Cookie认证下验证JWT

最新推荐文章于 2024-07-16 10:13:23 发布
原创 最新推荐文章于 2024-07-16 10:13:23 发布 · 627 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

ASP.NET Core中的cookies 认证不支持传递jwt。需要自定义实现 ISecureDataFormat接口的类。现在,你只是验证token,不是生成它们,只需要实现Unprotect方法,其他的交给System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler这个类处理。

using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Http.Authentication;
using Microsoft.IdentityModel.Tokens;
 
namespace SimpleTokenProvider
{
    public class CustomJwtDataFormat : ISecureDataFormat<AuthenticationTicket>
    {
        private readonly string algorithm;
        private readonly TokenValidationParameters validationParameters;
 
        public CustomJwtDataFormat(string algorithm, TokenValidationParameters validationParameters)
        {
            this.algorithm = algorithm;
            this.validationParameters = validationParameters;
        }
 
        public AuthenticationTicket Unprotect(string protectedText)
            => Unprotect(protectedText, null);
 
        public AuthenticationTicket Unprotect(string protectedText, string purpose)
        {
            var handler = new JwtSecurityTokenHandler();
            ClaimsPrincipal principal = null;
            SecurityToken validToken = null;
 
            try
            {
                principal = handler.ValidateToken(protectedText, this.validationParameters, out validToken);
 
                var validJwt = validToken as JwtSecurityToken;
 
                if (validJwt == null)
                {
                    throw new ArgumentException("Invalid JWT");
                }
 
                if (!validJwt.Header.Alg.Equals(algorithm, StringComparison.Ordinal))
                {
                    throw new ArgumentException($"Algorithm must be '{algorithm}'");
                }
 
                // Additional custom validation of JWT claims here (if any)
            }
            catch (SecurityTokenValidationException)
            {
                return null;
            }
            catch (ArgumentException)
            {
                return null;
            }
 
            // Validation passed. Return a valid AuthenticationTicket:
            return new AuthenticationTicket(principal, new AuthenticationProperties(), "Cookie");
        }
 
        // This ISecureDataFormat implementation is decode-only
        public string Protect(AuthenticationTicket data)
        {
            throw new NotImplementedException();
        }
 
        public string Protect(AuthenticationTicket data, string purpose)
        {
            throw new NotImplementedException();
        }
    }
}

 在startup.cs中调用

var tokenValidationParameters = new TokenValidationParameters
{
    // The signing key must match!
    ValidateIssuerSigningKey = true,
    IssuerSigningKey = signingKey,
 
    // Validate the JWT Issuer (iss) claim
    ValidateIssuer = true,
    ValidIssuer = "ExampleIssuer",
 
    // Validate the JWT Audience (aud) claim
    ValidateAudience = true,
    ValidAudience = "ExampleAudience",
 
    // Validate the token expiry
    ValidateLifetime = true,
 
    // If you want to allow a certain amount of clock drift, set that here:
    ClockSkew = TimeSpan.Zero
};
 
app.UseCookieAuthentication(new CookieAuthenticationOptions
{
    AutomaticAuthenticate = true,
    AutomaticChallenge = true,
    AuthenticationScheme = "Cookie",
    CookieName = "access_token",
    TicketDataFormat = new CustomJwtDataFormat(
        SecurityAlgorithms.HmacSha256,
        tokenValidationParameters)
});

 如果请求中包含名为access_token的cookie验证为合法的JWT,这个请求就能返回正确的结果,如果需要,你可以加上额外的jwt chaims,或者复制jwt chaims到ClaimsPrincipal在CustomJwtDataFormat.Unprotect方法中,上面是验证token,下面将在asp.net core中生成token。

