[英]Manually validating a JWT token in C#
我在手动验证Identity Server 4 颁发的 JWT 令牌时遇到了一些麻烦。
ClientId:“CLIENT1” ClientSecret:“123456”
我不断收到的例外是:IDX10501:签名验证失败。 无法匹配键:'[默认情况下隐藏 PII。 将 IdentityModelEventSource.cs 中的“ShowPII”标志设置为 true 以显示它。]'
有没有人能告诉我哪里出错了。
private static void ValidateJwt(string jwt, DiscoveryResponse disco)
{
var parameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
ValidIssuer = disco.Issuer,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("123456")),
ValidAudience = "CLIENT1",
//IssuerSigningKeys = keys,
// ValidateAudience = true,
// ValidateLifetime = true,
};
SecurityToken validatedToken;
var handler = new JwtSecurityTokenHandler();
handler.InboundClaimTypeMap.Clear();
try
{
var user = handler.ValidateToken(jwt, parameters, out validatedToken);
}
catch(Exception ex)
{
var error = ex.Message;
}
}
在此示例中查看ValidateJwt()
:
您缺少的一点是从发现文档中加载公钥。
尝试更改私钥的长度。 我想您的私钥太小而无法编码。
对于手动验证,您可以使用
static byte[] FromBase64Url(string base64Url)
{
string padded = base64Url.Length % 4 == 0
? base64Url : base64Url + "====".Substring(base64Url.Length % 4);
string base64 = padded.Replace("_", "/")
.Replace("-", "+");
return Convert.FromBase64String(base64);
}
这也回答了@henk-holterman 的问题
Encoding.UTF8.GetBytes( 不是正确的方法。
虽然实际上更好的方法是通过 OIDC 发现端点 Auth0 有一篇关于使用标准 NuGet 包的好文章。 基本上,您从发现端点加载所需的一切。
IConfigurationManager<OpenIdConnectConfiguration> configurationManager = new ConfigurationManager<OpenIdConnectConfiguration>($"{auth0Domain}.well-known/openid-configuration", new OpenIdConnectConfigurationRetriever());
OpenIdConnectConfiguration openIdConfig = await configurationManager.GetConfigurationAsync(CancellationToken.None);
TokenValidationParameters validationParameters =
new TokenValidationParameters
{
ValidIssuer = auth0Domain,
ValidAudiences = new[] { auth0Audience },
IssuerSigningKeys = openIdConfig.SigningKeys
};
SecurityToken validatedToken;
JwtSecurityTokenHandler handler = new JwtSecurityTokenHandler();
var user = handler.ValidateToken("eyJhbGciOi.....", validationParameters, out validatedToken);
你可以在这里阅读更多关于它的信息或者他们的 GitHub 示例页面在这里
就我而言,我没有发现端点。 只是一个 JWKS 端点。 所以我选择这样做。
using Microsoft.IdentityModel.Tokens;
using Newtonsoft.Json;
using RestSharp;
using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Threading.Tasks;
public class ExpectedJwksResponse
{
[JsonProperty(PropertyName = "keys")]
public List<JsonWebKey> Keys { get; set; }
}
private static async Task<List<SecurityKey>> GetSecurityKeysAsync()
{
// Feel free to use HttpClient or whatever you want to call the endpoint.
var client = new RestClient("<https://sample-jwks-endpoint.url>");
var request = new RestRequest(Method.GET);
var result = await client.ExecuteTaskAsync<ExpectedJwksResponse>(request);
if (result.StatusCode != System.Net.HttpStatusCode.OK)
{
throw new Exception("Wasnt 200 status code");
}
if (result.Data == null || result.Data.Keys == null || result.Data.Keys.Count == 0 )
{
throw new Exception("Couldnt parse any keys");
}
var keys = new List<SecurityKey>();
foreach ( var key in result.Data.Keys )
{
keys.Add(key);
}
return keys;
}
private async Task<bool> ValidateToken(token){
TokenValidationParameters validationParameters = new TokenValidationParameters
{
RequireExpirationTime = true,
RequireSignedTokens = true,
ValidateLifetime = true,
ValidIssuer = "https://sample-issuer.com",
ValidAudiences = new[] { "https://sample-audience/resource" },
IssuerSigningKeys = await GetSecurityKeysAsync()
};
var user = null as System.Security.Claims.ClaimsPrincipal;
SecurityToken validatedToken;
try
{
user = handler.ValidateToken(token, validationParameters, out validatedToken);
}
catch ( Exception e )
{
Console.Write($"ErrorMessage: {e.Message}");
return false;
}
var readToken = handler.ReadJwtToken(token);
var claims = readToken.Claims;
return true;
}
您已指定:
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret"))
但是JwtSecurityTokenHandler
无法将它与可以是 jwt 标头本身的一部分的密钥相匹配。 基本上这意味着您的配置与实际发行人的配置不匹配[es]。 该错误表明这与签名密钥有关。
请检查该发行者的配置(如果可以),找出遗漏的部分,然后重试。
您可以使用jwt.io在线调试您的 jwt。
IdentityServer 使用 RS256 对 JWT 进行签名。 这意味着您需要使用公钥来验证 JWT(您可以从发现文档中获取)。
客户端 ID 和客户端密码是用于请求令牌的客户端凭据。 他们没有参与验证它们。
您正在尝试使用 SymmetricKey 进行 JWT 验证。 尝试在JWT.io 中查看您的令牌,如果算法是“RS256”,则 SymmetricKey 将不起作用。
请在创建 JWT 令牌时检查确保您添加了 SigningCredentials。
var token = new JwtSecurityToken(
Constants.Audiance,Constants.Issuer,claims
notBefore:DateTime.Now,
expires:DateTime.Now.AddHours(1),
**signinCredential**
);
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.