我正在尝试通过.NET Core 2.1中的刷新令牌和JWT实现基于令牌的身份验证。
这是我实现JWT令牌的方式:
Startup.cs
services.AddAuthentication(option =>
{
option.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
option.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(options =>
{
options.SaveToken = true;
options.RequireHttpsMetadata = true;
options.TokenValidationParameters = new TokenValidationParameters()
{
ValidateIssuer = true,
ValidateAudience = true,
ValidAudience = Configuration["Jwt:Site"],
ValidIssuer = Configuration["Jwt:Site"],
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:SigningKey"]))
};
options.Events = new JwtBearerEvents
{
OnAuthenticationFailed = context =>
{
if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
{
context.Response.Headers.Add("Token-Expired", "true");
}
return Task.CompletedTask;
}
};
});
令牌生成:
var jwt = new JwtSecurityToken(
issuer: _configuration["Jwt:Site"],
audience: _configuration["Jwt:Site"],
expires: DateTime.UtcNow.AddMinutes(1),
signingCredentials: new SigningCredentials(signinKey, SecurityAlgorithms.HmacSha256)
);
return new TokenReturnViewModel()
{
token = new JwtSecurityTokenHandler().WriteToken(jwt),
expiration = jwt.ValidTo,
currentTime = DateTime.UtcNow
};
我在响应中得到他正确的值。
但是过了一会儿,我在邮递员中设置了相同的令牌进行授权,并且可以正常工作。 如果令牌已过期,则不应过期。
我正在使用承载令牌作为身份验证。
我在做什么错?需要指导。
答案 0 :(得分:1)
有一个称为ClockSkew
的令牌验证参数,它是获取或设置验证时间时要应用的时钟偏斜的方法。 ClockSkew
的默认值为5分钟。也就是说,如果您尚未设置令牌,则令牌在5分钟内仍然有效。
如果您想在正确的时间使令牌到期;您需要将ClockSkew
设置为零,如下所示,
options.TokenValidationParameters = new TokenValidationParameters()
{
//other settings
ClockSkew = TimeSpan.Zero
};
另一种方法,创建自定义AuthorizationFilter
并手动检查。
var principal = ApiTokenHelper.GetPrincipalFromToken(token);
var expClaim = principal.Claims.First(x => x.Type == "exp").Value;
var tokenExpiryTime = Convert.ToDouble(expClaim).UnixTimeStampToDateTime();
if (tokenExpiryTime < DateTime.UtcNow)
{
//return token expried
}
在这里,GetPrincipalFromToken
是ApiTokenHelper
类的自定义方法,它将返回您在发行令牌时存储的ClaimsPrincipal
值。