13

所以我有一个 MVC6 应用程序,其中包括一个身份服务器(使用 ThinkTecture 的 IdentityServer3)和一个 MVC6 Web 服务应用程序。

在 Web 服务应用程序中,我在 Startup 中使用此代码:

app.UseOAuthBearerAuthentication(options =>
{
    options.Authority = "http://localhost:6418/identity";
    options.AutomaticAuthentication = true;
    options.Audience = "http://localhost:6418/identity/resources";
});

然后我有一个控制器,其动作具有该Authorize属性。

我有一个 JavaScript 应用程序,它通过身份服务器进行身份验证,然后使用提供的 JWT 令牌来访问 Web 服务操作。

这有效,我只能使用有效令牌访问该操作。

当 JWT 过期时,问题就来了。我得到的是一个冗长的 ASP.NET 500 错误页面,它返回以下异常的异常信息:

System.IdentityModel.Tokens.SecurityTokenExpiredException IDX10223:生命周期验证失败。令牌已过期。

我对 OAuth 和一般的 Web API 保护还很陌生,所以我可能有点偏离基础,但对于过期的令牌来说,500 错误对我来说似乎不合适。这对 Web 服务客户端绝对不友好。

这是预期的行为吗?如果不是,我需要做些什么来获得更合适的响应吗?

4

1 回答 1

11

编辑:此错误已在 ASP.NET Core RC2 中修复,不再需要此答案中描述的解决方法。

注意:由于其他错误此解决方法不适用于 ASP.NET 5 RC1。您可以迁移到 RC2 nightly builds 或创建自定义中间件来捕获 JWT 不记名中间件抛出的异常并返回 401 响应:

app.Use(next => async context => {
    try {
        await next(context);
    }

    catch {
        // If the headers have already been sent, you can't replace the status code.
        // In this case, throw an exception to close the connection.
        if (context.Response.HasStarted) {
            throw;
        }

        context.Response.StatusCode = 401;
    }
});

可悲的是,这就是 JWT/OAuth2 不记名中间件(由 MSFT 管理)目前默认工作的方式,但最终应该得到修复。您可以查看此 GitHub 票证以获取更多信息:https ://github.com/aspnet/Security/issues/411

AuthenticationFailed幸运的是,您可以使用通知“轻松”解决这个问题:

app.UseOAuthBearerAuthentication(options => {
    options.Notifications = new OAuthBearerAuthenticationNotifications {
        AuthenticationFailed = notification => {
            notification.HandleResponse();

            return Task.FromResult<object>(null);
        }
    };
});
于 2015-09-02T12:45:05.520 回答