ASP.NET core 3 使用 jwt 自定义身份验证

【问题标题】:ASP.NET core 3 Customized authentication with jwtASP.NET core 3 使用 jwt 自定义身份验证
【发布时间】:2020-05-20 11:31:09
【问题描述】:

我在我的项目中使用 jwt 令牌。当客户端登录时,他将收到一个带有他的设备 ID(在移动设备中)的令牌——该令牌已在请求正文中发送到服务器——作为有效负载......

我想要做的事情是当客户端在正文中发送他的设备 ID(作为我的项目中的约定)以及标头请求中的令牌时进一步请求,我想检查设备 ID 和令牌的有效负载是否相等。

我在这样的服务中做到了这一点:

public class AuthenticationService
{
    public bool IsAuthenticated(HttpRequest req, string deviceId)
    {


        var token = req.Headers["authorization"];
        var handler = new JwtSecurityTokenHandler();

        JwtSecurityToken tokenS;  

        foreach (var stringValue in token)
        {
            var ss = stringValue.Replace("Bearer ", "");
            if (handler.CanReadToken(ss))
            {
                tokenS = handler.ReadToken(ss) as JwtSecurityToken;
                return tokenS.Claims.Any(c => c.Value == deviceId);

            }
        }

        return false;
    }
}

我应该将它注入到我想要授权用户的每个控制器中......

if (_authenticationService.IsAuthenticated(Request, deviceId))
        {
            _logger.LogInformation("authorized!");
        }
        else
        {
            _logger.LogCritical("unauthorized");
        }

我想知道是否有更清洁的方法可以做到这一点? 配置身份验证时在 Startup 类中要做的事情:

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
            .AddJwtBearer(options =>
            {
                options.TokenValidationParameters = new TokenValidationParameters()
                {
                    ValidateIssuerSigningKey = true,
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(
                        Configuration.GetSection("AppSettings:Token").Value)),
                    ValidateIssuer = false,
                    ValidateAudience = false,

                };
            });

【问题讨论】:

  • 您可以使用由所有其他控制器继承的Base Controller,然后覆盖OnActionExecuting 以在处理请求之前验证用户。这将减少样板代码。
  • 为什么不在请求管道中进行,每个控制器都安装...

标签: asp.net authentication jwt asp.net-core-webapi


【解决方案1】:

AddJwtBearer 扩展将 token 中的声明映射到用户的 cliams ,您可以通过(如果 cliam 类型为 deviceId)获取设备 ID:

var deviceID= context.HttpContext.User.Claims.Where(x => x.Type == "deviceId").FirstOrDefault().Value;

然后您可以使用过滤器或中间件读取请求正文并将请求正文中的设备 ID 与用户声明中的设备 ID 进行比较。例如,如果使用过滤器:

public class CustomActionFilter : ActionFilterAttribute
{
    public override async void OnActionExecuting(ActionExecutingContext context)
    {

        if (context.HttpContext.User.Identity.IsAuthenticated) { 

        //read request body 
        var bodyStr = "";
        var req = context.HttpContext.Request;
        req.EnableBuffering();
        req.Body.Position = 0;
        using (var stream = new StreamReader(req.Body))
        {
            bodyStr = await stream.ReadToEndAsync();
        }

        // here you get device ID from bodyStr ,for example : deviceIDFromReq

        var deviceID= context.HttpContext.User.Claims.Where(x => x.Type == "deviceId").FirstOrDefault().Value;

        // then compare 

        if (deviceIDFromReq.Equals(deviceID))
        {
            context.Result = new BadRequestObjectResult(new
            {
                status = "error",
                description = "deviceID not matched"
            });
        }
        }
        base.OnActionExecuting(context);
    }
}

注册为全局过滤器:

services.AddControllers(config =>
{
    config.Filters.Add<CustomActionFilter>();

});

【讨论】:

  • 这取决于您如何在请求中发送设备ID,将检查点放在bodyStr 上进行确认,使用字符串溢出或json.net 将json 字符串转换为对象。喜欢herehere
猜你喜欢
  • 2021-04-20
  • 2020-07-26
  • 2020-11-04
  • 2019-09-06
  • 2017-02-15
  • 2018-02-24
  • 2018-09-02
  • 2016-07-05
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode