JWT 不记名令牌不适用于 ASP.Net Core 3.1 + Identity Server 4
Posted
技术标签:
【中文标题】JWT 不记名令牌不适用于 ASP.Net Core 3.1 + Identity Server 4【英文标题】:JWT Bearer Token not working with ASP.Net Core 3.1 + Identity Server 4 【发布时间】:2020-10-19 17:22:38 【问题描述】:我目前正在尝试为正在开发的移动应用程序创建一个 Web api。
我决定使用带有 Indentity Server 的 ASP.Net Core 3.1 来使用 OpenID Connect + PKCE 进行身份验证。
用户将通过 WebView 授权应用程序,访问令牌将用于对 api 的后续调用。 api的Controllers用[Authorize]
属性修饰。
我尝试使用一些脚手架代码进行身份验证,但现在我在苦苦挣扎,因为 jwt 令牌在某些情况下似乎无法被识别。
在脚手架代码中,Startup 类中的ConfigureServices
方法称为services.AddDefaultIdentity<ApplicationUser>()
。
问题在于,这还添加了我不需要/不想要的所有身份默认端点(/Account/Manage/Disable2fa、/Account/Manage/PersonalData 等)。
因此我将代码改为services.AddIdentity<ApplicationUser, IdentityRole>()
,因为我现在多次阅读AddDefaultIdentity()
显然与AddIdentity()
相同但也调用.AddDefaultUI()
在测试登录流程后,发现 api 控制器在进行更改后不再接受 Authorization: Bearer ...
Header 并且 api 调用总是被重定向到登录页面,就好像用户没有登录一样
当我将代码改回 AddDefaultIdentity 时,JWT 持有者令牌再次被正确验证,我可以使用 [Authorize] 属性访问控制器,但随后我又遇到了默认身份页面的问题...
我的问题是:如何使用 [Authorize] Arribute 和 JWT Bearer 标头保护我的 API 控制器,而不必包含默认身份 UI?
Startup.cs
using Microsoft.AspNetCore.Authentication;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.EntityFrameworkCore;
using Munchify.Web.Data;
using Munchify.Web.Models;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Extensions.Hosting;
using Microsoft.AspNetCore.Identity;
using Microsoft.AspNetCore.Identity.UI.Services;
using APIBackend.Web.Services;
namespace APIBackend.Web
public class Startup
public Startup(IConfiguration configuration)
Configuration = configuration;
public IConfiguration Configuration get;
// This method gets called by the runtime. Use this method to add services to the container.
public void ConfigureServices(IServiceCollection services)
services.AddDbContext<ApplicationDbContext>(options =>
options.UseSqlServer(
Configuration.GetConnectionString("DefaultConnection")));
services.AddIdentity<ApplicationUser, IdentityRole>(options => options.SignIn.RequireConfirmedAccount = true)
.AddEntityFrameworkStores<ApplicationDbContext>()
.AddDefaultTokenProviders();
services.ConfigureApplicationCookie(options =>
options.LoginPath = "/Identity/Account/Login";
);
services.AddIdentityServer()
.AddApiAuthorization<ApplicationUser, ApplicationDbContext>();
services.AddAuthentication()
.AddIdentityServerJwt();
services.AddTransient<IEmailSender, EmailSender>();
services.AddControllersWithViews();
services.AddRazorPages();
// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
if (env.IsDevelopment())
app.UseDeveloperExceptionPage();
app.UseDatabaseErrorPage();
else
app.UseExceptionHandler("/Error");
// The default HSTS value is 30 days. You may want to change this for production scenarios, see https://aka.ms/aspnetcore-hsts.
app.UseHsts();
app.UseHttpsRedirection();
app.UseStaticFiles();
app.UseRouting();
app.UseAuthentication();
app.UseIdentityServer();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
endpoints.MapControllerRoute(
name: "default",
pattern: "controller/action=Index/id?");
endpoints.MapRazorPages();
);
【问题讨论】:
【参考方案1】:我设法修复它?
我基本上只是换了
services.AddIdentity<ApplicationUser, IdentityRole>(options => options.SignIn.RequireConfirmedAccount = true)
.AddEntityFrameworkStores<ApplicationDbContext>()
.AddDefaultTokenProviders();
与
services.AddAuthentication(o =>
o.DefaultScheme = IdentityConstants.ApplicationScheme;
o.DefaultSignInScheme = IdentityConstants.ExternalScheme;
)
.AddIdentityCookies(o => );
var identityService = services.AddIdentityCore<ApplicationUser>(o =>
o.Stores.MaxLengthForKeys = 128;
o.SignIn.RequireConfirmedAccount = true;
)
.AddDefaultTokenProviders()
.AddEntityFrameworkStores<ApplicationDbContext>();
identityService.AddSignInManager();
identityService.Services.TryAddTransient<IEmailSender, EmailSender>();
因为这就是 AddDefaultIdentity() 在没有 UI 部分的情况下在幕后所做的事情。
现在我的 JWT 标头身份验证再次起作用
希望这可以帮助遇到同样问题的人:)
【讨论】:
以上是关于JWT 不记名令牌不适用于 ASP.Net Core 3.1 + Identity Server 4的主要内容,如果未能解决你的问题,请参考以下文章
JWT不记名令牌授权不起作用asp net core web api
ASP.NET Core API 使用 JWT 不记名令牌进行身份验证
在 ASP.NET Core 2.1 Web 客户端中存储不记名令牌的位置
无法使用 ASP.NET Core 从 JWT 令牌获取声明