Безопасный API с токеном доступа JWT - PullRequest
Новая
       39

Безопасный API с токеном доступа JWT

0 голосов
/ 21 сентября 2018

Я играю с примером потока кода авторизации openiddict, и все работает хорошо.

https://github.com/openiddict/openiddict-samples/tree/dev/samples/CodeFlow

Однако я хочу внести определенные изменения, и я изо всех сил пытаюсь это сделать.,Я хотел бы настроить использование токенов JWT вместо непрозрачных токенов по умолчанию, а также разделить их на сервер авторизации и сервер ресурсов.У меня также есть веб-приложение MCV, которое будет взаимодействовать с сервером ресурсов через httpClient.

Auth Server.Startup 

public void ConfigureServices(IServiceCollection services)
        {
            services.AddMvc();

            services.AddDbContext<ApplicationDbContext>(options =>
            {
                options.UseSqlServer(Configuration.GetConnectionString("DefaultConnection"));
                options.UseOpenIddict();
            });

            // Register the Identity services.
            services.AddIdentity<ApplicationUser, IdentityRole>()
                .AddEntityFrameworkStores<ApplicationDbContext>()
                .AddDefaultTokenProviders();

            services.Configure<IdentityOptions>(options =>
            {
                options.ClaimsIdentity.UserNameClaimType = OpenIdConnectConstants.Claims.Name;
                options.ClaimsIdentity.UserIdClaimType = OpenIdConnectConstants.Claims.Subject;
                options.ClaimsIdentity.RoleClaimType = OpenIdConnectConstants.Claims.Role;
            });

            services.AddOpenIddict()

                .AddCore(options =>

                    options.UseEntityFrameworkCore()
                           .UseDbContext<ApplicationDbContext>();
                })

                // Register the OpenIddict server handler.
                .AddServer(options =>
                {
                    options.UseMvc();

                    options.EnableAuthorizationEndpoint("/connect/authorize")
                           .EnableLogoutEndpoint("/connect/logout")
                           .EnableTokenEndpoint("/connect/token")
                           .EnableUserinfoEndpoint("/api/userinfo");

                    options.RegisterScopes(OpenIdConnectConstants.Scopes.Email,
                                           OpenIdConnectConstants.Scopes.Profile,
                                           OpenIddictConstants.Scopes.Roles);


                    options.AllowAuthorizationCodeFlow();
                    options.EnableRequestCaching();
                    options.DisableHttpsRequirement();
                    options.UseJsonWebTokens();
                    options.AddEphemeralSigningKey();
                });
        }

Поскольку это больше не сервер ресурсов, который я удалилчасти проверки, поскольку я не думаю, что это требуется.И так как я хочу использовать JWT, я удалил комментарии к следующим строкам: 

options.UseJsonWebTokens();
options.AddEphemeralSigningKey();

Конечная точка авторизации возвращает результат входа в систему точно так же, как в примере, который перенаправляет приложение MVC, которое затем выдает файл cookie аутентификации.Теперь я могу получить доступ к защищенным ресурсам на моем приложении MVC.

Запуск приложения MVC 

  public void ConfigureServices(IServiceCollection services)
        {

            services.Configure<PortalDetails>(options => Configuration.GetSection("PortalDetails").Bind(options));

            JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
            JwtSecurityTokenHandler.DefaultOutboundClaimTypeMap.Clear();

            services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme).AddCookie(opts =>
            {
                opts.LoginPath = "/login";
                opts.LogoutPath = "/logout";
            })

            .AddJwtBearer(options =>
            {
                //Authority must be a url. It does not have a default value.
                options.Authority = "http://localhost:54540/";
                options.Audience = "mvc"; //This must be included in ticket creation
                options.RequireHttpsMetadata = false;
                options.IncludeErrorDetails = true; //
                options.TokenValidationParameters = new TokenValidationParameters()
                {
                    NameClaimType = "sub",
                    RoleClaimType = "role"
                };
            })

            .AddOpenIdConnect(options =>
            {
                // Note: these settings must match the application details
                // inserted in the database at the server level.
                options.ClientId = "mvc";
                options.ClientSecret = "901564A5-E7FE-42CB-B10D-61EF6A8F3654";

                options.RequireHttpsMetadata = false;
                options.GetClaimsFromUserInfoEndpoint = false; // TODO: If this if true then it doesnt work??
                options.SaveTokens = true;

                // Use the authorization code flow.
                options.ResponseType = OpenIdConnectResponseType.Code;
                options.AuthenticationMethod = OpenIdConnectRedirectBehavior.RedirectGet;

                // Note: setting the Authority allows the OIDC client middleware to automatically
                // retrieve the identity provider's configuration and spare you from setting
                // the different endpoints URIs or the token validation parameters explicitly.
                options.Authority = "http://localhost:54540/";

                options.Scope.Add("email");
                options.Scope.Add("roles");

                options.SecurityTokenValidator = new JwtSecurityTokenHandler
                {
                    // Disable the built-in JWT claims mapping feature.,
                    InboundClaimTypeMap = new Dictionary<string, string>()
                };

                options.TokenValidationParameters.NameClaimType = "name";
                options.TokenValidationParameters.RoleClaimType = "role";
            });

            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_1);

            services.AddHttpClient<IApiGatewayClient, ApiGatewayClient>();
            services.AddSingleton<ITokenProvider, TokenProvider>();
        }

При вызове сервера ресурсов я использую: 

string accessToken = await HttpContext.GetTokenAsync("access_token");

и вижутокен доступа, я присоединяю его к моему http-запросу:

_httpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue ("Bearer", токен);

, но результат запрещен.

Наконец, у меня есть защищенный сервер ресурсов:

Resource.Startup 

  public void ConfigureServices(IServiceCollection services)
        {
            JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();
            JwtSecurityTokenHandler.DefaultOutboundClaimTypeMap.Clear();
            //Add authentication and set default authentication scheme
            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) //same as "Bearer"
                .AddJwtBearer(options =>
                {
                    //Authority must be a url. It does not have a default value.
                    options.Authority = "http://localhost:54540";
                    options.Audience = "mvc"; //This must be included in ticket creation
                    options.RequireHttpsMetadata = false;
                    options.IncludeErrorDetails = true; //
                    options.TokenValidationParameters = new TokenValidationParameters()
                    {
                        NameClaimType = OpenIdConnectConstants.Claims.Subject,
                        RoleClaimType = OpenIdConnectConstants.Claims.Role,
                    };
                });

            services.AddMvc();
        }

Я хотел бы знать, правильная ли это настройка для моего сценария, поскольку я получаю запрещенныйрезультат от моего сервера ресурсов.

Спасибо

1 Ответ

0 голосов
/ 28 октября 2018

Вот пакет, который

  • делает интеграцию JWT Bearer Token Security в ваше приложение Asp Net Core 2.0+ проще простого!
  • Интеграция аутентификации Azure Active Directory.
  • Интеграция с аутентификацией Facebook.
  • Интеграция с аутентификацией Twitter.
  • Интеграция с аутентификацией Google.
  • Кроме того, интеграция с Swagger UI!

Это называется AspNetCore.Security.Jwt

GitHub:

https://github.com/VeritasSoftware/AspNetCore.Security.Jwt

Пакет включает токен переноса JWT в ваше приложение, как показано ниже:

1.Реализуйте интерфейс IAuthentication в своем приложении 

using AspNetCore.Security.Jwt;
using System.Threading.Tasks;

namespace XXX.API
{
    public class Authenticator : IAuthentication
    {        
        public async Task<bool> IsValidUser(string id, string password)
        {
            //Put your id authenication here.
            return true;
        }
    }
}

2.В вашем Startup.cs 

using AspNetCore.Security.Jwt;
using Swashbuckle.AspNetCore.Swagger;
.
.
public void ConfigureServices(IServiceCollection services)
{
    .
    .
    services.AddSwaggerGen(c =>
    {
        c.SwaggerDoc("v1", new Info { Title = "XXX API", Version = "v1" });
    });

    services.AddSecurity<Authenticator>(this.Configuration, true);
    services.AddMvc().AddSecurity();
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    .
    .
    .
    // Enable middleware to serve swagger-ui (HTML, JS, CSS, etc.), 
    // specifying the Swagger JSON endpoint.
    app.UseSwaggerUI(c =>
    {
        c.SwaggerEndpoint("/swagger/v1/swagger.json", "XXX API V1");
    });

    app.UseSecurity(true);

    app.UseMvc();
}

3.В вашем appsettings.json

Примечание: - Вы можете поместить эти настройки в Secret Manager с помощью меню «Управление секретами пользователя» (щелкните правой кнопкой мыши ваш проект). 

 {
     "SecuritySettings": {
        "Secret": "a secret that needs to be at least 16 characters long",
        "Issuer": "your app",
        "Audience": "the client of your app",
        "IdType":  "Name",
        "TokenExpiryInHours" :  2
    },
    .
    .
    .
}

Тогда вы получите конечные точкиавтоматически:

/ токен

/ facebook

Когда вы вызываете эти конечные точки и успешно аутентифицируетесь, вы получите обратно токен JWT Bearer.

В вашем контроллере, который вы хотите защитить

Вы должны отметить контроллер или действие, которое вы хотите защитить, с помощью атрибута Authorize, например: 

    using Microsoft.AspNetCore.Mvc;
    .
    .
    .

    namespace XXX.API.Controllers
    {
        using Microsoft.AspNetCore.Authorization;

        [Authorize]
        [Route("api/[controller]")]
        public class XXXController : Controller
        {
            .
            .
            .
        }
    }

В интерфейсе Swagger выавтоматически увидит эти конечные точки.

Authentication endpoints

...