[英]JWT token authorization on the c# server side not clear
我有一個 github 項目鏈接,客戶端將Authorization
header 發送到包含 JWT 令牌的服務器,如下所示。 我無法理解的是服務器端[Authorize(Role.Admin)]
如何理解Role.Admin
,它是應用程序特定的枚舉值(屬於帳戶 object - 詳情如下)。
intercept(request: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
// add auth header with jwt if account is logged in and request is to the api url
const account = this.accountService.accountValue;
const isLoggedIn = account && account.jwtToken;
const isApiUrl = request.url.startsWith(environment.apiUrl);
if (isLoggedIn && isApiUrl) {
request = request.clone({
setHeaders: { Authorization: `Bearer ${account.jwtToken}` }
});
}
return next.handle(request);
}
在服務器端,我有中間件 class 包含描述令牌的代碼,如下所示:
try
{
var tokenHandler = new JwtSecurityTokenHandler();
var key = Encoding.ASCII.GetBytes(_appSettings.Secret);
tokenHandler.ValidateToken(token, new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(key),
ValidateIssuer = false,
ValidateAudience = false,
// set clockskew to zero so tokens expire exactly at token expiration time (instead of 5 minutes later)
ClockSkew = TimeSpan.Zero
}, out SecurityToken validatedToken);
var jwtToken = (JwtSecurityToken)validatedToken;
var accountId = int.Parse(jwtToken.Claims.First(x => x.Type == "id").Value);
// attach account to context on successful jwt validation
context.Items["Account"] = await dataContext.Accounts.FindAsync(accountId);
}
catch
{
// do nothing if jwt validation fails
// account is not attached to context so request won't have access to secure routes
Console.WriteLine("Failed");
}
因此,在服務器端,我有 controller 有[Authorize(Role.Admin)]
注釋,如下所示,我無法理解 - Authorize
如何理解Role:Admin
- 這是特定於應用程序的 - 是通過自省嗎?
[Authorize(Role.Admin)]
[HttpGet("all-dates")]
public ActionResult<ScheduleDateTimeResponse> GetAllDates()
{
var dates = _accountService.GetAllDates();
return Ok(dates);
}
該項目有一個自定義 AuthorizeAttribute ,其角色枚舉位於 scope 中。 這與 BCL 的標准屬性不同。 此屬性實現IAuthorizationFilter
,必須針對此 controller 操作調用 asp.net 中間件理解的 IAuthorizationFilter。
應用程序可能在調用端點之前引用某種身份驗證服務。 您應該能夠在控制台日志中看到它。
如果沒有某種公司自動服務 package,請簽入解決方案
Ofc 如果您確定該角色不是 JWT 令牌的一部分。 您可以通過以下方式檢查: https://jwt.io/
抱歉……但我還不能簡單地添加評論……
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.