JWT 身份验证，Authorize 属性中定义的角色将被忽略

2023-12-02

在努力实施的同时基于角色的身份验证 using JWT作为默认身份验证方案，我遇到了一种情况，其中定义的角色Authorize属性被忽略，允许任何请求（使用有效的令牌）通过，即使不在这些角色中，（有趣的是，具有相同定义的自定义要求的其他策略Authorize属性工作正常）

Reading 杰里的文章他提到

这是一个很棒的发现：ASP.NET Core 中的 JWT 中间件知道如何解释 JWT 负载中的“角色”声明，并将适当的声明添加到ClaimsIdentity。这使得使用[Authorize]属性与角色非常容易。

And:

当您考虑将角色传递给[Authorize]实际上会查看是否存在类型声明http://schemas.microsoft.com/ws/2008/06/identity/claims/role与您授权的角色的值。这意味着我可以简单地添加[Authorize(Roles = "Admin")]任何 API 方法，这将确保只有有效负载包含声明“角色”且角色数组中包含 Admin 值的 JWT 才会被授权使用该 API 方法。

这仍然成立吗？（这篇文章已经好几年了）
我做错了什么吗？

启动（配置服务）

public void ConfigureServices(IServiceCollection services)
{
    string defaultConnection = Configuration.GetConnectionString("Default");

    services.AddDbContext<IdentityContext>(options => options.UseSqlServer(defaultConnection).UseQueryTrackingBehavior(QueryTrackingBehavior.TrackAll));

    services.AddIdentity<AppUser, IdentityRole>()
        .AddEntityFrameworkStores<IdentityContext>()
        .AddDefaultTokenProviders();

    services.AddAuthorization(o => o.AddPolicy(Policy.IsInTenant, x => x.AddRequirements(new IsInTenantRequirement())));

    services.AddAuthentication(x =>
    {
        x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    })
    .AddJwtBearer(x =>
    {
        x.SaveToken = true;
        x.TokenValidationParameters = new TokenValidationParameters
        {
            IssuerSigningKey = new SymmetricSecurityKey(key),
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidAudience = "somehost...",
            ValidIssuer = "somehost...",
        };
    });
}

启动（配置）

public void Configure(IApplicationBuilder app, IWebHostEnvironment envy)
{
    app.UseRouting();
    app.UseAuthentication();
    app.UseAuthorization();
    app.UseEndpoints(x => x.MapControllers());
}

控制器：

[ApiController]
[Authorize(Roles = "some_random_string_which_is_not_registered_anywhere")] // <== any request with a valid token can access this controller
[Route("[controller]")]
public class WeatherForecastController : ControllerBase
{
    [HttpGet]
    public string Get()
    {
        return "how are you?"
    }
}

令牌服务

public class JwtService : ITokenService
{
    private readonly JwtConfig _config;
    public JwtService(IOptions<JwtConfig> config) =>  _config = config.Value;

    public string GenerateRefreshToken(int size = 32)
    {
        var randomNumber = new byte[size];
        using (var rng = RandomNumberGenerator.Create())
        {
            rng.GetBytes(randomNumber);
            return Convert.ToBase64String(randomNumber);
        }
    }

    public string GenerateAccessToken(IEnumerable<Claim> claims)
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        var secretKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config.Secret));
        var signinCredentials = new SigningCredentials(secretKey, SecurityAlgorithms.HmacSha256);

        var tokeOptions = new JwtSecurityToken(
            issuer: _config.Issuer,
            audience: _config.Audience,
            claims: claims,
            expires: DateTime.Now.AddMinutes(int.Parse(_config.ExpirationInMinutes)),
            signingCredentials: signinCredentials
        );

        return tokenHandler.WriteToken(tokeOptions);
    }


    public ClaimsPrincipal GetPrincipalFromExpiredToken(string token)
    {
        var tokenValidationParameters = new TokenValidationParameters
        {
            ValidateAudience = false, 
            ValidateIssuer = false,
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config.Secret)),
            ValidateLifetime = false 
        };

        var tokenHandler = new JwtSecurityTokenHandler();
        SecurityToken securityToken;
        var principal = tokenHandler.ValidateToken(token, tokenValidationParameters, out securityToken);

        var jwtSecurityToken = securityToken as JwtSecurityToken;

        if (jwtSecurityToken == null || !jwtSecurityToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase))
            throw new SecurityTokenException("Invalid token");

        return principal;
    }

}

登录（使用令牌服务）
（目前我没有向令牌添加任何角色，尽管如此，用户可以完全访问由特定角色保护的资源。）

[AllowAnonymous]
[HttpPost()]
public async Task<IActionResult> Post(LoginDTO model)
{
    if (!ModelState.IsValid) return BadRequest("errors.invalidParams");

    var user = await _userManager.FindByEmailAsync(model.Email);
    if (user == null)
    {
        return Unauthorized("errors.loginFailure");
    }

    var result = await _signInManager.PasswordSignInAsync(user?.UserName, model.Password, model.RememberMe, false);


    if (result.Succeeded)
    {
        var claims = new List<Claim>
        {
            new Claim(AppClaim.TenantId, user.TenantId.ToString()),
            new Claim(JwtRegisteredClaimNames.Email, user.Email),
            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
        };

        claims.AddRange(await _authOperations.GetUserRolesAsClaims(user));
        claims.AddRange(await _authOperations.GetAllUserClaims(user));

        var accessToken = _tokenService.GenerateAccessToken(claims);
        var refreshToken = _tokenService.GenerateRefreshToken();
        user.RefreshToken = refreshToken;
        user.RefreshTokenExpiryTime = DateTime.Now.AddDays(7);

        await _ctx.SaveChangesAsync();

        return Ok(new TokenExchangeDTO
        {
            AccessToken = accessToken,
            RefreshToken = refreshToken
        });
    }

应用程序设置.json

"JwtConfig": {
  "Secret": "secret...",
  "ExpirationInMinutes": 1440,
  "Issuer": "somehost...",
  "Audience": "somehost..."
}

如果需要额外的详细信息或更好的信息来回答我的问题，请告诉我。

事实证明，我错误地将我的自定义授权处理程序之一配置为接受基础IAuthorizationRequirement作为需求参数类型，而不是特定的派生需求，结果context.Succeed(requirement)要求任何基本上将其标记为成功的要求。

原始代码：

public class IsInTenantRequirement : IAuthorizationRequirement { }

public class IsInTenantAuthorizationHandler : AuthorizationHandler<IAuthorizationRequirement>
{
    private readonly RouteData _routeData;

    public IsInTenantAuthorizationHandler(IHttpContextAccessor httpContextAccessor)
    {
        _routeData = httpContextAccessor.HttpContext.GetRouteData();
    }

    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, IAuthorizationRequirement requirement)
    {
        var tenantIdFromRequest = _routeData.Values["tenantId"]?.ToString();
        var tenantId = context.User.FindFirstValue(AppClaim.TenantId);

        if (tenantIdFromRequest == tenantId)
        {
            context.Succeed(requirement);
        }

        return Task.CompletedTask;
    }
}

更新后的代码：

public class IsInTenantRequirement : IAuthorizationRequirement { }

public class IsInTenantAuthorizationHandler : AuthorizationHandler<IsInTenantRequirement>
{
    private readonly RouteData _routeData;

    public IsInTenantAuthorizationHandler(IHttpContextAccessor httpContextAccessor)
    {
        _routeData = httpContextAccessor.HttpContext.GetRouteData();
    }

    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, IsInTenantRequirement requirement)
    {
        var tenantIdFromRequest = _routeData.Values["tenantId"]?.ToString();
        var tenantId = context.User.FindFirstValue(AppClaim.TenantId);

        if (tenantIdFromRequest == tenantId)
        {
            context.Succeed(requirement);
        }
        context.Succeed(requirement);


        return Task.CompletedTask;
    }
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

JWT 身份验证，Authorize 属性中定义的角色将被忽略的相关文章

未提供参数时如何指定 C# System.Commandline 行为？

在我的控制台应用程序中当未提供控制台参数时将执行我指定列表在本例中为参数 3 的任何处理程序调用该处理程序时布尔参数设置为 false 但对我来说根本不调用它更有意义如何防止这种情况发生并显示帮助文本 using System
为什么 int8_t 和用户通过 cin 输入显示奇怪的结果[重复]

这个问题在这里已经有答案了一小段代码让我发疯但希望你能阻止我跳出窗外看这里 include
在 DataView 的 RowFilter 中选择 DISTINCT

我试图根据与另一个表的关系缩小 DataView 中的行范围我使用的 RowFilter 如下 dv new DataView myDS myTable id IN SELECT DISTINCT parentID FROM myOthe
在 C 中匹配二进制模式

我目前正在开发一个 C 程序需要解析一些定制的数据结构幸运的是我知道它们是如何构造的但是我不确定如何在 C 中实现我的解析器每个结构的长度都是 32 位并且每个结构都可以通过其二进制签名来识别举个例子有两个我感兴趣的特定结构
如何区分用户点击链接和页面自动重定向？

拥有 C WebBrowser control http msdn microsoft com en us library system windows forms webbrowser aspx在我的 WinForms 应用程序中并意识
回发后刷新时提示确认表单重新提交。我做错了什么？

我有一个以空白默认状态启动的仪表板我让用户能够将保存的状态加载到仪表板中当他们单击应用按钮时我运行以下代码 function CloseAndSave var radUpload find radUpload1ID var in
在 C 中初始化变量

我知道有时如果你不初始化int 如果打印整数您将得到一个随机数但将所有内容初始化为零似乎有点愚蠢我问这个问题是因为我正在评论我的 C 项目而且我对缩进非常直接并且它可以完全编译 90 90 谢谢 Stackoverflow 但我想
在 Visual Studio 2010 中从 Fortran 调用 C++ 函数

我想从 Fortran 调用 C 函数为此我在 Visual Studio 2010 中创建了一个 FORTRAN 项目之后我将一个 Cpp 项目添加到该 FORTRAN 项目中当我要构建程序时出现以下错误 Error 1 unr
在一个平台上，对于所有数据类型，所有数据指针的大小是否相同？ [复制]

这个问题在这里已经有答案了 Are char int long 甚至long long 大小相同在给定平台上不能保证它们的大小相同尽管在我有使用经验的平台上它们通常是相同的 C 2011 在线草稿 http www open std
我可以使用 moq Mock 来模拟类而不是接口吗？

正在经历https github com Moq moq4 wiki Quickstart https github com Moq moq4 wiki Quickstart 我看到它 Mock 一个接口我的遗留代码中有一个没有接口的类
C# 中的合并运算符？

我想我记得看到过类似的东西三元运算符 http msdn microsoft com en us library ty67wk28 28VS 80 29 aspx在 C 中它只有两部分如果变量值不为空则返回变量值如果为空则返回默
为什么 std::strstream 被弃用？

我最近发现std strstream已被弃用取而代之的是std stringstream 我已经有一段时间没有使用它了但它做了我当时需要做的事情所以很惊讶听到它的弃用我的问题是为什么做出这个决定有什么好处std stringstr
CMake 无法确定目标的链接器语言

首先我查看了this https stackoverflow com questions 11801186 cmake unable to determine linker language with c发帖并找不到解决我的问题的方法我
为什么 gcc 抱怨“错误：模板参数 '0' 的类型 'intT' 取决于模板参数”？

我的编译器是gcc 4 9 0 以下代码无法编译 template
不同类型指针之间的减法[重复]

这个问题在这里已经有答案了我试图找到两个变量之间的内存距离具体来说我需要找到 char 数组和 int 之间的距离 char data 5 int a 0 printf p n p n data 5 a long int distan
如果没有抽象成员，基类是否应该标记为抽象？

如果一个类没有抽象成员可以将其标记为抽象吗即使没有实际理由直接实例化它除了单元测试是的将不应该实例化的基类显式标记为抽象是合理且有益的即使在没有抽象方法的情况下也是如此它强制执行通用准则来使非叶类抽象它阻止其他程序员创建该类
在 ASP.NET Core MVC 中访问从视图到控制器的隐藏值

我需要帮助使用 jQuery 从 ASP NET Core razor 视图页面传递隐藏控件值 jQuery 用于获取动态控件选定的值 section scripts
C++ 条件编译

我有以下代码片段 ifdef DO LOG define log p record p else define log p endif void record char data 现在如果我打电话log hello world 在我的代码中
我的班级应该订阅自己的公共活动吗？

我正在使用 C 3 0 遵循标准事件模式我有 public event EventHandler
Oracle Data Provider for .NET 不支持 Oracle 19.0.48.0.0

我们刚刚升级到 Oracle 19c 19 3 0 所有应用程序都停止工作并出现以下错误消息 Oracle Data Provider for NET 不支持 Oracle 19 0 48 0 0 我将 Oracle ManagedData

随机推荐

WWDC 2019 - iOS13 2020 年 4 月要求

In the WWDC 2019 视频让您的 iOS 13 UI 现代化苹果提到了一个要求即到 2020 年 4 月所有应用程序都应采用启动故事板支持任意尺寸支持分屏多任务支持分屏多任务的含义是否如中所述课程 258 为多个
如何根据结果分组将pandas中的数据框划分为多个数据框？

Date A Date B Date C Amount 0 09 01 2016 09 01 2016 01 01 1800 2405814 36 1 09 01 2016 09 01 2016 09 01 2016 11347445 71
序列化 XmlDocument 并通过 HTTPWebRequest 发送

我试图弄清楚如何正确序列化我的 XmlDocument 并通过 HTTPWebRequest 对象发送它这是我到目前为止所拥有的 Stream requestStream HttpWebRequest request HttpWebReq
通过指针枚举 NSString 字符

如何通过从中提取每个 unichar 来枚举 NSString 我可以使用characterAtIndex 但这比通过递增unichar 慢我在苹果的文档中没有看到任何不需要将字符串复制到第二个缓冲区的内容像这样的东西将是理想的 for
在java中监视目录和子目录的创建、修改和更改

我已经编写了一些代码来检测目录 C java newfolder 中的更改它运行良好我已经在下面给出了 import java nio file import java util List public class DirectoryW
如何使用友元函数在模板类之外重载运算符==？

我正在尝试编写一个重载的模板类运算符我知道如何在课堂上得到它 template
从分层对象存储读取/写入到分层对象存储 - SharePoint 2007

我创建了一个自定义计时器作业需要一些配置才能运行我正在尝试将配置另存为SPPersistedObject在分层对象存储中分层对象存储保存在 SharePoint 配置数据库中因此我在尝试使用SPWebApplication作为家长
默认字符串排序顺序

默认排序顺序是实现细节吗或者如何选择默认比较器这让我想起了建议不要将哈希码存储在数据库中下面的代码是否保证以相同的顺序对字符串进行排序 string randomStrings Hello There World The Secre
Nginx 从多部分/表单数据中删除内容

我有两个 Nodejs 应用程序位于 nginx 反向代理后面这是我的 nginx 配置 main api location proxy pass http localhost 3000 chat api location socket
如何使用 Facebook 的 API 获取 Facebook 上共同好友的列表？

我正在尝试获取我自己和另一个用户的共同朋友列表但我在文档中找到的 API 都不起作用要么我收到一些奇怪的权限错误我只能获取我的朋友列表而没有其他用户要么我收到以下错误 Fatal error Call to a member fun
吉特。如何使用已更改的文件创建存档？

保持文件结构例如git archive git archive将文件路径作为参数因此您可以执行以下操作 git diff name status commit1 commit2 awk if 1 D print 2 xargs git
如何让 Rails 返回具有正确数据类型而不是字符串的 SUM(columnName) 属性？

假设以下形式的查询 operatingExpenses Expense find all select gt categories activityType categories name heading sum amount totalA
我应该使用 CSS :disabled 伪类还是 [disabled] 属性选择器还是这是一个意见问题？

我正在尝试设置禁用输入的样式我可以用 myInput disabled or myInput disabled 属性选择器是现代 CSS3 方式以及未来的发展方向吗我曾经使用伪类但我找不到任何关于它们是否是旧方式并且不受支持或者它们是
如何在Python Selenium中逐步向下滚动

大家好我是 Selenium 和 Python 的新手我只是在抓取网站帕加尔盖网站我知道如何向下滚动到页面底部但我需要的是逐步向下滚动以便 Selenium 单击所有阅读更多按钮但我不知道如何像这样逐步向下滚动所以我像下面
使用 geom_tile 清理地图

感谢本网站上一些用户的帮助我能够使用 geom point 获得一些数据的漂亮地图获得州界的边界但是现在我正在尝试清理它因为我有更多年的时间来绘制并希望确保情节正常工作并提供良好的信息经过进一步的研究似乎 geom tile
检查数据库中表是否存在时出现问题

基本上我有我的 MySQL dbname test 和我的表名称 page 我想使用 php PDO 创建一个查询来检查表 page 是否存在于我的数据库 test 中我已经尝试过这两件事但它确实有效第一个例子总是告诉我它不存在即使
在 JSP 中使用 struts 2 比较日期

我想使用比较两个日期Struts2 One is returned from the backend test currentDate 2012 11 15 The other one I just set 2014 10 19 我如何比较
move_uploaded_file(...): 无法打开流: 没有这样的文件或目录

我尝试使用 PHP 和 MySQL 以及临时文件夹将图像插入数据库中我使用 laravel 这是我的控制器 if isset FILES img masc img FILES img masc name ruta FILES img ma
使用 Python 的 matplotlib 3D API 绘制轮廓的问题

我正在尝试做类似的事情this文档中的 3D 示例但使用点云而不是光滑表面该示例将 2D 轮廓投影到三个坐标平面中的每一个上这表明我能够在 xy 平面上做到这一点当我尝试在其他两个平面上做同样的事情时我得到的要么是一个奇怪的轮廓塌
JWT 身份验证，Authorize 属性中定义的角色将被忽略

在努力实施的同时基于角色的身份验证 using JWT作为默认身份验证方案我遇到了一种情况其中定义的角色Authorize属性被忽略允许任何请求使用有效的令牌通过即使不在这些角色中有趣的是具有相同定义的自定义要求的其他策略A

JWT 身份验证，Authorize 属性中定义的角色将被忽略

JWT 身份验证，Authorize 属性中定义的角色将被忽略 的相关文章

随机推荐

热门标签

JWT 身份验证，Authorize 属性中定义的角色将被忽略的相关文章