使用 .Net Core C# 从 Microsoft 验证 JWT

【问题标题】:Validate JWT from Microsoft using .Net Core C#使用 .Net Core C# 从 Microsoft 验证 JWT
【发布时间】:2017-06-01 18:58:16
【问题描述】:

我有一个 .Net Core 应用程序,它从 Microsoft 接收 JWT 令牌(MS 用作 OAuth 服务器)。我在 MS 端有下一个设置:

  • 应用 ID:UUID
  • 密码(由 MS 生成)
  • 私钥(受我提供的密码保护)

我收到它作为字符串并转换为JwtSecurityToken,然后我看到了我的姓名、电子邮件和所有其他内容...

问题:如何检查这个令牌实际上是由 MS 为我的应用程序发出的?我很确定我必须使用ValidateToken(string token, TokenValidationParameters validationParameters, out SecurityToken validatedToken),但看起来我不能使用TokenValidationParameters 对。

【问题讨论】:

    标签: c# .net oauth jwt .net-core


    【解决方案1】:

    也许我误会了你,但是如果令牌是从 MS 发出的,那么令牌应该不需要在客户端进行验证。

    您应该将此令牌用作黑匣子,服务器将在客户端请求期间验证令牌。如果 MS 使用对称密钥进行签名,他们会将密钥隐藏起来,您永远无法在客户端验证令牌。使用非对称密钥,您可以进行验证,但前提是您拥有密钥的公共部分。

    如果未加密,您可以使用 JWT 中的信息,但风险自负。它可能会被操纵,发出 JWT 的服务器可能会更改内部 JSON 对象的内容或结构,从签名的 JWT 更改为加密的 JWT 或将其更改为随机令牌而不会违反您的合同,所以你的应用可能不应该依赖这些内容。

    【讨论】:

    • 令牌是从 MS 发出的,但我不会用它来调用 MS 服务。我只是检查姓名/电子邮件是否正确,然后提供对我自己系统的访问权限。所以我不仅需要检查名称/密码,还要检查这个令牌是否真的来自 MS
    • 你不是从 MS 那里收到的吗?那么它当然是有效的。否则,您可以使用它来尝试访问该 JWT 假设授予访问权限的 MS api。如果调用成功,则 JWT 有效,否则无效。我认为您正在根据错误的假设设计身份验证。正如我在回答中所描述的,您不能相信 JWT 中的内容是可访问的并且不会随着时间的推移而改变。如果您希望您的用户基于 MS 登录访问您的服务,也许您可​​以使用 MS 的 oAuth2 服务?
    • 是的,我是从 MS 收到的,但在客户端使用 JS。我想我可以用它作为请求参数在服务器端调用我的“受保护的部分”。所以我需要检查 JWT 是否不是由不是 MS 的人发布的。也许,我需要重新考虑我所有的“重新发明的安全流程”
    • 我也这么认为,因为您没有签名密钥,无法控制谁可以访问您的系统。祝你好运
    猜你喜欢
    • 2023-04-01
    • 2017-07-09
    • 2021-06-27
    • 2019-08-15
    • 2021-05-17
    • 2019-06-24
    • 2018-06-22
    • 2020-01-30
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode