IdentityServer Token验证

最新推荐文章于 2021-02-23 15:11:09 发布
最新推荐文章于 2021-02-23 15:11:09 发布
阅读量787 收藏
点赞数
原文链接:http://www.cnblogs.com/uptothesky/p/8990683.html
版权

查看源码:https://github.com/IdentityServer/IdentityServer4/tree/release

API使用Client Credentials的token验证是使用jwt验证的

找到JwtBearerClientAssertionSecretParser 类

public async Task<ParsedSecret> ParseAsync(HttpContext context)
        {
            _logger.LogDebug("Start parsing for JWT client assertion in post body");

            if (!context.Request.HasFormContentType)
            {
                _logger.LogDebug("Content type is not a form");
                return null;
            }

            var body = await context.Request.ReadFormAsync();

            if (body != null)
            {
                var clientAssertionType = body[OidcConstants.TokenRequest.ClientAssertionType].FirstOrDefault();
                var clientAssertion = body[OidcConstants.TokenRequest.ClientAssertion].FirstOrDefault();

                if (clientAssertion.IsPresent()
                    && clientAssertionType == OidcConstants.ClientAssertionTypes.JwtBearer)
                {
                    if (clientAssertion.Length > _options.InputLengthRestrictions.Jwt)
                    {
                        _logger.LogError("Client assertion token exceeds maximum lenght.");
                        return null;
                    }

                    var clientId = GetClientIdFromToken(clientAssertion);
                    if (!clientId.IsPresent())
                    {
                        return null;
                    }

                    if (clientId.Length > _options.InputLengthRestrictions.ClientId)
                    {
                        _logger.LogError("Client ID exceeds maximum lenght.");
                        return null;
                    }

                    var parsedSecret = new ParsedSecret
                    {
                        Id = clientId,
                        Credential = clientAssertion,
                        Type = IdentityServerConstants.ParsedSecretTypes.JwtBearer
                    };

                    return parsedSecret;
                }
            }

            _logger.LogDebug("No JWT client assertion found in post body");
            return null;
        }
View Code

首先从Context中拿到token信息

然后从中解析出ClientId

private string GetClientIdFromToken(string token)
        {
            try
            {
                var jwt = new JwtSecurityToken(token);
                return jwt.Subject;
            }
            catch (Exception e)
            {
                _logger.LogWarning("Could not parse client assertion", e);
                return null;
            }
        }

获取到ClientId后进行判断

public async Task<ClientSecretValidationResult> ValidateAsync(HttpContext context)
        {
            _logger.LogDebug("Start client validation");

            var fail = new ClientSecretValidationResult
            {
                IsError = true
            };

            var parsedSecret = await _parser.ParseAsync(context);
            if (parsedSecret == null)
            {
                await RaiseFailureEventAsync("unknown", "No client id found");

                _logger.LogError("No client identifier found");
                return fail;
            }

            // load client
            var client = await _clients.FindEnabledClientByIdAsync(parsedSecret.Id);
            if (client == null)
            {
                await RaiseFailureEventAsync(parsedSecret.Id, "Unknown client");

                _logger.LogError("No client with id '{clientId}' found. aborting", parsedSecret.Id);
                return fail;
            }

            if (!client.RequireClientSecret || client.IsImplicitOnly())
            {
                _logger.LogDebug("Public Client - skipping secret validation success");
            }
            else
            {
                var result = await _validator.ValidateAsync(parsedSecret, client.ClientSecrets);
                if (result.Success == false)
                {
                    await RaiseFailureEventAsync(client.ClientId, "Invalid client secret");
                    _logger.LogError("Client secret validation failed for client: {clientId}.", client.ClientId);

                    return fail;
                }
            }

            _logger.LogDebug("Client validation success");

            var success = new ClientSecretValidationResult
            {
                IsError = false,
                Client = client,
                Secret = parsedSecret
            };

            await RaiseSuccessEventAsync(client.ClientId, parsedSecret.Type);
            return success;
        }
View Code

验证

public async Task<SecretValidationResult> ValidateAsync(ParsedSecret parsedSecret, IEnumerable<Secret> secrets)
        {
            var secretsArray = secrets as Secret[] ?? secrets.ToArray();

            var expiredSecrets = secretsArray.Where(s => s.Expiration.HasExpired(_clock.UtcNow.UtcDateTime)).ToList();
            if (expiredSecrets.Any())
            {
                expiredSecrets.ForEach(
                    ex => _logger.LogWarning("Secret [{description}] is expired", ex.Description ?? "no description"));
            }

            var currentSecrets = secretsArray.Where(s => !s.Expiration.HasExpired(_clock.UtcNow.UtcDateTime)).ToArray();

            // see if a registered validator can validate the secret
            foreach (var validator in _validators)
            {
                var secretValidationResult = await validator.ValidateAsync(currentSecrets, parsedSecret);

                if (secretValidationResult.Success)
                {
                    _logger.LogDebug("Secret validator success: {0}", validator.GetType().Name);
                    return secretValidationResult;
                }
            }

            _logger.LogDebug("Secret validators could not validate secret");
            return new SecretValidationResult { Success = false };
        }
View Code

 

在Web API项目中可以直接从Request中拿到token

var bearer = (((Microsoft.AspNetCore.Server.Kestrel.Core.Internal.Http.FrameRequestHeaders)Request.Headers).HeaderAuthorization);
            var token = bearer.ToString().Replace("Bearer ", "");
            JwtSecurityToken jwt = new JwtSecurityToken(token);
            var clientId = jwt.Claims.FirstOrDefault(x => x.Type == "client_id").Value;

 

转载于:https://www.cnblogs.com/uptothesky/p/8990683.html

denggai7071
关注
JWT产生和验证Token
yjclsx的博客
07-31 44万+
Token验证   最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token 的中文有人翻译成 “令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。 传统的Token验证 ...
ASP.NET Core WebAPI基于IdentityServer4实现Token令牌身份认证
跟着阿笨一起玩NET
01-31 1677
一、课程介绍 开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说如何确保提供的API服务的数据安全将会是需要思考的问题。在ASP.NET WebApi中我们应该如何保证我们的接口安全呢? 本次分享课程阿笨给大家分享的在ASP.NET Core中使用的是目前最流行、功能最强大的身份授权以及访问控制的解决方案——IdentityServer4(认证和授权),它是一套专注于...
IdentityServer4 请求api验证token时报:401 “IdentityServer4 AuthenticationScheme: Bearer was challenged.”错误
菜鸟爱飞不飞的博客
12-09 3454
如图,IdentityServer4 4.x版本包如下错误 解决办法: (1)检查api站点的api名称配置是否与认证站点的相同 (2)4.x再添加api资源的时候,跟之前版本有所区别,将ApiScope单独出来添加,所以要新增一个获取scope的方法(我这里是从数据库获取的),否则scope添加不上,还要特别注意第一个红框的内容,这个就是导致包上述错误的根本 (3)在添加鉴权配置的时候加上scope 参考: 1、Asp.Net Core 中IdentityServer4 授权中心之应用实战 2、
调接口提示HTTP Request is not success,Response code is 400
weixin_43638675的博客
02-23 2969
调接口提示HTTP Request is not success,Response code is 400 昨天调接口发现报400错误,因为调接口位置太多,查了老半天,发现接口使用GET提交,URL中有拼接全半角空格,修改之后就可以啦。(用POST提交就不会有这种问题) ...
【.NET Core项目实战-统一认证平台】第十章 授权篇-客户端授权
weixin_30820077的博客
12-11 652
【.NET Core项目实战-统一认证平台】开篇及目录索引 上篇文章介绍了如何使用Dapper持久化IdentityServer4(以下简称ids4)的信息,并实现了sqlserver和mysql两种方式存储,本篇将介绍如何使用ids4进行客户端授权。 .netcore项目实战交流群(637326624),有兴趣的朋友可以在群里交流讨论。 一、如何添加客户端授权? 在了解如何进行客户端授权时,...
Http Request Headers各属性的作用
热门推荐
笔杆__的博客
08-14 1万+
下图是我访问一个URL:http://www.hzau.edu.cn 的一个header,根据具体实例来分析一下各部分的功能及其作用。Accept 作用: 浏览器端可以接受的媒体类型, 例如: Accept: text/html 代表浏览器可以接受服务器回发的类型为 text/html 也就是我们常说的html文档,如果服务器无法返回text/html类型的数据,服务器应该返回一个406错误(n
CefSharp访问需要认证网页或接口(在Request的Headers中添加认证Token)
5653325的专栏
12-27 7913
…… private ChromiumWebBrowser browser; …… browser.RequestHandler = new MyRequestHandler(); …… public class MyRequestHandler : DefaultRequestHandler { public static readonly string Vers...
webapi token验证例子
04-09
WebAPI Token验证是一种常见的安全机制,它用于保护Web API接口免受未经授权的访问。在现代Web应用程序中,尤其是在基于RESTful架构的服务中,Token验证扮演着至关重要的角色。本示例将深入探讨如何在WebAPI中实现...
基于.net4.0实现IdentityServer4客户端JWT解密
10-17
在.NET 4.0环境下实现IdentityServer4客户端JWT解密的知识点可以分为以下几个主要部分: 1. JWT结构和组成部分 JWT(JSON Web Tokens)是安全地在各方之间传输信息的一种紧凑型、自包含的方式。一个JWT实际上是一个...
*** Core Web API中实现Token验证的全方位指南
资源摘要信息:"*** Core Web API之Token验证" *** Core Web API是微软推出的一款轻量级的Web API框架,它支持RESTful API的设计和开发。Token验证是Web API安全领域中的一项关键技术,它通过一种中间件来验证客户端...
捕捉HTTP数据,解析Request header
tracy_n的博客
01-03 3523
HTTP Request header当今web程序的开发技术真是百家争鸣,ASP.NET, PHP, JSP,Perl, AJAX 等等。 无论Web技术在未来如何发展,理解Web程序之间通信的基本协议相当重要, 因为它让我们理解了Web应用程序的内部工作. 本文将对HTTP协议进行详细的实例讲解,内容较多,希望大家耐心看。也希望对大家的开发工作或者测试工作有所帮助。使用Fiddler工具非常方便
9.Request Headers的用法
weixin_39422137的博客
09-16 1422
9.Request Headers的用法 import requests url = 'https://c.y.qq.com/base/fcgi-bin/fcg_global_comment_h5.fcg' # 这是那个,请求歌曲评论的url headers = { 'origin':'https://y.qq.com', # 请求来源,本案例中其实是不需要加这个参数的,只是为了演示 're...
Request Headers请求头和Response Headers响应头
小小的博客
04-09 6873
Request Headers Accept:告诉服务器,客户机支持的数据类型 Accept-Encoding:告诉服务器,客户机支持的数据压缩格式 Cache-Control:缓存控制,服务器通过控制浏览器要不要缓存数据 Connection:处理完这次请求,是断开连接还是保持连接 Cookie:客户机通过这个可以向服务器带数据 Host:访问的主机名 Upgrade-Insecure-Requ...
identityserver4 注意踩坑
qq_18986325的博客
09-25 3509
这里写自定义目录标题identityserver4 注意踩坑 identityserver4 注意踩坑 服务端日志 IdentityServer4.Validation.TokenRequestValidator[0] No scopes found in request, { “ClientId”: “pwdClient”, “GrantType”: “password”, “Raw”: { “client_id”: “pwdClient”, “client_secret”: “REDACTED”, “
CAS-Client客户端研究(三)-AssertionThreadLocalFilter
yuwenruli的专栏
07-13 1万+
言归正传,AssertionThreadLocalFilter作用很简单,就是将Assertion绑定到ThreadLocal,这样做有什么好处?这个要从ThreadLocal对象的作用来说起了,Why ThreadLocal?无论如何,要编写一个多线程安全(Thread-saf
jwt token注销_JWT的Token登录认证,你用过没?
weixin_35259908的博客
12-29 896
1.JWT简介JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。2 JSON Web Token的应用场景Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服...
浅谈对IdentityServer4 access_token 的理解
张峰的博客
11-01 2310
IDS4服务器通过JWT签名(我觉得是私钥签名)生成access_token ,JWT包含了 1.header 用于描述元信息,例如产生 signature 的算法: { "typ": "JWT", "alg": "HS256" } 其中alg关键字就指定了使用哪一种哈希算法来创建 signature  2.payload  payload 用于携带你希望向服务端传递的信息。你既可以往里添加...
IdentityServer4:IdentityServer4+API+Client实践OAuth2.0客户端模式(1)
zy5757的博客
08-29 1万+
一、OAuth2.0 1、OAuth2.0概念 OAuth2.0(Open Authorization)是一个开放授权协议;第三方应用不需要接触到用户的账户信息(如用户名密码),通过用户的授权访问用户资源 OAuth的步骤一般如下: 1、客户端要求用户给予授权 2、用户同意给予授权 3、根据上一步获得的授权,向认证服务器请求令牌(token) 4、认证服务器对授权进行认证,确认无误后
IdentityServer4源码颁发token分析及性能优化
weixin_33768481的博客
08-31 699
IdentityServer4源码地址 IdentityModel源码地址 以下的流程用ResourceOwnerPassword类型获取token作为介绍 分两种获取形式说明 token请求地址为默认TokenEndPoint的地址:"http://demo/connect/token"获取tokenIdentityModel的TokenClient请求获取token【...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值