciOi...
expected status 200 but got 401 for GET http://localhost:54993/authorizetest/test
我最小例子的显着点是:
Startup.cs方法配置有:
app.UseJwtBearerAuthentication(_keyArtifacts.getJwtBearerOptions());
承载选项如下:
public static JwtBearerOptions CreateJwtBearerOption(RsaSecurityKey key, string tokenIssuer, string tokenAudience)
{
var jwtBearerOptions = new JwtBearerOptions();
jwtBearerOptions.AutomaticAuthenticate = true;
jwtBearerOptions.AutomaticChallenge = true;
jwtBearerOptions.TokenValidationParameters.ValidateIssuerSigningKey = true;
jwtBearerOptions.TokenValidationParameters.IssuerSigningKey = key;
jwtBearerOptions.TokenValidationParameters.ValidIssuer = tokenIssuer;
jwtBearerOptions.TokenValidationParameters.ValidateIssuer = true;
jwtBearerOptions.TokenValidationParameters.ValidateLifetime = true;
jwtBearerOptions.TokenValidationParameters.ClockSkew = TimeSpan.Zero;
jwtBearerOptions.TokenValidationParameters.ValidAudience = tokenAudience;
return jwtBearerOptions;
}
这个问题真的归结为:
在Asp.net core 1.0 rtm中,创建将通过中间件挑战的令牌的最小步骤是什么?
我只是错过了一些简单的步骤(可能只有一行代码),这将使这个演示工作,包括"签署"工作
鉴于demo仍然是一段可怕的代码,没有人应该在制作中使用它(因为我已经为此感到羞耻),我希望这个问题仍然存在关于如何使UseJwtBearerAuthentication
系统真正起作用,至少在演示规模上是有启发性的。
答案 0 :(得分:3)
在Asp.net核心1.0 rtm中,创建将通过中间件挑战的令牌的最小步骤是什么? 我只是错过了一些简单的步骤(可能只有一行代码),这将使这个演示工作,包括“签名”工作?
IdentityModel(负责验证JWT承载中间件收到的令牌的库)无法验证您的JWT令牌,因为它们实际上没有任何签名,如您所看到的错误中所述。
缺少签名可能是因为您在创建自己的令牌时没有分配SecurityTokenDescriptor.SigningCredentials
这一事实:
JwtSecurityTokenHandler handler = BearerOptions
.SecurityTokenValidators
.OfType<JwtSecurityTokenHandler>()
.First();
var tokenData = new SecurityTokenDescriptor
{
Issuer = BearerOptions.TokenValidationParameters.ValidIssuer,
Audience = BearerOptions.TokenValidationParameters.ValidAudience,
Subject = new ClaimsIdentity(claims),
Expires = DateTime.Now.AddDays(1),
NotBefore = DateTime.Now
};
/*JwtSecurityToken*/
var securityToken =
handler.CreateToken
(
tokenData
);
修复它,它应该可以工作。
鉴于该演示仍然是一段可怕的代码,并且没有人应该在生产中使用它(因为我已经为此感到羞耻),我希望这个问题仍然可以说明如何制作UseJwtBearerAuthentication系统实际上工作,至少在演示规模。
实际上,问题不在于您如何使用JWT承载中间件,而是如何生成自己的令牌。实现自己的令牌发行者酱很好,但使用像OAuth2或OpenID Connect这样的标准通常更好更容易使用(例如,当拥有OIDC服务器时,您不必配置JWT承载中间件,因为它将直接下载使用OIDC discovery)签名密钥。
欢迎阅读此其他SO answer以获取更多信息。