https://www.cnblogs.com/indexlang/p/indexlang.html

asp.core 同时兼容JWT身份验证Cookies 身份验证两种模式
虚幻私塾
02-14 462
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 在实际使用中,可能会遇到,aspi接口验证和view页面的登录验证情况。asp.core 同样支持两种兼容。 首先在startup.cs 启用身份验证。 var secrityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBy
react jwt_React身份验证:如何在Cookie中存储JWT
weixin_26722031的博客
08-31 1965
react jwt 重点 (Top highlight)???? Say hi to me on Twitter! ????在 Twitter上 对我问好 ! If you have a React app that needs to access data, perhaps your setup looks like this: 如果您有一个需要访问数据的React应用,则您的设置可能如下所示: If ...
基于cookie的简单鉴权与JWT鉴权
reee112的博客
05-06 1175
1.基于cookie的简单登录校验 cookie鉴权在本文没有做token的加密,通过token/用户信息json键值对的方式存入redis,这样避免了session共享的问题,由于本文实现上省略了token加密,不能从cookie里解密拿到用户信息,再加上cookie有被伪造的风险,所以安全性较低. 有token加密的实现在本文JWT里有做 1.1 用户登录controler @Ap...
jwt+cookie 实现sso
wangjianwangzhefeng的博客
04-22 1263
看图理解JWT如何用于单点登录 阅读目录 前言 方案介绍 方案总结 本文小结 单点登录是我比较喜欢的一个技术解决方案,一方面他能够提高产品使用的便利性,另一方面他分离了各个应用都需要的登录服务,对性能以及工作量都有好处。自从上次研究过JWT如何应用于会话管理,加之以前的项目中也一直在使用CAS这个比较流行的单点登录框架,所以就一直在琢磨如何能够把JWT跟单点登录结合起来一起使用,尽量能把两种技术的...
cookie中的JWT身份验证
08-16
使用Postgresql+EF,.Net Core webapi中实现在Cookie验证JWT,并且附有自定义权限策略
【 Web认证Cookie、Session 与 JWT Token:Web 认证机制的原理、实现与对比文章源码
最新发布
11-28
在众多Web认证机制中,Cookie、Session以及JWT(JSON Web Tokens)是三种常见的技术实现方式,它们各自有独特的原理和实现方法,同时也有各自的优缺点。 Cookie是一种客户端技术,通常由服务器生成并发送给浏览器,...
Cookie & Session & JWT认证 & Filter & Interceptor
aDreamerOutOfTheSky的博客
04-10 961
Cookie Session JWT Filter Interceptor
Cookie、Session、JWT令牌技术、JwtUtils工具类
2301_77358195的博客
03-26 1696
这篇文章将带你彻底理解会话跟踪方案的三种技术,分别是Cookie、Session、令牌技术, 揭示它们的原理以及对各个技术进行通俗化,让你更好的了解,它们的交互过程 ! ! !
登陆验证发展史(cookie认证->session认证->token认证->JWT,单系统登陆->多系统单点登陆)
白白胖胖充满希望
01-27 1569
登陆验证发展史有两条主线。在服务部署方式层面,早期的Web服务系统简单一般都是单系统,登陆的话就登陆这一个系统就好了,随着系统复杂性越来越高,一个大的系统往往由很多子系统组成,用户使用这个大系统时不可能一个一个地单独去登陆每个小系统,理想的是只要登陆上了这个大系统或者其中的一个小系统,其它所有小系统都不需要再输密码什么的登陆了,直接访问,所以登陆验证就从单系统登陆演进为多系统的单点登陆。而在验证方式层面,经历了cookie认证->session认证->token认证->JWT的发展史。
Spring Security + JWT 实现基于token的登录验证
weixin_41037842的博客
04-11 3364
一、JWT JWT:json web token,是目前最流行的一个跨域认证解决方案:客户端发起用户登录请求,服务器端接收并认证成功后,生成一个 JSON 对象,然后将其返回给客户端。 基于spring security实现登录认证 基础配置 /** * @Description 安全配置 * @Date * */ @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public
Microsoft.AspNetCore.Authentication.Cookies从入门到精通 (二)
weixin_30906701的博客
09-27 413
目录 Microsoft.AspNetCore.Authentication.Cookies从入门到精通 (二) Cookie加密 Cookie伪加密(序列化/反序列化) 减少Cookie中Value的大小 自定义Cookie管理功能 总结 未完待续...
【OAuth】WebApi基于OWIN的JWT Token使用解疑附带Access_token
weixin_33726318的博客
03-26 1640
2019独角兽企业重金招聘Python工程师标准>>> ...
AspNetCore3.0 和 JWT
weixin_30414305的博客
09-21 3341
添加NuGet引用 IdentityModel Microsoft.AspNetCore.Authorization.JwtBearer 在appsettings.json中添加JwtBearer配置 "Authentication": { "JwtBearer": { "IsEnabled": "true", "SecurityKey": "JWTStu...
Asp.Net Core 2.0 之旅--使用JWT做登录认证授权
huanghuangtongxue的博客
01-17 5689
JWT(JSON Web Token)是目前比较流行的跨域身份认证解决方案,关于jwt原理在这里不做详细说明了,网上的介绍非常多,这里我只演示如何在.net core 2.0 中如何使用它。 1、在nuget中搜索JWT,并将其安装在你需要的程序集中。 2、在Startup类中的ConfigureServices方法中配置JWT services.AddAuth...
.NET core JWT身份认证实现
lwpoor123的博客
12-15 2414
首先我们知道jwt中一定会有的字段有Issuer,Audience,另外jwt有过期时间,所以要有代表生命周期的Lifetime,表示续期的RenewalTime,然后是头字段,是否验证失效时间,是否验证签名等,于是就有了如下结构. JwtConfig.cs在Hero.Jwt中定义一个叫做JwtConfig的类,表示针对jwt的所有配置信息,ciset;set;/// 签名keyset;/// 生命周期set;/// 续期时间set;/// 是否验证生命周期set;/// 验证头字段set;
token过期与使用步骤
qq_29581829的博客
11-08 1147
笔记
.net MVC下鉴权认证(三)
飞翔的学习笔记
07-31 1265
.net core jwt 下鉴权认证
.Net Core官方JWT要如何授权验证,一起看看吧
weixin_56168069的博客
04-02 767
今天主要介绍关于.Net Core官方JWT要如何授权验证,文中经过示例代码介绍的非常详细,对我们的学习或许作业具有一定的参考学习价值,有需求的朋友们下面跟着小编来看看 目录 什么是JWT? 什么时候应该运用JWTJWT结构是什么? 如何运用JWT .net core的JWT验证授权 进阶 总结 什么是JWT? JSON Web令牌(JWT)是一个敞开标准(RFC 7519),它界说了一种紧凑且自包括的办法,用于在各方之间安全地传输信息作为JSON目标。由于此信息是经过数字签名的,因而能够被验证和信赖。
.Net Core5 JWT的使用
m0_57423952的博客
07-16 316
首先需要在Startup.cs文件中的ConfigureServices方法中添加的代码有。如果代码中的有报错的地方是需要引用一个NuGet包:IdentityModel。大致是这些代码放到项目中如果有报错信息再去具体解决安装需要的NuGet包。然后在appsettings.json中加入以下配置。接着在Configure方法中开启两个中间件。去使用一个简单的登录去测试JWT是否可以生成。最后就可以生成Token了。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值