C# Web api 確認 JWT 令牌發送者等於端點參數
[英]C# Web api confirm that JWT token sender is equal to parameter of endpoint
問題描述
我有一個 ASP.net Web api 端點,如下所示。 它通過帶有 via Roles 的 JWT 令牌授權角色:
[HttpPost, Authorize(Roles = "Admin, Teacher")]
public async Task<ActionResult<CourseParticipant>> AddCourseParticipant(Guid userID, Guid CourseID)
{
return Ok(await _calendarParticipantService.AddCalendarParticipant(userID, CourseID));
}
現在,我不希望任何老師能夠更改參與者。 只有“擁有”課程的老師。 我的想法是簡單地將老師的GUID添加到JWT令牌,然后進行比較。 但是我如何讀取請求中的 JWT 令牌? 有沒有更簡單或“正確”的方法來做到這一點?
2 個解決方案
解決方案1
0 2023-01-19 15:38:03
起初我想推薦policy based authorization 。 但是由於您需要授權中的實際數據來檢查所有權,所以這不是正確的方法。
基於資源的授權是關鍵詞。 使用基於資源的授權,您可以為資源 ( Course ) 編寫 AuthorizationHandler 並將其應用於策略。
解決方案2
0 2023-01-19 16:19:09
創建這樣的帳戶時,您需要將教師指南添加到users聲明中。
//create user account for teacher ommited
var teacherUser = await _userManager.CreateAsync(identityUser, userDto.Password);
_userManager.AddClaimAsync(teacherUser, new Claim
{
"user_id", $"{teacherUser.Id}"
});
現在更新您的 api 端點,如下所示。 同時在 controller 中Inject UserManager
[HttpPost, Authorize(Roles = "Admin, Teacher")]
public async Task<ActionResult<CourseParticipant>> AddCourseParticipant(Guid userID, Guid CourseID)
{
var user = await _userManager.FindByIdAsync(userID.ToString());
if(await _userManager.IsInRoleAsync(user, "Teacher"))
{
var userClaim = User.Claims.FirstOrDefault(x => x.Type == "user_id");
if(userClaim == null || userClaim.Value != userID.ToString())
{
return Unauthorized;
}
}
return Ok(await _calendarParticipantService.AddCalendarParticipant(userID, CourseID));
}
如何在 Web API C# 中驗證來自同一用戶的令牌 JWT 令牌
[英]How to Validate Token JWT Token that it comes from the same User in Web API C#
實現Identity 2.1 + OWIN OAuth JWT承載令牌時如何從Web API控制器端點進行身份驗證
[英]How to authenticate from Web API controller endpoint when implementing Identity 2.1 + OWIN OAuth JWT bearer token
如何在Asp.NET Core WEB API中使用.Net(C#)在有效載荷中使用自定義JSON聲明創建JWT令牌
[英]How to create a JWT token with custom JSON claims in Payload using .Net (C#) in Asp.NET Core WEB API
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何在Web Api C#中加密JWT令牌?
如何在 Web API C# 中驗證來自同一用戶的令牌 JWT 令牌
簡單 C# API 中的 JWT 令牌無效
如何撤銷Web API C#中的JWT?
C#中有沒有JSON Web Token(JWT)的例子?
實現Identity 2.1 + OWIN OAuth JWT承載令牌時如何從Web API控制器端點進行身份驗證
如何在Asp.NET Core WEB API中使用.Net(C#)在有效載荷中使用自定義JSON聲明創建JWT令牌
C# 授權 JWT 令牌
C#使用CSRF令牌調用API端點無法正常工作
使用令牌c#的Secure Web API
相關標簽