我正在使用 Visual Studio 2015 Enterprise 和 ASP.NET vNext Beta8 来构建一个既发布又使用 JWT 令牌的端点。我最初是通过自己生成令牌来解决这个问题的,如此处所述。后来@Pinpoint 的一篇有用文章透露,可以将 AspNet.Security.OpenIdConnect.Server(又名 OIDC)配置为为我发放和使用令牌。
所以我按照这些说明,建立了一个端点,并通过提交来自邮递员的 x-www-form-urlencoded 帖子,我收到了一个合法的令牌:
{
"token_type": "bearer",
"access_token": "eyJ0eXAiO....",
"expires_in": "3599"
}
这很棒,但也是我卡住的地方。现在,我如何注释控制器操作以使其需要此不记名令牌?
我想我要做的就是用 [Authorize("Bearer")] 装饰我的控制器方法,添加一个身份验证方案:
services.AddAuthorization
(
options =>
{
options.AddPolicy
(
JwtBearerDefaults.AuthenticationScheme,
builder =>
{
builder.
AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme).
RequireAuthenticatedUser().
Build();
}
);
}
);
然后使用“Authorization Bearer eyJ0eXAiO ....”标题调用我的控制器操作,就像我在前面的示例中所做的那样。可悲的是,所有这些方法似乎都会产生一个异常:
处理请求时发生未处理的异常。
SocketException:无法建立连接,因为目标机器主动拒绝它 127.0.0.1:50000
WebException:无法连接到远程服务器
HttpRequestException:发送请求时发生错误。
IOException:IDX10804:无法从以下位置检索文档:“ http://localhost:50000/.well-known/openid-configuration ”。Microsoft.IdentityModel.Logging.LogHelper.Throw(字符串消息,类型 exceptionType,EventLevel logLevel,异常 innerException)
InvalidOperationException:IDX10803:无法从“ http://localhost:50000/.well-known/openid-configuration ”获取配置。内部异常:'IDX10804:无法从以下位置检索文档:' http://localhost:50000/.well-known/openid-configuration '.'。
考虑以下步骤来重现(但请不要考虑这个生产价值的代码):
如此处所述应用 ASP.NET Beta8 工具
打开 Visual Studio Enterprise 2015 并新建一个 Web API ASP.NET 5 Preview Template 项目
更改 project.json
{
“webroot”:“wwwroot”,
“版本”:“1.0.0-*”,
“依赖项”:{
“Microsoft.AspNet.IISPlatformHandler”:“1.0.0-beta8”,
“Microsoft.AspNet.Mvc”: “6.0.0-beta8”、
“Microsoft.AspNet.Server.Kestrel”:“1.0.0-beta8”、
“Microsoft.AspNet.Authentication.JwtBearer”:“1.0.0-beta8”、
“AspNet.Security.OpenIdConnect” .Server”:“1.0.0-beta3”、
“Microsoft.AspNet.Authentication.OpenIdConnect”:“1.0.0-beta8”、
“Microsoft.Framework.ConfigurationModel.Json”:“1.0.0-beta4”、
“Microsoft .AspNet.Diagnostics”:“1.0.0-beta8"
},
"commands": {
"web": "Microsoft.AspNet.Server.Kestrel"
},
"frameworks": {
“dnx451”:{}
},
“排除”:[
“wwwroot”,
“node_modules”
],
“publishExclude”:[
“ .user ”,
“ .vspscc”
]
}更改 Startup.cs 如下(这是@Pinpoint 的原始文章提供的;我删除了评论并添加了 AddAuthorization snip):
public class Startup
{
public Startup(IHostingEnvironment env)
{
}
public void ConfigureServices(IServiceCollection services)
{
services.AddAuthorization
(
options =>
{
options.AddPolicy
(
JwtBearerDefaults.AuthenticationScheme,
builder =>
{
builder.
AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme).
RequireAuthenticatedUser().
Build();
}
);
}
);
services.AddAuthentication();
services.AddCaching();
services.AddMvc();
services.AddOptions();
}
// Configure is called after ConfigureServices is called.
public void Configure(IApplicationBuilder app, IHostingEnvironment env, IOptions<AppSettings> appSettings)
{
app.UseDeveloperExceptionPage();
// Add a new middleware validating access tokens issued by the OIDC server.
app.UseJwtBearerAuthentication(options => {
options.AutomaticAuthentication = true;
options.Audience = "http://localhost:50000/";
options.Authority = "http://localhost:50000/";
options.ConfigurationManager = new ConfigurationManager<OpenIdConnectConfiguration>
(
metadataAddress : options.Authority + ".well-known/openid-configuration",
configRetriever : new OpenIdConnectConfigurationRetriever(),
docRetriever : new HttpDocumentRetriever { RequireHttps = false }
);
});
// Add a new middleware issuing tokens.
app.UseOpenIdConnectServer
(
configuration =>
{
configuration.Options.TokenEndpointPath= "/authorization/v1";
configuration.Options.AllowInsecureHttp = true;
configuration.Provider = new OpenIdConnectServerProvider {
OnValidateClientAuthentication = context =>
{
context.Skipped();
return Task.FromResult<object>(null);
},
OnGrantResourceOwnerCredentials = context =>
{
var identity = new ClaimsIdentity(OpenIdConnectDefaults.AuthenticationScheme);
identity.AddClaim( new Claim(ClaimTypes.NameIdentifier, "todo") );
identity.AddClaim( new Claim("urn:customclaim", "value", "token id_token"));
context.Validated(new ClaimsPrincipal(identity));
return Task.FromResult<object>(null);
}
};
}
);
app.UseMvc();
}
}
- 更改 Wizarded ValuesController.cs 以指定 Authorize 属性:
[Route("api/[controller]")]
public class ValuesController : Controller
{
// GET: api/values
[Authorize("Bearer")]
[HttpGet]
public IEnumerable<string> Get()
{
return new string[] { "value1", "value2" };
}
}
运行项目,并使用postman获取令牌。要获取令牌,请使用 x-www-form-urlencoded POST,其中“grant_type”为“password”,“username”为任何内容,“password”为任何内容,“resource”为 API 端点的地址。例如,我的特定 URL 是http://localhost:37734/authorization/v1。
复制 Base64 编码的令牌,然后使用该令牌使用 postman 调用向导值控制器。要使用令牌,请使用标头 Content-Type application/json 和 Authorization Bearer eyJ0eXAiO....(您的令牌)进行 GET。我的特定 URL 是http://localhost:37734/api/values。
观察前面提到的异常。
如果我在上面尝试的 [Authorize("Bearer")] 方法是错误的方法,如果有人可以帮助我了解如何使用 OIDC 摄取 JWT 令牌的最佳实践,我将非常感激。
谢谢你。