ASP.NET Core中基于令牌的身份验证

161

我正在使用ASP.NET Core应用程序。我正在尝试实施基于令牌的身份验证，但无法弄清楚如何为我的案例使用新的安全系统。我查看了一些示例，但是它们并没有太大帮助，它们使用cookie身份验证或外部身份验证（GitHub，Microsoft，Twitter）。

我的情况是：angularjs应用程序应请求/token传递用户名和密码的url。WebApi应该授权用户并返回access_token，它将在以下请求中由angularjs应用程序使用。

我找到了一篇很棒的文章，内容涉及在ASP.NET的当前版本中完全实现所需的内容- 使用ASP.NET Web API 2，Owin和Identity的基于令牌的身份验证。但是对我来说，如何在ASP.NET Core中执行相同的操作并不明显。

我的问题是：如何配置ASP.NET Core WebApi应用程序以与基于令牌的身份验证一起使用？

— 格兰特
source

我遇到了同样的问题，我正打算自己做所有事情，仅供参考，还有另一个问题 stackoverflow.com/questions/29055477 / ...但还没有答案，让我们看看发生了什么

— Son_of_Sam 2015年

stackoverflow.com/a/29144031/1659846

— Andrei Neculai 2015年

我也面临着同样的问题，但找不到解决方案...我需要使用另一个服务对我的令牌进行身份验证来编写自定义身份验证。

— Mayank Gupta，

137

.Net Core 3.1更新：

David Fowler（ASP .NET Core团队的架构师）汇集了一组非常简单的任务应用程序，其中包括演示JWT的简单应用程序。我很快将把他的更新和简单化的风格纳入本文。

为.Net Core 2更新：

此答案的先前版本使用RSA；如果生成令牌的相同代码也正在验证令牌，则实际上是没有必要的。但是，如果您要分配职责，则可能仍想使用的实例来执行此操作Microsoft.IdentityModel.Tokens.RsaSecurityKey。

创建一些常量，稍后我们将使用它；这是我做的：

const string TokenAudience = "Myself";
const string TokenIssuer = "MyProject";

将此添加到您的Startup.cs的中ConfigureServices。稍后我们将使用依赖项注入来访问这些设置。我假设您authenticationConfiguration是一个ConfigurationSection或Configuration对象，以便可以为调试和生产使用不同的配置。确保您安全地存储密钥！它可以是任何字符串。

var keySecret = authenticationConfiguration["JwtSigningKey"];
var symmetricKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(keySecret));

services.AddTransient(_ => new JwtSignInHandler(symmetricKey));

services.AddAuthentication(options =>
{
    // This causes the default authentication scheme to be JWT.
    // Without this, the Authorization header is not checked and
    // you'll get no results. However, this also means that if
    // you're already using cookies in your app, they won't be 
    // checked by default.
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
})
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters.ValidateIssuerSigningKey = true;
        options.TokenValidationParameters.IssuerSigningKey = symmetricKey;
        options.TokenValidationParameters.ValidAudience = JwtSignInHandler.TokenAudience;
        options.TokenValidationParameters.ValidIssuer = JwtSignInHandler.TokenIssuer;
    });

我已经看到其他答案会更改其他设置，例如ClockSkew；设置了默认值，使其适用于时钟不完全同步的分布式环境。这些是您唯一需要更改的设置。

设置身份验证。在需要您的User信息的任何中间件之前，您应该有此行app.UseMvc()。
```
app.UseAuthentication();
```
请注意，这不会导致您的令牌与SignInManager或其他任何东西一起发出。您将需要提供自己的输出JWT的机制-参见下文。

您可能需要指定一个AuthorizationPolicy。这将允许您使用来指定仅允许Bearer令牌作为身份验证的控制器和操作[Authorize("Bearer")]。

services.AddAuthorization(auth =>
{
    auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
        .AddAuthenticationTypes(JwtBearerDefaults.AuthenticationType)
        .RequireAuthenticatedUser().Build());
});

这是棘手的部分：构建令牌。

class JwtSignInHandler
{
    public const string TokenAudience = "Myself";
    public const string TokenIssuer = "MyProject";
    private readonly SymmetricSecurityKey key;

    public JwtSignInHandler(SymmetricSecurityKey symmetricKey)
    {
        this.key = symmetricKey;
    }

    public string BuildJwt(ClaimsPrincipal principal)
    {
        var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

        var token = new JwtSecurityToken(
            issuer: TokenIssuer,
            audience: TokenAudience,
            claims: principal.Claims,
            expires: DateTime.Now.AddMinutes(20),
            signingCredentials: creds
        );

        return new JwtSecurityTokenHandler().WriteToken(token);
    }
}

然后，在需要令牌的控制器中，如下所示：

[HttpPost]
public string AnonymousSignIn([FromServices] JwtSignInHandler tokenFactory)
{
    var principal = new System.Security.Claims.ClaimsPrincipal(new[]
    {
        new System.Security.Claims.ClaimsIdentity(new[]
        {
            new System.Security.Claims.Claim(System.Security.Claims.ClaimTypes.Name, "Demo User")
        })
    });
    return tokenFactory.BuildJwt(principal);
}

在这里，我假设您已经有一个校长。如果您使用的是Identity，则可以使用IUserClaimsPrincipalFactory<>将转换User为ClaimsPrincipal。

为了测试它：获取一个道理，把它变成在形式jwt.io。我上面提供的说明还允许您使用配置中的密码来验证签名！
如果要在HTML页面的部分视图中呈现此视图，并与.Net 4.5中的仅承载身份验证结合使用，则现在可以使用ViewComponent做相同的事情。它与上面的Controller Action代码基本相同。

— 马特·德克莱
source

1

您需要实际注入IOptions<OAuthBearerAuthenticationOptions>才能使用选项；由于选项模型框架支持命名的配置，因此不支持直接使用选项对象。

— 马特·德克里

2

更新为我正在使用的内容，尽管现在答案应该重写了。谢谢你戳我！

— 马特·德克里

5

此后，＃5已在Microsoft.AspNet.Authentication.OAuthBearer中更改为以下版本-Beta 5-6和可能更早的Beta，但尚未确认。auth.AddPolicy（“ Bearer”，new AuthorizationPolicyBuilder（）.AddAuthenticationSchemes（OAuthBearerAuthenticationDefaults.AuthenticationScheme）.RequireAuthenticatedUser（）。Build（））;

— dynamiclynk

5

@MattDeKrey我已将此答案作为基于简单令牌的身份验证示例的起点，并对其进行了更新以使其针对beta 7起作用-请参见github.com/mrsheepuk/ASPNETSelfCreatedTokenAuthExample-还包含了这些注释中的一些指针。

— Mark Hughes

2

再次更新了RC1 -旧版本的同β7和Beta8在GitHub上的分支机构提供。

— 马克·休斯

83

根据Matt Dekrey的出色回答，我创建了一个完全有效的基于令牌的身份验证示例，它针对ASP.NET Core（1.0.1）。你可以找到完整的代码在这个仓库在GitHub上（替代分支1.0.0-RC1，beta8，β7的），但在短暂的，重要的步骤是：

为您的应用生成密钥

在我的示例中，我每次应用启动时都会生成一个随机密钥，您需要生成一个并将其存储在某个位置，然后将其提供给您的应用。有关如何生成随机密钥以及如何从.json文件导入它的信息，请参见此文件。正如@kspearrin在评论中所建议的那样，Data Protection API似乎是“正确”管理密钥的理想候选者，但是我还没有解决这个问题。如果解决了，请提交拉取请求！

Startup.cs-ConfigureServices

在这里，我们需要为签名的令牌加载一个私钥，当令牌出现时，我们还将用它来验证令牌。我们将密钥存储在类级别的变量中key，该变量将在下面的Configure方法中重复使用。TokenAuthOptions是一个简单的类，其中包含我们在TokenController中创建密钥所需的签名身份，受众和发行者。

// Replace this with some sort of loading from config / file.
RSAParameters keyParams = RSAKeyUtils.GetRandomKey();

// Create the key, and a set of token options to record signing credentials 
// using that key, along with the other parameters we will need in the 
// token controlller.
key = new RsaSecurityKey(keyParams);
tokenOptions = new TokenAuthOptions()
{
    Audience = TokenAudience,
    Issuer = TokenIssuer,
    SigningCredentials = new SigningCredentials(key, SecurityAlgorithms.Sha256Digest)
};

// Save the token options into an instance so they're accessible to the 
// controller.
services.AddSingleton<TokenAuthOptions>(tokenOptions);

// Enable the use of an [Authorize("Bearer")] attribute on methods and
// classes to protect.
services.AddAuthorization(auth =>
{
    auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme‌)
        .RequireAuthenticatedUser().Build());
});

我们还设置了授权策略，以允许我们[Authorize("Bearer")]在希望保护的端点和类上使用。

Startup.cs-配置

在这里，我们需要配置JwtBearerAuthentication：

app.UseJwtBearerAuthentication(new JwtBearerOptions {
    TokenValidationParameters = new TokenValidationParameters {
        IssuerSigningKey = key,
        ValidAudience = tokenOptions.Audience,
        ValidIssuer = tokenOptions.Issuer,

        // When receiving a token, check that it is still valid.
        ValidateLifetime = true,

        // This defines the maximum allowable clock skew - i.e.
        // provides a tolerance on the token expiry time 
        // when validating the lifetime. As we're creating the tokens 
        // locally and validating them on the same machines which 
        // should have synchronised time, this can be set to zero. 
        // Where external tokens are used, some leeway here could be 
        // useful.
        ClockSkew = TimeSpan.FromMinutes(0)
    }
});

令牌控制器

在令牌控制器中，您需要一种方法来使用Startup.cs中加载的密钥生成签名密钥。我们已经在Startup中注册了TokenAuthOptions实例，因此我们需要将其注入TokenController的构造函数中：

[Route("api/[controller]")]
public class TokenController : Controller
{
    private readonly TokenAuthOptions tokenOptions;

    public TokenController(TokenAuthOptions tokenOptions)
    {
        this.tokenOptions = tokenOptions;
    }
...

然后，您需要在处理程序中为登录端点生成令牌，在我的示例中，我使用用户名和密码，并使用if语句验证它们，但是您需要做的关键是创建或加载声明身份并为此生成令牌：

public class AuthRequest
{
    public string username { get; set; }
    public string password { get; set; }
}

/// <summary>
/// Request a new token for a given username/password pair.
/// </summary>
/// <param name="req"></param>
/// <returns></returns>
[HttpPost]
public dynamic Post([FromBody] AuthRequest req)
{
    // Obviously, at this point you need to validate the username and password against whatever system you wish.
    if ((req.username == "TEST" && req.password == "TEST") || (req.username == "TEST2" && req.password == "TEST"))
    {
        DateTime? expires = DateTime.UtcNow.AddMinutes(2);
        var token = GetToken(req.username, expires);
        return new { authenticated = true, entityId = 1, token = token, tokenExpires = expires };
    }
    return new { authenticated = false };
}

private string GetToken(string user, DateTime? expires)
{
    var handler = new JwtSecurityTokenHandler();

    // Here, you should create or look up an identity for the user which is being authenticated.
    // For now, just creating a simple generic identity.
    ClaimsIdentity identity = new ClaimsIdentity(new GenericIdentity(user, "TokenAuth"), new[] { new Claim("EntityID", "1", ClaimValueTypes.Integer) });

    var securityToken = handler.CreateToken(new Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor() {
        Issuer = tokenOptions.Issuer,
        Audience = tokenOptions.Audience,
        SigningCredentials = tokenOptions.SigningCredentials,
        Subject = identity,
        Expires = expires
    });
    return handler.WriteToken(securityToken);
}

就是这样。只需将其添加[Authorize("Bearer")]到要保护的任何方法或类中，如果在没有令牌的情况下尝试访问它，将会出现错误。如果要返回401错误而不是500错误，则需要注册一个自定义异常处理程序，如我在此处的示例所示。

— 马克·休斯
source

1

这是一个非常出色的示例，其中包括使@MattDeKrey的示例正常工作所需的所有缺少的部分，非常感谢！请注意，仍然将beta7而不是beta8作为目标的任何人仍然可以在github历史中

— nickspoon 2015年

1

很高兴它对@nickspoon有所帮助-如果您对此有任何问题，请让我知道或在github上的pull请求中弹出，我将进行更新！

— 马克·休斯

2

谢谢，但是，我不太明白为什么ASP.Net 4 Web API中一些开箱即用的东西现在需要在ASP.Net 5中进行大量配置。

— JMK

1

我认为他们确实在为ASP.NET 5推动“社交身份验证”，这在我看来是有道理的，但是有些应用程序不合适，因此我不确定我是否同意他们的方向@JMK

— Mark Hughes

1

@YuriyP我需要为RC2更新此答案-我尚未将使用此答案的内部应用程序更新为RC2，因此我不确定所涉及的内容。解决差异后，我会更新...

— Mark Hughes

3

您可以看一下OpenId连接示例，这些示例说明了如何处理不同的身份验证机制，包括JWT令牌：

https://github.com/aspnet-contrib/AspNet.Security.OpenIdConnect.Samples

如果您查看Cordova Backend项目，则API的配置如下所示：

           // Create a new branch where the registered middleware will be executed only for non API calls.
        app.UseWhen(context => !context.Request.Path.StartsWithSegments(new PathString("/api")), branch => {
            // Insert a new cookies middleware in the pipeline to store
            // the user identity returned by the external identity provider.
            branch.UseCookieAuthentication(new CookieAuthenticationOptions {
                AutomaticAuthenticate = true,
                AutomaticChallenge = true,
                AuthenticationScheme = "ServerCookie",
                CookieName = CookieAuthenticationDefaults.CookiePrefix + "ServerCookie",
                ExpireTimeSpan = TimeSpan.FromMinutes(5),
                LoginPath = new PathString("/signin"),
                LogoutPath = new PathString("/signout")
            });

            branch.UseGoogleAuthentication(new GoogleOptions {
                ClientId = "560027070069-37ldt4kfuohhu3m495hk2j4pjp92d382.apps.googleusercontent.com",
                ClientSecret = "n2Q-GEw9RQjzcRbU3qhfTj8f"
            });

            branch.UseTwitterAuthentication(new TwitterOptions {
                ConsumerKey = "6XaCTaLbMqfj6ww3zvZ5g",
                ConsumerSecret = "Il2eFzGIrYhz6BWjYhVXBPQSfZuS4xoHpSSyD9PI"
            });
        });

/Providers/AuthorizationProvider.cs和该项目的RessourceController中的逻辑也值得一看；）。

或者，您也可以使用以下代码来验证令牌（也有一个片段使其与signalR一起使用）：

        // Add a new middleware validating access tokens.
        app.UseOAuthValidation(options =>
        {
            // Automatic authentication must be enabled
            // for SignalR to receive the access token.
            options.AutomaticAuthenticate = true;

            options.Events = new OAuthValidationEvents
            {
                // Note: for SignalR connections, the default Authorization header does not work,
                // because the WebSockets JS API doesn't allow setting custom parameters.
                // To work around this limitation, the access token is retrieved from the query string.
                OnRetrieveToken = context =>
                {
                    // Note: when the token is missing from the query string,
                    // context.Token is null and the JWT bearer middleware will
                    // automatically try to retrieve it from the Authorization header.
                    context.Token = context.Request.Query["access_token"];

                    return Task.FromResult(0);
                }
            };
        });

对于发行令牌，您可以使用openId Connect服务器软件包，如下所示：

        // Add a new middleware issuing access tokens.
        app.UseOpenIdConnectServer(options =>
        {
            options.Provider = new AuthenticationProvider();
            // Enable the authorization, logout, token and userinfo endpoints.
            //options.AuthorizationEndpointPath = "/connect/authorize";
            //options.LogoutEndpointPath = "/connect/logout";
            options.TokenEndpointPath = "/connect/token";
            //options.UserinfoEndpointPath = "/connect/userinfo";

            // Note: if you don't explicitly register a signing key, one is automatically generated and
            // persisted on the disk. If the key cannot be persisted, an exception is thrown.
            // 
            // On production, using a X.509 certificate stored in the machine store is recommended.
            // You can generate a self-signed certificate using Pluralsight's self-cert utility:
            // https://s3.amazonaws.com/pluralsight-free/keith-brown/samples/SelfCert.zip
            // 
            // options.SigningCredentials.AddCertificate("7D2A741FE34CC2C7369237A5F2078988E17A6A75");
            // 
            // Alternatively, you can also store the certificate as an embedded .pfx resource
            // directly in this assembly or in a file published alongside this project:
            // 
            // options.SigningCredentials.AddCertificate(
            //     assembly: typeof(Startup).GetTypeInfo().Assembly,
            //     resource: "Nancy.Server.Certificate.pfx",
            //     password: "Owin.Security.OpenIdConnect.Server");

            // Note: see AuthorizationController.cs for more
            // information concerning ApplicationCanDisplayErrors.
            options.ApplicationCanDisplayErrors = true // in dev only ...;
            options.AllowInsecureHttp = true // in dev only...;
        });

编辑：我已经使用Aurelia前端框架和ASP.NET核心通过基于令牌的身份验证实现了一个单页应用程序。还有一个信号R持久连接。但是我还没有执行任何数据库实现。代码可以在这里看到： https //github.com/alexandre-spieser/AureliaAspNetCoreAuth

希望这可以帮助，

最好，

亚历克斯

— 达克斯塔
source

1

看一下OpenIddict-这是一个新项目（在撰写本文时），可以轻松配置JWT令牌的创建并刷新ASP.NET 5中的令牌。令牌的验证由其他软件处理。

假设您使用Identitywith Entity Framework，最后一行就是您要添加到ConfigureServices方法中的内容：

services.AddIdentity<ApplicationUser, ApplicationRole>()
    .AddEntityFrameworkStores<ApplicationDbContext>()
    .AddDefaultTokenProviders()
    .AddOpenIddictCore<Application>(config => config.UseEntityFramework());

在中Configure，您将OpenIddict设置为提供JWT令牌：

app.UseOpenIddictCore(builder =>
{
    // tell openiddict you're wanting to use jwt tokens
    builder.Options.UseJwtTokens();
    // NOTE: for dev consumption only! for live, this is not encouraged!
    builder.Options.AllowInsecureHttp = true;
    builder.Options.ApplicationCanDisplayErrors = true;
});

您还可以在中配置令牌的验证Configure：

// use jwt bearer authentication
app.UseJwtBearerAuthentication(options =>
{
    options.AutomaticAuthenticate = true;
    options.AutomaticChallenge = true;
    options.RequireHttpsMetadata = false;
    options.Audience = "http://localhost:58292/";
    options.Authority = "http://localhost:58292/";
});

还有另外一两件事，例如您的DbContext需要从OpenIddictContext派生。

您可以在此博客文章上看到完整的解释： http //capesean.co.za/blog/asp-net-5-jwt-tokens/

可以运行的演示程序位于：https : //github.com/capesean/openiddict-test

— 肖恩
source