ASP.NET Core 和 JSON Web 令牌 - 自定义声明映射

【问题标题】:ASP.NET Core and JSON Web Tokens - Custom claims mappingASP.NET Core 和 JSON Web 令牌 - 自定义声明映射
【发布时间】:2021-09-02 04:09:14
【问题描述】:

ASP.NET Core 有自己的标准声明映射。 Read this 看看这个GitHub repository

我正在使用 Azure AD,NET5。

问题是 unique_name 被映射到 name,如果你真的很幸运,你最终会得到两个名称声明。对我来说,一个是我的全名,一个是我的电子邮件。

处理重复名称声明的代码。

string email = null;
var nameClaims = httpCtx.User
                        .FindAll(x => x.Type.Equals(ClaimTypes.Name))
                        .Where(x => x.Value.Contains("@")).ToList();
if(nameClaims.Any())
{
  email = nameClaims.First().Value;
}

添加授权的代码。

services  
 .AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
 .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>
{
 options.Authority = openIdConnectOptions.Authority;
 options.TokenValidationParameters.ValidIssuer = openIdConnectOptions.ValidIssuer;
 options.TokenValidationParameters.ValidAudiences = openIdConnectOptions.ValidAudiences;
 options.MapInboundClaims = true;
});

如果您设置 MapInboundClaims = false 那么现在将有映射,并且所有声明都将保留名称。 这解决了我的重复名称声明问题,但也打破了角色在 ASP.NET Core 中的映射方式。

我想保留默认映射,并为我知道映射错误的类型添加我自己的映射。 或者删除所有映射并添加缺少的部分以使角色再次起作用。

【问题讨论】:

  • 您可以操作静态的JwtSecurityTokenHandler.DefaultInboundClaimType 字典来自定义默认映射。
  • "[...] 但也打破了角色在 ASP.NET Core 中的映射方式"。这与 ASP.NET Core 无关,但 ClaimsIdentity 默认使用哪个声明来确定用户所属的角色。如果您关闭声明映射,“角色”声明将保持原样,因此您需要指示 JWT 堆栈改为使用该声明。您可以使用options.TokenValidationParameters.RoleClaimType = "role"; 执行此操作。如果名称映射也被破坏,您可以对 NameClaimType 执行相同操作。

标签: asp.net-core azure-active-directory jwt


【解决方案1】:

这就是我最终的结果。 现在声明名称没有变化。角色除外。我需要添加 MS 声明名称才能让角色在我的策略映射中发挥作用。

using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.IdentityModel.Logging;

namespace EmployeeTrading.Server.Extensions
{
    public static partial class ServiceCollectionExtensions
    {
        public static IServiceCollection AddBearerAuthentication(this IServiceCollection services,
            OpenIdConnectOptions openIdConnectOptions)
        {
#if DEBUG
            IdentityModelEventSource.ShowPII = true;
#endif
            // // https://mderriey.com/2019/06/23/where-are-my-jwt-claims/
            // https://github.com/AzureAD/azure-activedirectory-identitymodel-extensions-for-dotnet/blob/a301921ff5904b2fe084c38e41c969f4b2166bcb/src/System.IdentityModel.Tokens.Jwt/ClaimTypeMapping.cs

            services
                .AddAuthentication("Bearer")
                .AddJwtBearer("Bearer", o =>
                {
                    o.Authority = openIdConnectOptions.Authority;
                    o.TokenValidationParameters.ValidIssuer = openIdConnectOptions.ValidIssuer;
                    o.TokenValidationParameters.ValidAudiences = openIdConnectOptions.ValidAudiences;
                    o.MapInboundClaims = false;
                    o.TokenValidationParameters.RoleClaimType = "roles";
                });

            return services;
        }
    }
}

【讨论】:

    猜你喜欢
    • 2018-07-01
    • 2017-09-05
    • 2022-06-30
    • 1970-01-01
    • 2019-03-09
    • 1970-01-01
    • 1970-01-01
    • 2021-10-05
    • 2017-06-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode