我正在尝试使 .NET 5 Web Api 与 Jwt Bearer 令牌一起使用。我希望通过使用来自另一个发行者的令牌来保护某些操作。令牌将由 MS Azure AD 生成。应用程序将从请求标头中读取令牌,对其进行验证并提取用户角色以进行更多验证。应用程序不应该是令牌的发行者。
这可能吗?我尝试了很多方法来使这项工作没有成功。我将 Swagger 设置为将 OpenId Connect 与 Microsoft Azure 一起使用,然后使用承载来调用安全操作,但总是出错。现在我不明白 Dotnet Core 身份验证和授权是如何工作的。
提前致谢!
【问题讨论】:
标签: jwt openid-connect .net-5 bearer-token
这肯定行得通,但需要了解科学:
AZURE 广告令牌
我首先会在在线查看器中查看 JWT。默认设置存在一个已知问题,您会获得无法验证的 JWT 访问令牌。详情请见Step 3 of my blog post。
了解原则
验证 JWT 涉及this blog post 中的一般步骤。一旦您了解这一点,它有望解除对您的阻止。
API 中的 C# JWT 访问令牌验证
Microsoft 框架通常会隐藏所需的逻辑,这并不总是有帮助,我更喜欢的选项是通过库来验证 JWT。
旨在了解如何使用 JwtSecurityTokenHandler 类手动验证 JWT,例如在控制台应用程序中。或许可以借鉴this C# code of mine的一些想法。
C# 授权
一旦 JWT 验证工作,下一步就是使用 ClaimsPrincipal 中的详细信息来确定是否允许访问数据。不过,我会先了解 JWT 验证。
【讨论】: