我的 .Net Core 3.1 Web API 服务可以使用两种不同类型的 JWT 进行身份验证。
我的控制器的服务操作有时需要一个或两个都存在。有时任何人都可以调用它们(没有任何 JWT)。
我可以看到我可以应用于我的控制器中的服务操作的唯一属性是Authorize 属性。我已经研究过使用该属性(或自定义属性),但我遇到了问题。
Authorize 属性似乎无法更改返回的 HTTP 状态码。就我而言,如果在没有有效 JWT 的情况下调用我的服务,我需要返回 401 Http 状态码。
如何有条件地要求我的控制器中的服务操作要求身份验证并返回 401?
【问题讨论】:
标签: security asp.net-core authentication asp.net-core-webapi asp.net-core-3.1
这有点奇怪,因为使用 Authorize 属性的授权失败返回的默认状态码是 401。它返回的状态码是什么?
对于处理多个 JWT 令牌,您可能需要查看此答案:Use multiple JWT Bearer Authentication
基本上,您正在设置多个身份验证方案并在设置中多次使用 AddJwtBearer。然后,您可以创建多个 Auth 策略来涵盖每种需求组合,一个仅用于第一个 JWT,一个用于第二个 JWT,一个用于同时需要两者时(总共 3 个)。然后只需将[Authorize(Policy = "PolicyName")] 属性添加到您要保护的每个端点,具体取决于该端点的要求(一个或两个令牌)。对于不需要令牌的端点,只需将其更改为 [AllowAnonymous] 属性即可。
【讨论】:
[Authorize(Policy = "PolicyName")] 会阻止调用,但返回的状态码是 200(OK)。我已经尝试了所有我能想到的将代码更改为其他内容的方法,但无论我在哪里更改它,它总是返回 200。
OnChallenge 事件中将 Status 设置为 401,我尝试将其设置为自定义属性,并且我已将其设置在自定义中间件中。无论我在哪里将其设置为 401,我总是把 200 送回去。)