我目前正在尝试学习如何使用bearer token构建安全api,我不断收到此错误(InvalidOperationException:AuthorizationPolicy命名为:' Bearer'未找到。)我不知道为什么。我正在使用asp.net-core 2.0并尝试使用jwt auth中间件。 这是我的启动课程,任何帮助将不胜感激!
public class Startup
{
public Startup(IConfiguration configuration)
{
Configuration = configuration;
}
const string TokenAudience = "ExampleAudience";
const string TokenIssuer = "ExampleIssuer";
private RsaSecurityKey key;
private TokenAuthOptions tokenOptions;
public IConfiguration Configuration { get; }
// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
{
var keyParams = RSAKeyUtils.GetRandomKey();
key = new RsaSecurityKey(keyParams);
tokenOptions = new TokenAuthOptions()
{
Audience = TokenAudience,
Issuer = TokenIssuer,
SigningCredentials = new SigningCredentials(key, SecurityAlgorithms.RsaSha256Signature)
};
services.AddDbContext<VulnerabilityContext>(options =>
options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection")));
services.AddScoped<LoggingActionFilter>();
services.AddScoped<VulnsService>();
services.AddAuthentication(o =>
{
o.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
o.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(o =>
{
o.Authority = "https://localhost:54302";
o.Audience = tokenOptions.Audience;
o.RequireHttpsMetadata = false;
});
services.AddMvc();
}
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
//app.UseSession();
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
app.UseBrowserLink();
}
else
{
app.UseExceptionHandler("/Home/Error");
}
app.UseAuthentication();
app.UseStaticFiles();
app.UseMvc(routes =>
{
routes.MapRoute(
name: "default",
template: "{controller=Home}/{action=Index}/{id?}");
});
}
}
答案 0 :(得分:6)
我不使用策略,并且当我忘记指明authorize属性中的角色时,发生了此错误。
我有这个:
[Authorize("Administrator")] // if you don't specify the property name Roles it will consider it as the policy name
将其更改为:
[Authorize(Roles = "Administrator")]
答案 1 :(得分:3)
您收到此错误,因为身份验证方案和授权策略不是一回事。让我们看看它们各自是什么。
它们是应用程序中不同的身份验证方法。在您发布的代码中,您有一个身份验证方案,该方案由名称Bearer
和您指定的选项标识。
可以在一个应用程序中设置多个身份验证方案:
AddJwtBearer
方法。同样重要的是要注意,身份验证方案的名称应该是唯一的,因此您需要使用overload that takes the name and the options configuration delegate 当用户在您的应用程序中进行身份验证时,并不意味着它可以访问其中的每个功能。您可能具有不同的访问级别,其中管理员具有其他任何人都没有的特殊权限;这在ASP.NET Core中使用授权策略表示。我强烈建议你阅读official documentation on authorization,因为我觉得它很棒。
授权政策由两件事组成:
以上面提到的管理员为例,我们可以创建一个虚构的授权策略:
Administrators
role
声明Administrators
这将在代码中以这种方式表达:
services.AddAuthorization(options =>
{
options.AddPolicy("Administrators", new AuthorizationPolicyBuilder()
.RequireAuthenticatedUser()
.RequireClaim("role", "Administrators")
.Build());
});
然后,您可以通过使用[Authorize(Policy = "Administrators")]
属性对其进行修饰,将此策略应用于应用程序中的某些特定控制器或操作。然后,MVC会在请求期间针对当前用户运行需求,并确定他们是否可以访问特定功能。
我的猜测是您在其中一个操作/控制器上添加了这样的属性,但您没有在授权系统中注册授权策略名称Bearer
。
如果您的目标是阻止未经身份验证的用户访问某些操作,则可以应用[Authorize]
属性。这样做会运行default policy,默认情况下,只需要对用户进行身份验证。
答案 2 :(得分:0)
将AuthenticationSchemes
添加到控制器类对我有用:
[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]