ASP.NET CORE如何使用JWKS来做认证和授权

最新推荐文章于 2023-10-13 16:46:22 发布
最新推荐文章于 2023-10-13 16:46:22 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: .Net Core API 文章标签: asp.net jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/surfirst/article/details/109735138
版权

JWKS是JSON Web Keys的缩写。如果API Service使用第三方的JWT Token来做认证和授权,那么通常第三方会提供一个JWKS地址,这个地址里有用来验证token的公钥。

下面是从 okta 取到的一个 JWKS 的内容示例。我们可以看到这里有两个RSA RS256 公钥。

{
  "keys": [
    {
      "kty": "RSA",
      "alg": "RS256",
      "kid": "hE2MW0jokw9QCkomGHA9zNAxnxIUc_vCVGmdc0DyE1U",
      "use": "sig",
      "e": "AQAB",
      "n": "p4s6EnKfkDU8fVh6QWOcWEDvBzFQO6EKx0URotAjj-3yakrRvhS7O9CYx6QUY8URjHfc3vgW5Do86Fgf0AcJVk_UnKhn_K4_MIzvSBspX8lIHKa7BZIstW9CcfRVtCQ1o8uhcJdRBPZ9SvqJZsK-zkIukARiqezH90tFKaDN1mYx3b9t0hVF6d6RtSZUwRphqpr7c9A_ySVT44QXYzHfuojypxlUSqx5pu4bwEedIlsyYNArzB3wdBfUXYM-8W5kiB5ntVWCPLLFrv4DilHGpMsAcrLn1iEFC0F-4skU-kkyhe3uw8cnjGXCbaOZnC6dJ1BsUkwYsS53o5rRsTt-xw"
    },
    {
      "kty": "RSA",
      "alg": "RS256",
      "kid": "Z6RuPqgZz9RVgZWEvVXvbUtu9o4sFmkE03DpcXrnJZ8",
      "use": "sig",
      "e": "AQAB",
      "n": "i223012Y_-gKCki2CkH4Xt3nk7P74Dliq6TolKWRs13nqTL69VMR_u3ewJ0Fuhe7odF_mxHs-kKe88AG_tQgSpxfsWoa0Cqa6cdudbe3Xq55Vgj2ghyF2pRAZCNU983--Kbfqxi2WyMeNnL8FD2us6euB-TWVfE4OL20p0PJbg46uMhjLgefXrOYY1sqrvGr_D2Jb4hHcaA0CY7RF8bYh4YV3ExJW2zH8bFBN0wnQnsCDtdLtL-ud_X_52ttQ2a2_VnUDabw6imEZ-ydmjjwtRPDFO8gvoGsyTiN7pgvbo4M4iePK02_Z_xLmwnsqiXP59NP_BTjOhksYBqUNO_YLQ"
    }
  ]
}

ASP.NET CORE 是通过支持 OpenId 协议来支持 JWKS 的,如果开发者只使用到 JWKS,那么开发者需要自己修改 OpenId 的参数来支持 JWKS 或者写单独的代码通过手动下载公钥和设置 TokenValidationParameters.IssuerSigningKeys 来解决问题。

幸运的是强大的开源社区给我们提供了解决方案,使用 Nuget 安装 NetDevPack.JwtExtensions,然后在 StartUp.ConfigureServices 里使用类似于下面的代码就可以简单的使用 JWKS 了。

// JWKS
            var jwksUrl = this.Configuration.GetValue<string>("Authentication:Jwks_uri");
            var issuer = this.Configuration.GetValue<string>("Authentication:ValidIssuer");
            var validateIssuer = this.Configuration.GetValue<bool>("Authentication:ValidateIssuer");

            services.AddAuthentication(o => 
                {
                    o.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                    o.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
                })
                .AddJwtBearer(options =>
                {                    
                    // 加上下面的cert选项,你自己签名的证书也可以通过了
                    var httpClientHandler = new HttpClientHandler();
                    httpClientHandler.ServerCertificateCustomValidationCallback = HttpClientHandler.DangerousAcceptAnyServerCertificateValidator;

                    options.SetJwksOptions(new JwkOptions(jwksUrl));
                    options.RequireHttpsMetadata = false;
                    options.SaveToken = true;
                    options.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
                    {
                        ValidateIssuer = validateIssuer,
                        ValidIssuer = issuer,
                        ValidateAudience = false,
                        ValidateLifetime = true,
                        RequireExpirationTime = true
                    };
                });

注意Github上只说使用 options.SetJwksOptions(new JwkOptions(jwksUrl)) 就可以了,实际上是不行的,如果不设置 TokenValidationParameters 相关的参数,你可能会看到类似下面的错误。切记!另外,证书是自己签名的,就需要加上 HttpClientHandler.DangerousAcceptAnyServerCertificateValidator 这句话,要不会看到 ssl 连接错误。
The issuer is invalid
最后别忘了在 Startup.Configure 里加上

         public void Configure(IApplicationBuilder app, IWebHostEnvironment env, IApiVersionDescriptionProvider provider)
        {
        	...
        	
            app.UseAuthentication();            
            app.UseAuthorization();
            
            ...
		}

参考资料:
https://github.com/NetDevPack/Security.JwtExtensions

surfirst
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
jwt:使用jwks端点的JWT验证程序
05-15
智威汤逊 另一个jwt验证程序...。我只是找不到与jwks_uris一起使用的验证程序。
JWK和JWKs的格式
热门推荐
JosephThatwho的博客
03-16 9万+
JWK,全称JSON Web Key,是一个JSON对象,表示一个加密的密钥。JWK中的字段表示密钥的属性。 JWK中的参数 “kty”(key type) 表示密钥使用的加密算法,比如“RSA”或者“EC”等,是大小写敏感的字符串。JWK中必须携带这个字段。 “use”(Public Key Use) 表示公钥的使用目的。指示公钥是用于加密数据还是用于验证数据上的签名。可以是如下值: “sig”(signature) “enc”(encryption) 大小写敏感。可以选择性携带。 “key_
SpringSecurity OAuth2中关于TokenStore实现类JwtTokenStore的详解
向心行者
01-17 6674
1、前言   在《SpringSecurity OAuth2中真正创建Token的实现类DefaultTokenServices、TokenStore(Token存储管理)的详解》中,我们分析了在OAuth2中,Token是如何创建的,同时也了解了TokenStore是如何管理Token的,并详细分析了InMemoryTokenStore 实现类的逻辑,而JdbcTokenStore 和 RedisTokenStore 实现思路是类似的,但是JwtTokenStore 的实现类就和InMemoryToken
JWT安全漏洞以及常见攻击方式
02-18 7056
随着web应用的日渐复杂化,某些场景下,仅使用Cookie、Session等常见的身份鉴别方式无法满足业务的需要,JWT也就应运而生,JWT可以有效的解决分布式场景下的身份鉴别问题,并且会规避掉一些安全问题,如CORS跨域漏洞,CSRF漏洞等。JWT即Json Web Token的缩写,顾名思义,是Token的一种。它常被用来在向服务器发起请求时用作身份认证使用JWT作为身份认证的优势在于:它不需要在服务端去保留用户的认证信息。
深入了解 Json Web Token 之概念篇
公众号:Java后端
10-19 2729
点击上方Java后端,选择设为星标优质文章,及时送达以下,可能你能够在各大网站上搜到,但是对于JWE 的内容,却鲜有见闻。下文是我读了json web token handle bo...
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
ASP.NET Core使用 JWT 实现令牌认证授权范例程序代码
07-02
总结来说,ASP.NET Core结合JWT提供了一种强大且安全的身份验证和授权机制。理解如何配置JWT认证中间件、生成和验证JWT,以及使用授权特性是开发安全Web应用的关键步骤。通过LoginDemo项目,你可以更深入地了解这些...
asp.net core 6 api简单授权认证
07-23
ASP.NET Core 6 API 简单授权认证是构建安全Web API的重要环节,它确保只有经过验证的用户或服务能够访问敏感数据或执行特定操作。在这个框架中,授权是通过策略来实现的,这些策略定义了用户必须满足的条件才能访问...
Asp.net Core中实现自定义身份认证的示例代码
10-15
整个认证过程是声明式和授权策略驱动的。*** Core框架利用声明来授权决策,允许更灵活的安全策略的定义和实现。此外,*** Core还内置了对多种身份认证类型的支持,比如Cookie认证、Bearer认证等。 综上所述,...
jwks:针对RS256 JWKS URI验证JWT的简单库
03-04
ks 用于针对RS256 JWKS URI验证JWT的简单库 安装 将依赖项添加到您的shard.yml : dependencies : jwks : github : place-lab/jwks 运行分shards install 用法 require " jwks " 待办事项:在此处写下使用说明 发展 待办事项:在此处编写开发说明 贡献 分叉( ) 创建功能分支( git checkout -b my-new-feature ) 提交更改( git commit -am 'Add some feature' ) 推送到分支( git push origin my-new-feature ) 创建一个新的拉取请求 贡献者 -创作者和维护者
jwks-endpoint:简单的jwks端点
03-18
JWKS端点 简单的JWKS端点
node-jwks-rsa, 从 JWKS ( JSON网络密钥集) 端点检索 RSA public 密钥的库.zip
09-17
node-jwks-rsa, 从 JWKS ( JSON网络密钥集) 端点检索 RSA public 密钥的库 jwks-rsa从 JWKS ( JSON网络密钥集) 端点检索RSA签名密钥的库。npm安装 --save jwks-rsa用法你将向客户端提供公开签名密钥的JWKS端点。 使用 getSigningKey,你可以获得与特定 k
JWT认证漏洞总结
渗透测试研究中心
09-16 4516
通过对众多靶场案例漏洞测试,其中弱密钥、密钥泄露、不校验签名、信息泄露这些问题出现的居多,像更改 Header 不使用签名,暂时在实际生产环境中没遇到过。测试方面遇到 JWT可利用 jwt-tools 工具进行测试,将所有已知漏洞都测试一遍,避免遗漏。密钥。
java jwks_JWKS | MONKEYK.博客
weixin_39603469的博客
02-28 1255
JWK在OIDC中的主要作用是为JWT(id_token)提供加密密钥,用于加密/解密或签名/验签,是JSON格式的数据。综上所说,掌握了如何生成JWK,再按照JWKS协议的要求组合起来即可。根据使用不同的加密算法,各种算法的JWK展示内容会有些区别,一个使用RSA算法的JWK格式的数据如下,使用jose4j生成:{"kty": "RSA","kid": "myoidc-keyid","use":...
数字证书实战经验——ASN.1语法及JWKS
最新发布
JunyeeJunZuo的博客
10-13 782
JWK是json web key,可通过json格式描述证书的一些特征ECC证书的核心元素字段x,y,d。其中xy构成公钥RSA证书的核心元素字段n,e,qi,dq,q,dp,p,d,其中ne构成公钥可以通过提供的这些特征计算出证书。
Spring Security OAuth2实现简单的密钥轮换及配置资源服务器JWK缓存
new_ord的博客
09-15 2429
本文介绍Spring Security OAuth2实现简单的密钥轮换,为了维护安全性,保持私钥免受任何网络攻击是所必需的。
ASP.NET Core深入理解JWT认证授权
本文档详细介绍了ASP.NET Core使用JWT(JSON Web Tokens)进行认证授权的方法,探讨了JWT的优势和劣势,并提供了在ASP.NET Core项目中集成JWT认证的步骤。 在现代Web应用开发中,认证授权是核心功能之一。随着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

surfirst

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值