在不使用 Authorize 属性时验证来自 ASP.NET Core 控制器的 jwt 令牌

Question

我的客户正在发送带有一些请求的 jwt 令牌。几乎所有请求都在使用 [Authorize] 属性的 Web api 控制器。有了这个，我确信我的 jwt 令牌得到了正确的验证，但对于某些端点来说，真的只是想获取 JWT 令牌并获取子值。我通过使用这种扩展方法来做到这一点：

public static class HttpContextAccessorExtensions
{
    public static string GetUserIdFromToken(this IHttpContextAccessor httpContextAccessor)
    {
        if (httpContextAccessor == null)
        {
            throw new ArgumentNullException(nameof(httpContextAccessor));
        }

        var context = httpContextAccessor.HttpContext;

        string userId = null;
        if (httpContextAccessor != null)
        {
            if (context != null)
            {
                var request = context.Request;
                if (request != null)
                {
                    request.Headers.TryGetValue("Authorization", out var bearer);

                    if (bearer.Any())
                    {
                        string t = bearer[0].Split(" ")[1];
                        var handler = new JwtSecurityTokenHandler();
                        var token = handler.ReadToken(t) as JwtSecurityToken;

                        var utcNow = DateTime.UtcNow;

                        if (utcNow >= token.ValidFrom &&
                            utcNow <= token.ValidTo)
                        {
                            userId = token.Claims.FirstOrDefault(_ => _.Type.Equals("sub")).Value;
                        }
                        else
                        {
                            userId = String.Empty;
                        }
                    }
                }
            }
        }

        return userId;
    }
}

我唯一的问题是 jwt 令牌没有经过验证，所以我猜测“坏人”可能只是与有效的日期时间混在一起，并继续延长令牌的生命周期。如果我在这方面错了，请纠正我。

我想知道的是：有没有办法让我验证令牌？我知道 JwtSecurityTokenHandler 可以调用“ValidateToken”，但是这个方法需要一个签名密钥，我真的不知道如何得到这个。我使用 IdentityServer 4 来生成令牌。是否有一些简单的方法可以将密钥注入 IoC 以便我可以获取它，或者是否有一种简单的方法可以验证令牌，但我不知道？

感谢任何帮助

Answer 1

由于您的访问令牌是由 IdentityServer4 生成的，因此您应该使用 IS4 Introspection Endpoint 对其进行验证。这将为您提供关于它是否有效以及它是否仍然有效的明确答案。

有关 Introspection Endpoint 的信息位于 IS4 文档中： http://docs.identityserver.io/en/latest/endpoints/introspection.html

正如那些文档中所引用的，与端点交互的最简单方法可能是使用 IdentityModel 客户端库（通过 NuGet 添加包），它将 IntrospectTokenAsync() 扩展方法添加到 HttpClient 并返回一个 TokenIntrospectionResponse 对象，该对象具有您需要的信息。

IdentityModel 客户端自省端点文档： https://identitymodel.readthedocs.io/en/latest/client/introspection.html

Answer 2

在您的控制器中，您可以这样做：

if(HttpContext.User.Identity.IsAuthenticated)          
{              
    var claims = HttpContext.User.Claims;          
}

您可以检查声明中是否有任何感兴趣的信息。 无论是否应用了 Authorize 属性，该经过身份验证的用户身份都已经过验证并且可用。如果用户的 cookie 已过期等将返回 false。 .

Answer 3

我想知道的是：有没有办法让我验证令牌？我知道 JwtSecurityTokenHandler 可以调用“ValidateToken”，但是这个方法需要一个签名密钥，我真的不知道如何得到这个。我使用 IdentityServer 4 来生成令牌。

验证 Identity Server 颁发的 JWT 令牌时（使用密钥对颁发/验证令牌），特定于验证签名。 API/资源服务器将下拉（并可能缓存）位于 OIDC 端点的身份提供者发现文档：https://xxx/.well-known/openid-configuration。本文档包含允许资源服务器验证令牌、从jwks_uri 读取可用密钥的材料。

使用密钥对意味着由 IDS4 使用私钥签名的 JWT 令牌。 JWT 令牌是未加密的数字签名 JSON 有效负载，其中包含不同的属性（声明）以识别用户/角色。签名是 JWT 的最后一部分，需要用于验证有效负载。此签名是使用标头中描述的算法（例如 RS256）生成的，以防止未经授权的访问。在您的 api 中，您可以使用 IDS4(jwks_uri) 发布的公钥来验证 JWT 令牌的签名。 JWT token 详情请参考this document。

您可以使用JwtBearerAuthentication 中间件或IdentityServer.AccessTokenValidation 中间件来帮助完成该过程。代码示例here 供您参考。如果要手动验证 JWT 令牌。点击here获取代码示例。

我唯一的问题是 jwt 令牌没有经过验证，所以我猜测“坏人”可能只是与有效的日期时间混在一起，并继续延长令牌的生命周期。

不建议不验证就使用token。由于 JWT 令牌的签名部分是加密/编码使用（header+payload），即使有人更改了声明（过期时间），它也不会通过验证，因为他不知道 Identity Server 的私钥来发出正确的签名.