Аутентификация токена JWT - все правильно - PullRequest
Новая
       6

Аутентификация токена JWT - все правильно

0 голосов
/ 02 июня 2018

Обзор структуры моего проекта:

У меня есть 2 проекта.

  1. Ядро Asp.net Web Api
  2. Asp.netCore Web MVC

В проекте Web Api

  • Я НЕ использую идентификацию ядра Asp.net для входа, вместо этого яиспользуя мой собственный механизм входа в систему.
  • LoginAction метод аутентифицирует пользователя в базе данных и генерирует токен JWT.
  • Мне удалось сгенерировать токен JWT, и жизнь до этого момента была гладкой.

Создать токен 

        [AllowAnonymous]
        [Route("requesttoken")]
        [HttpPost]
        public async Task<IActionResult> RequestToken([FromBody] TokenRequest request)
        {        
            var result = await IsValidUser(request);
            if(result)
            {
                var claims = new[]
                {
                    new Claim(ClaimTypes.Name, request.Email)
                };

                var key = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(_myAppSettings.SecurityKey));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

                var token = new JwtSecurityToken(
                    issuer: _myAppSettings.WebsiteName.ToLower(),
                    audience: _myAppSettings.WebsiteName.ToLower(),
                    claims: claims,
                    notBefore: Utilities.GetEST_DateTimeNow(),
                    expires: Utilities.GetEST_DateTimeNow().AddMinutes(5),                    
                    signingCredentials: creds);

                return Ok(new
                {
                    token = new JwtSecurityTokenHandler().WriteToken(token)
                });
            }
            else
            {
                return Unauthorized();
            }
        }

Внутри класса запуска 

// This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            services.Configure<MyAppSettings>(Configuration.GetSection("MyAppSettings"));

            #region Validate JWT Token
            ConfigureJwtAuthService(services, Configuration);
            #endregion

            services.AddMvc();
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }

            app.UseAuthentication();

            app.UseMvc();
        }

Часть проверки JWT (как класс частичного запуска) 

public void ConfigureJwtAuthService(IServiceCollection services, IConfiguration configuration)
        {
            var symmetricKeyAsBase64 = configuration["MyAppSettings:SecurityKey"];
            var keyByteArray = Encoding.ASCII.GetBytes(symmetricKeyAsBase64);
            var signingKey = new SymmetricSecurityKey(keyByteArray);

            var tokenValidationParameters = new TokenValidationParameters
            {
                // The signing key must match!
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = signingKey,

                // Validate the JWT Issuer (iss) claim
                ValidateIssuer = true,
                ValidIssuer = Configuration["MyAppSettings:WebsiteName"].ToLower(),

                // Validate the JWT Audience (aud) claim
                ValidateAudience = true,
                ValidAudience = Configuration["MyAppSettings:WebsiteName"].ToLower(),

                // Validate the token expiry
                ValidateLifetime = true,

                ClockSkew = TimeSpan.Zero
            };

            services.AddAuthentication(
            options =>
            {
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(o => o.TokenValidationParameters = tokenValidationParameters);
        }

Пример ответа метода LoginAction. { "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkrDtGhuIETDs8OoIiwiYWRtaW4iOnRydWV9.469tBeJmYLERjlKi9u6gylb-2NsjHLC_6kZNdtoOGsA" }

В веб-проекте MVC

  • Я использую веб-интерфейс Api и передаю параметры входа в систему и смог получить ответ токена JWT.
  • Я храню ответ токена JWT в файле cookie [Вручную - _httpContextAccessor.HttpContext.Response.Cookies.Append(key, jwtTokenValue, option);]
  • На основеПолучен ответ токена JWT, я пытаюсь извлечь утверждения из этого токена JWT, чтобы я мог создать действительную личность пользователя и логина в Интернете.

Я пытаюсь добиться чего-то вродениже: 

            {
                var claims = new List<Claim>
                {
                    new Claim(ClaimTypes.Name, model.Email)
                };
                var userIdentity = new ClaimsIdentity(claims, "login");
                ClaimsPrincipal principal = new ClaimsPrincipal(userIdentity);
                await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, principal);
                return RedirectToLocal(returnUrl);
            }

Вопросы

  1. Правильно ли я делаю, храня токен JWT впеченье.Является ли мой ручной подход к хранению cookie-файлов правильным или есть какой-то лучший способ?
  2. Как получить претензии от JWT в веб-проекте, чтобы я мог подписать пользователя с помощью cookie-файла?

Хотите сделать все правильно, любая помощь будет принята с благодарностью.

1 Ответ

0 голосов
/ 02 июня 2018

Мне, кажется, помогло следующее: http://blogs.quovantis.com/json-web-token-jwt-with-web-api/ не уверен, что это правильный путь или нет. 

/// Using the same key used for signing token, user payload is generated back
        public JwtSecurityToken GenerateUserClaimFromJWT(string authToken)
        {

            var tokenValidationParameters = new TokenValidationParameters()
            {
                ValidAudiences = new string[]
                      {
                    "http://www.example.com",
                      },

                ValidIssuers = new string[]
                  {
                      "self",
                  },
                IssuerSigningKey = signingKey
            };
            var tokenHandler = new JwtSecurityTokenHandler();

            SecurityToken validatedToken;

            try {

              tokenHandler.ValidateToken(authToken,tokenValidationParameters, out validatedToken);
            }
            catch (Exception)
            {
                return null;

            }

            return validatedToken as JwtSecurityToken;

        }
Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...