堆栈内存溢出
  繁体   English   中英

ASP.NET Core:验证 Auth0 的 JWT 令牌

[英]ASP.NET Core: validating Auth0's JWT token

 原文  2020-03-19 21:12:27       c#/ .net-core/ jwt/ token/ auth0

问题描述

我正在使用 Auth0 并像这样解析它的idToken服务器端:

    var tokenHandler = new JwtSecurityTokenHandler();
    var jwtToken = tokenHandler.ReadJwtToken(idToken); // idToken comes from client using auth0.js
    var sub = jwtToken.Claims.First(claim => claim.Type == "sub").Value;

上面的代码运行良好,我能够成功解析idToken ,但我想在信任它之前验证idToken ,所以我试过这个:

        string clientSecret = "{client_secret}"; // comes from Auth0 application's client secret
        var validations = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = "some value", // used "iss" from here: https://jwt.io/
            ValidAudience = "some value", // used "aud" from here: https://jwt.io/
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(clientSecret)),
        };

        var principal = tokenHandler.ValidateToken(idToken, validations, out var validatedToken);

尝试验证令牌时,会导致此异常:

Microsoft.IdentityModel.Tokens.SecurityTokenSignatureKeyNotFoundException
  HResult=0x80131500
  Message=IDX10501: Signature validation failed. Unable to match key: 
kid: '[PII is hidden. For more details, see https://aka.ms/IdentityModel/PII.]'

我通过解析这里的令牌之一来获取发行者和受众的价值: https : //jwt.io/ 客户端密码是我的应用程序在 Auth0 的客户端密码。

我如何可以验证Auth0的idToken使用JwtSecurityTokenHandler

1 个解决方案

解决方案1
 1  2020-03-20 15:23:44

要手动验证 Auth0 的 JWT 令牌,您需要以下 2 个 Nuget 包:

System.IdentityModel.Tokens.Jwt
Microsoft.IdentityModel.Protocols.OpenIdConnect

然后从 Auth0 的应用程序设置中获取这些值

string auth0Domain = ""; // Note: if your Domain is foo.auth0.com, this needs to be https://foo.auth0.com/
string auth0ClientId = "";

验证 Auth0 的令牌如下:

IConfigurationManager<OpenIdConnectConfiguration> configurationManager = new ConfigurationManager<OpenIdConnectConfiguration>($"{auth0Domain}.well-known/openid-configuration", new OpenIdConnectConfigurationRetriever());
OpenIdConnectConfiguration openIdConfig = await configurationManager.GetConfigurationAsync(CancellationToken.None);

var validations = new TokenValidationParameters
{
    ValidIssuer = auth0Domain,
    ValidAudiences = new[] { auth0ClientId },
    IssuerSigningKeys = openIdConfig.SigningKeys
};

var user = tokenHandler.ValidateToken(idToken, validations, out var validatedToken);

使用经过验证的令牌,您可以像这样提取有用的信息:

var securityToken = (JwtSecurityToken)validatedToken;
var userId = user.Claims.First(c => c.Type == ClaimTypes.NameIdentifier).Value;

来源: 使用 .NET 手动验证 JWT

信用:@Nkosi

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 Asp.Net Core 2 验证不记名令牌 ASP.NET Core 和 JWT 令牌生命周期 ASP.NET Core:具有范围的JWT令牌 ASP.NET Core 中的 Jwt 令牌身份验证 ASP.Net Core JWT 令牌验证 asp.net 内核中的无效 jwt 令牌 如何在ASP.NET Core 2.0 Web API中添加IdentityServer4和Auth0的Jwt身份验证? Auth0 WebApi asp.net 核心设置 Auth0 + Asp.Net Core 2.1 + 禁止错误 403 有没有办法将用于 Auth 的 JWT 令牌传递到 C# Asp.net Core 中的 Selenium WebDriver 中?
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM