堆棧內存溢出
  簡體   English   中英

c# 服務器端的 JWT 令牌授權不清楚

[英]JWT token authorization on the c# server side not clear

 原文  2022-08-10 06:16:59       c#/ jwt

問題描述

我有一個 github 項目鏈接,客戶端將Authorization header 發送到包含 JWT 令牌的服務器,如下所示。 我無法理解的是服務器端[Authorize(Role.Admin)]如何理解Role.Admin ,它是應用程序特定的枚舉值(屬於帳戶 object - 詳情如下)。

intercept(request: HttpRequest<any>, next: HttpHandler): Observable<HttpEvent<any>> {
        // add auth header with jwt if account is logged in and request is to the api url
        const account = this.accountService.accountValue;
        const isLoggedIn = account && account.jwtToken;
        const isApiUrl = request.url.startsWith(environment.apiUrl);
        if (isLoggedIn && isApiUrl) {
            request = request.clone({
                setHeaders: { Authorization: `Bearer ${account.jwtToken}` }
            });
        }

        return next.handle(request);
    }

在服務器端,我有中間件 class 包含描述令牌的代碼,如下所示:

try
            {
                var tokenHandler = new JwtSecurityTokenHandler();
                var key = Encoding.ASCII.GetBytes(_appSettings.Secret);
                tokenHandler.ValidateToken(token, new TokenValidationParameters
                {
                    ValidateIssuerSigningKey = true,
                    IssuerSigningKey = new SymmetricSecurityKey(key),
                    ValidateIssuer = false,
                    ValidateAudience = false,
                    // set clockskew to zero so tokens expire exactly at token expiration time (instead of 5 minutes later)
                    ClockSkew = TimeSpan.Zero
                }, out SecurityToken validatedToken);

                var jwtToken = (JwtSecurityToken)validatedToken;
                var accountId = int.Parse(jwtToken.Claims.First(x => x.Type == "id").Value);

                // attach account to context on successful jwt validation
                context.Items["Account"] = await dataContext.Accounts.FindAsync(accountId);
            }
            catch 
            {
                // do nothing if jwt validation fails
                // account is not attached to context so request won't have access to secure routes
                Console.WriteLine("Failed");
            }

因此,在服務器端,我有 controller 有[Authorize(Role.Admin)]注釋,如下所示,我無法理解 - Authorize如何理解Role:Admin - 這是特定於應用程序的 - 是通過自省嗎?

[Authorize(Role.Admin)]
        [HttpGet("all-dates")]
        public ActionResult<ScheduleDateTimeResponse> GetAllDates()
        {
            var dates = _accountService.GetAllDates();
            return Ok(dates);
        }

2 個解決方案

解決方案1
 1  2022-08-10 07:11:53

該項目有一個自定義 AuthorizeAttribute ,其角色枚舉位於 scope 中。 這與 BCL 的標准屬性不同。 此屬性實現IAuthorizationFilter ,必須針對此 controller 操作調用 asp.net 中間件理解的 IAuthorizationFilter。

解決方案2
 0  2022-08-10 07:04:10

應用程序可能在調用端點之前引用某種身份驗證服務。 您應該能夠在控制台日志中看到它。

如果沒有某種公司自動服務 package,請簽入解決方案

Ofc 如果您確定該角色不是 JWT 令牌的一部分。 您可以通過以下方式檢查: https://jwt.io/

抱歉……但我還不能簡單地添加評論……

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 C# 授權 JWT 令牌 iOS 設備檢查 - 服務器端 C# .net 解決方案 (JWT) Google Analytics嵌入Api服務器端授權C# 如何清除服務器端的文件上傳文本(c#) 用於授權的C#安全令牌 驗證 JWT 令牌 c# 的簽名 C#手動構建JWT令牌不起作用 簡單 C# API 中的 JWT 令牌無效 使用 JWT 在 c# 中生成令牌的無效簽名 在 C# 中手動驗證 JWT 令牌
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM