具有 jwt 令牌和身份的 asp core 2 中基于角色的授权

【问题标题】:Role based authorization in asp core 2 with jwt tokens and identity具有 jwt 令牌和身份的 asp core 2 中基于角色的授权
【发布时间】:2023-03-22 15:02:01
【问题描述】:

我在 asp core 2 中尝试了一些带有 jwt 令牌和 asp 核心身份的授权示例。我已按照此代码https://github.com/SunilAnthony/SimpleSecureAPI 进行操作,并且工作正常。

问题在于基于角色的授权。我试过这样的事情: http://www.jerriepelser.com/blog/using-roles-with-the-jwt-middleware/

结果很奇怪。 我的控制器方法:

[HttpGet]
[Authorize]
public IActionResult Get()
{
    IEnumerable<Claim> claims = User.Claims; // contains claim with Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/role" and Value = "Administrator"
    bool role = User.IsInRole("Administrator"); // true
    bool claim = User.HasClaim(ClaimTypes.Role, "Administrator"); // true

    return Ok(claims);
}

当我仅使用属性 [Authorize] 调用此端点并检查当前用户的代码中的角色/声明时,它看起来不错(两项检查都是正确的),但是当我将授权属性更改为 [Authorize(Roles = "Administrator")] 时,它不起作用-> 当我用这个属性调用这个端点时,我会收到 404。我不知道问题出在哪里。我的启动类与上面的 git 链接完全相同,我刚刚在 access_token 的有效负载中添加了字符串角色名称列表,然后是“角色”数组:

它是硬编码的,但我已经更改了我的登录方法,只是为了进行这样的测试:

[HttpPost("login")]
public async Task<IActionResult> SignIn([FromBody] Credentials Credentials)
{
    if (ModelState.IsValid)
    {
        var result = await _signInManager.PasswordSignInAsync(Credentials.Email, Credentials.Password, false, false);
        if (result.Succeeded)
        {
            IdentityUser user = await _userManager.FindByEmailAsync(Credentials.Email);

            List<string> roles = new List<string>();
            roles.Add("Administrator");

            return new JsonResult(new Dictionary<string, object>
                {
                    { "access_token", GetAccessToken(Credentials.Email, roles) },
                    { "username", user.Email },
                    { "expired_on", DateTime.UtcNow.AddMinutes(_tokenLength) },
                    { "id_token", GetIdToken(user) }
                });
        }
        return new JsonResult("Unable to sign in") { StatusCode = 401 };
    }
    return new JsonResult("Unable to sign in") { StatusCode = 401 };
}

还有GetAccessTokenMethod

private string GetAccessToken(string Email, List<string> roles)
{
  var payload = new Dictionary<string, object>
  {
    { "sub", Email },
    { "email", Email },
    { "roles", roles },
  };
  return GetToken(payload);
}

[Authorize(Roles = "Administrator")] 属性的问题在哪里?

【问题讨论】:

  • 您是否检查过端点是否真的在返回重定向?您的授权检查似乎失败,然后可能试图将您重定向到丢失的登录页面。
  • 问题不是 404(是的,我没有登录页面),而是我的用户具有角色/声明“管理员”但我不知道如何配置角色的情况基于使用属性 [Authorize(Roles = "Administrator")] 的授权。目前,即使他有这个角色,同一个用户也会得到 404。类似的问题在这里描述了stackoverflow.com/questions/45915929/…

标签: c# asp.net-core authorization jwt asp.net-core-identity


【解决方案1】:

问题在于声明的类型:

http://schemas.microsoft.com/ws/2008/06/identity/claims/role

不知何故,[Authorize] 属性在与Roles 值一起使用时无法正常工作。 所以这个[Authorize(Roles = "Administartor")] 不起作用。 您必须通过对 Startup 类应用转换将声明类型仅映射到 role

如果您有一个基于 Owin 的项目:

app.UseClaimsTransformation(incoming =>
            {
                // either add claims to incoming, or create new principal
                var appPrincipal = new ClaimsPrincipal(incoming);
                if (appPrincipal.HasClaim(x => x.Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/role"))
                {
                    var value = appPrincipal.Claims.First(x =>
                        x.Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/role").Value;

                    incoming.Identities.First().AddClaim(new Claim("role", value));
                }                

                return Task.FromResult(appPrincipal);
            });

【讨论】:

    猜你喜欢
    • 2018-12-25
    • 2016-11-18
    • 2019-01-11
    • 2017-12-14
    • 2018-04-17
    • 2019-05-27
    • 2021-03-25
    • 2014-07-27
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode