.net – 如何用对称密钥配置MIcrosoft JWT?

原文

我正在尝试配置我的ASP.NET应用程序来接受使用对称密钥签名的JSON Web令牌(JWT)。 STS无法为此使用证书,因此我们使用对称密钥支持。

最后我使用了Microsoft’s JWT Developer Preview.不幸的是,我没有看到任何使用对称键的例子。在用各种工具进行一些挖掘之后,我发现了NamedKeyIssuerTokenResolver,发现我可以配置它使用对称密钥。例如:

<securityTokenHandlers>
  <add type="Microsoft.IdentityModel.Tokens.JWT.JWTSecurityTokenHandler,Microsoft.IdentityModel.Tokens.JWT" />
  <securityTokenHandlerConfiguration>
    <certificateValidation certificateValidationMode="PeerTrust" />
    <issuerTokenResolver
      type="Microsoft.IdentityModel.Tokens.JWT.NamedKeyIssuerTokenResolver,Microsoft.IdentityModel.Tokens.JWT">
      <securityKey
          symmetricKey="+zqf97FD/xyzzyplugh42ploverFeeFieFoeFooxqjE="
             name="https://localhost/TestRelyingParty" />
    </issuerTokenResolver>
  </securityTokenHandlerConfiguration>
</securityTokenHandlers>

我不完全确定我应该在那里使用什么名字。应该是观众Uri,也许是发行人Uri?在任何情况下,我知道如果我不包含一个名字,我的程序启动时会得到异常,因为securityKey元素需要该属性。

无论如何,这仍然无法解决问题。在对STS进行身份验证后,我得到以下异常:

[SecurityTokenValidationException: JWT10310: Unable to validate signature. validationParameters.SigningTokenResolver type: 'Microsoft.IdentityModel.Tokens.JWT.NamedKeyIssuerTokenResolver',was unable to resolve key to a token.
The SecurityKeyIdentifier is: 
'SecurityKeyIdentifier
    (
    IsReadOnly = False,Count = 1,Clause[0] = Microsoft.IdentityModel.Tokens.JWT.NamedKeyIdentifierClause
    )
'. validationParameters.SigningToken was null.]
   Microsoft.IdentityModel.Tokens.JWT.JWTSecurityTokenHandler.ValidateSignature(JWTSecurityToken jwt,TokenValidationParameters validationParameters) +2111
   Microsoft.IdentityModel.Tokens.JWT.JWTSecurityTokenHandler.Validatetoken(JWTSecurityToken jwt,TokenValidationParameters validationParameters) +138
   Microsoft.IdentityModel.Tokens.JWT.JWTSecurityTokenHandler.Validatetoken(SecurityToken token) +599
   System.IdentityModel.Tokens.SecurityTokenHandlerCollection.Validatetoken(SecurityToken token) +135
   System.IdentityModel.Services.TokenReceiver.Authenticatetoken(SecurityToken token,Boolean ensureBearerToken,String endpointUri) +117
   System.IdentityModel.Services.WSFederationAuthenticationModule.SignInWithResponseMessage(HttpRequestBase request) +698
   System.IdentityModel.Services.WSFederationAuthenticationModule.OnAuthenticateRequest(Object sender,EventArgs args) +123924
   System.Web.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +80
   System.Web.HttpApplication.ExecuteStep(IExecutionStep step,Boolean& completedSynchronously) +165

我是否缺少其他配置步骤?我把错误的东西放在名称属性中吗?还是JWT开发者预览中的一个已知错误?

2014/02/13更新:

正如@leastprivilege所指出的那样,使用RTM版本的JWT来说,这是一个很容易的事情。我强烈建议你忽略这个,并按照他在http://leastprivilege.com/2013/07/16/identityserver-using-ws-federation-with-jwt-tokens-and-symmetric-signatures/提供的例子。

请注意,以下原始答案是测试版本Microsoft.IdentityModel.Tokens.JWT。升级到发行版本System.IdentityModel.Tokens.Jwt,只需要一点工作。见下文。

主要的问题是JWTSecurityTokenHandler.Validatetoken(token)的方法并未完全填充它传递给JWTSecurityTokenHandler.Validatetoken(token,validationParameters)的TokenValidationParameters。特别是,它不填充SigningToken成员或Validissuers(或Validissuer)。

有趣的是,我在原来的问题中显示的配置实际上由令牌解析器加载,并且在运行时可用,如下面的代码所示。

但是,我不知道如何在配置文件中指定有效的issuer字符串。我强烈怀疑有一个地方放这个信息,但我还没有弄清楚它在哪里。

解决我的问题是创建一个派生自JWTSecurityTokenHandler的自定义安全令牌处理程序。覆盖Validatetoken(token,validationParameters)使我有机会设置我需要的参数,然后调用基类的Validatetoken方法。

public class CustomJwtSecurityTokenHandler: JWTSecurityTokenHandler
{
    // Override ValidateSignature so that it gets the SigningToken from the configuration if it doesn't exist in
    // the validationParameters object.
    private const string KeyName = "https://localhost/TestRelyingParty";
    private const string ValidissuerString = "https://mySTSname/trust";
    public override ClaimsPrincipal Validatetoken(JWTSecurityToken jwt,TokenValidationParameters validationParameters)
    {
        // set up valid issuers
        if ((validationParameters.Validissuer == null) &&
            (validationParameters.Validissuers == null || !validationParameters.Validissuers.Any()))
        {
            validationParameters.Validissuers = new List<string> {ValidissuerString};
        }
        // and signing token.
        if (validationParameters.SigningToken == null)
        {
            var resolver = (NamedKeyIssuerTokenResolver)this.Configuration.IssuerTokenResolver;
            if (resolver.SecurityKeys != null)
            {
                List<SecurityKey> skeys;
                if (resolver.SecurityKeys.TryGetValue(KeyName,out skeys))
                {
                    var tok = new NamedKeySecurityToken(KeyName,skeys);
                    validationParameters.SigningToken = tok;
                }
            }
        }
        return base.Validatetoken(jwt,validationParameters);
    }
}

在我的Web.config中,我只需要更改安全令牌处理程序:

<securityTokenHandlers>
    <!--<add type="Microsoft.IdentityModel.Tokens.JWT.JWTSecurityTokenHandler,Microsoft.IdentityModel.Tokens.JWT" />-->
    <!-- replaces the default JWTSecurityTokenHandler -->
    <add type="TestRelyingParty.CustomJwtSecurityTokenHandler,TestRelyingParty" />

没有什么可以花三,四天的时间来研究用几十行代码解决的问题。 。 。

新增版本

2013年6月,微软正式发布了其JWT。他们将命名空间更改为System.IdentityModel.Tokens.Jwt。升级后,上述解决方案停止工作。为了使它工作,我不得不添加以下到我的CustomJwtSecurityTokenHandler。这是现有的代码。

public override ClaimsPrincipal Validatetoken(JwtSecurityToken jwt)
{
    var vparms = new TokenValidationParameters
        {
            AllowedAudiences = Configuration.AudienceRestriction.AllowedAudienceUris.Select(s => s.ToString())
        };
    return Validatetoken(jwt,vparms);
}

.net – 如何用对称密钥配置MIcrosoft JWT?的更多相关文章

  1. 使用Swift 3.0实现原生的MD5加密

    对称加密以DataEncryptionStandard数据加密标准算法即DES为典型代表,非对称加密通常以RivestShamirAdleman即RSA算法为代表。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法,如图2所示:图2MD5加密MD5的全称是MessageDigestAlgorithm5,即消息摘要算法第五版,是计算机安全领域广泛使用的一种散列函数,用以提供消息的完整性保护。不同之处是在第16行的代码中,给NSData添加了一个名为MD5的扩展方式,用来实现数据的MD5加密

  2. 前端node Session和JWT鉴权登录示例详解

    关于前端鉴权登录是比较常见的需求了,本文将从服务端渲染和前后端分离的不同角度下演示鉴权,为大家介绍前端node Session和JWT鉴权登录示例详解

  3. JWT Json Web Token全面详解

    这篇文章主要为大家介绍了JWT Json Web Token全面详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪<BR>

  4. SpringBoot+JWT实现注册、登录、状态续签流程分析

    这篇文章主要介绍了SpringBoot+JWT实现注册、登录、状态续签【登录保持】,本文通过示例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下

  5. php JWT在web端中的使用方法教程

    这篇文章主要给大家介绍了关于php JWT在web端中的使用方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

  6. mall整合SpringSecurity及JWT实现认证授权实战

    这篇文章主要为大家介绍了mall整合SpringSecurity及JWT实现认证授权实战示例详解,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

  7. SpringBoot集成JWT实现登陆验证的方法详解

    JSON Web Token(JWT)是一个开放的标准(RFC 7519),它定义了一个紧凑且自包含的方式,用于在各方之间以JSON对象安全地传输信息。本文将利用SpringBoot集成JWT实现登陆验证,感兴趣的可以了解一下

  8. SpringBoot结合JWT登录权限控制的实现

    本文主要介绍了SpringBoot结合JWT登录权限控制的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

  9. php实现JWT(json web token)鉴权实例详解

    这篇文章主要介绍了php实现JWT(json web token)鉴权实例详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

  10. SpringBoot JWT接口验证实现流程详细介绍

    这篇文章主要介绍了SpringBoot+JWT实现接口验证,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习吧

随机推荐

  1. static – 在页面之间共享数据的最佳实践

    我想知道在UWP的页面之间发送像’selectedItem’等变量的最佳做法是什么?创建一个每个页面都知道的静态全局变量类是一个好主意吗?

  2. .net – 为Windows窗体控件提供百分比宽度/高度

    WindowsForm开发的新手,但在Web开发方面经验丰富.有没有办法为Windows窗体控件指定百分比宽度/高度,以便在用户调整窗口大小时扩展/缩小?当窗口调整大小时,可以编写代码来改变控件的宽度/高度,但我希望有更好的方法,比如在HTML/CSS中.在那儿?

  3. 使用Windows Azure查询表存储数据

    我需要使用特定帐户吗?>将应用程序部署到Azure服务后,如何查询数据?GoogleAppEngine有一个数据查看器/查询工具,Azure有类似的东西吗?>您可以看到的sqlExpressintance仅在开发结构中,并且一旦您表示没有等效,所以请小心使用它.>您可以尝试使用Linqpad查询表格.看看JamieThomson的thispost.

  4. windows – SetupDiGetClassDevs是否与文档中的设备实例ID一起使用?

    有没有更好的方法可以使用DBT_DEVICEARRIVAL事件中的数据获取设备的更多信息?您似乎必须指定DIGCF_ALLCLASSES标志以查找与给定设备实例ID匹配的所有类,或者指定ClassGuid并使用DIGCF_DEFAULT标志.这对我有用:带输出:

  5. Windows Live ID是OpenID提供商吗?

    不,WindowsLiveID不是OpenID提供商.他们使用专有协议.自从他们的“测试版”期结束以来,他们从未宣布计划继续它.

  6. 如果我在代码中进行了更改,是否需要重新安装Windows服务?

    我写了一个Windows服务并安装它.现在我对代码进行了一些更改并重新构建了解决方案.我还应该重新安装服务吗?不,只需停止它,替换文件,然后重新启动它.

  7. 带有双引号的字符串回显使用Windows批处理输出文件

    我正在尝试使用Windows批处理文件重写配置文件.我循环遍历文件的行并查找我想要用指定的新行替换的行.我有一个’函数’将行写入文件问题是%Text%是一个嵌入双引号的字符串.然后失败了.可能还有其他角色也会导致失败.如何才能使用配置文件中的所有文本?尝试将所有“在文本中替换为^”.^是转义字符,因此“将被视为常规字符你可以尝试以下方法:其他可能导致错误的字符是:

  8. .net – 将控制台应用程序转换为服务?

    我正在寻找不同的优势/劣势,将我们长期使用的控制台应用程序转换为Windows服务.我们为ActiveMQ使用了一个叫做java服务包装器的东西,我相信人们告诉我你可以用它包装任何东西.这并不是说你应该用它包装任何东西;我们遇到了这个问题.控制台应用程序是一个.NET控制台应用程序,默认情况下会将大量信息记录到控制台,尽管这是可配置的.任何推荐?我们应该在VisualStudio中将其重建为服务吗?我使用“-install”/“-uninstall”开关执行此操作.例如,seehere.

  9. windows – 捕获外部程序的STDOUT和STDERR *同时*它正在执行(Ruby)

    哦,我在Windows上:-(实际上,它比我想象的要简单,这看起来很完美:…是的,它适用于Windows!

  10. windows – 当我试图批量打印变量时,为什么我得到“Echo is on”

    我想要执行一个简单的批处理文件脚本:当我在XP中运行时,它给了我预期的输出,但是当我在Vista或Windows7中运行它时,我在尝试打印值时得到“EchoisOn”.以下是程序的输出:摆脱集合表达式中的空格.等号(=)的两侧可以并且应该没有空格BTW:我通常在@echo关闭的情况下启动所有批处理文件,并以@echo结束它们,所以我可以避免将代码与批处理文件的输出混合.它只是使您的批处理文件输出更好,更清洁.

返回
顶部