.Net Core 2 JWT,Angular 2 通过角色授权不起作用
Posted
技术标签:
【中文标题】.Net Core 2 JWT,Angular 2 通过角色授权不起作用【英文标题】:.Net Core 2 JWT, Angular 2 Authorization through roles does not work 【发布时间】:2018-04-13 02:49:43 【问题描述】:我在使用 JWT 生成的令牌中有以下有用的负载
“子”:“flamelsoft@gmail.com”, “jti”:“0bca1034-f3ce-4f72-bd91-65c1a61924c4”, "http://schemas.microsoft.com/ws/2008/06/identity/claims/role": "管理员", “exp”:1509480891, "iss": "http://localhost:40528", "aud": "http://localhost:40528"
使用此代码 启动.cs
public void ConfigureServices(IServiceCollection services)
services.AddDbContext<DBContextSCM>(options =>
options.Usemysql(Configuration.GetConnectionString("DefaultConnection"), b =>
b.MigrationsAssembly("FlamelsoftSCM")));
services.AddIdentity<User, Role>()
.AddEntityFrameworkStores<DBContextSCM>()
.AddDefaultTokenProviders();
services.AddScoped(typeof(IRepository<>), typeof(Repository<>));
services.AddAuthentication()
.AddJwtBearer(cfg =>
cfg.RequireHttpsMetadata = false;
cfg.SaveToken = true;
cfg.TokenValidationParameters = new TokenValidationParameters()
ValidIssuer = Configuration["Tokens:Issuer"],
ValidAudience = Configuration["Tokens:Issuer"],
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Tokens:Key"]))
;
);
services.AddMvc();
AccountController.cs
[HttpPost]
[Authorize(Roles="Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
try
var user = new User UserName = model.Email, Email = model.Email ;
var result = await _userManager.CreateAsync(user, model.Password);
if (result.Succeeded)
var role = await _roleManager.FindByIdAsync(model.Role);
result = await _userManager.AddToRoleAsync(user, role.Name);
if (result.Succeeded)
return View(model);
return BadRequest($"Error: Could not create user");
catch (Exception ex)
return BadRequest($"Error: ex.Message");
user.service.ts
export class UserService
constructor(private http: Http, private config: AppConfig, private currentUser: User)
create(user: User)
return this.http.post(this.config.apiUrl + 'Account/Register', user, this.jwt());
private jwt()
const userJson = localStorage.getItem('currentUser');
this.currentUser = userJson !== null ? JSON.parse(userJson) : new User();
if (this.currentUser && this.currentUser.token)
let headers = new Headers( 'Authorization': 'Bearer ' + this.currentUser.token );
return new RequestOptions( headers: headers );
问题是角色的验证不起作用,请求到达控制器并在header中返回代码200,但从未进入类。 当我删除 [Authorize (Roles = "Administrator")] 时,它会正确输入我的代码。 有什么不好定义的吗?或者通过角色定义授权的替代方法。
【问题讨论】:
我认为第一步是确定是身份验证还是授权失败。你能用[Authorize] 替换[Authorize (Roles = "Administrator")] 吗?这将强制用户成功通过身份验证,但不要求他们是Administrator 角色的一部分。根据结果,我们将决定下一步看哪里。
是正确的,如果我用 [Authorize] 替换 [Authorize (Roles = "Administrator")] 如果它有效。我认为问题如下。未找到声明/角色 URI。 schemas.microsoft.com/ws/2008/06/identity/claims/role
知道如何解决吗?
我可以建议您使用 JWT 中间件事件来检查从令牌生成的 ClaimsPrincipal。 JwtBearerOptions 公开了一个 Events 属性,允许您在身份验证过程的不同阶段挂钩一些逻辑。 TokenValidated 方法将在身份验证成功后调用,您可以使用see here。检查生成的主体的声明并给我们结果。
非常感谢,解决方法如下,[Authorize(AuthenticationSchemes = "Bearer", Roles = "Administrator")]
【参考方案1】:
TL;DR
如原问题的 cmets 中所述,更改:
[HttpPost]
[Authorize(Roles = "Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
// Code
到
[HttpPost]
[Authorize(AuthenticationSchemes = "Bearer", Roles = "Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
// Code
解决了这个问题。
Bearer 是在 ASP.NET Core 中使用 JWT 不记名身份验证时的 default authentication scheme name。
但是为什么我们需要在[Authorize] 属性上指定AuthenticationSchemes 属性呢?
这是因为配置身份验证方案并不意味着它们将在每个 HTTP 请求上运行。如果匿名用户可以访问特定操作,为什么还要从 cookie 或令牌中提取用户信息? MVC 对此很聪明,只会在需要时运行身份验证处理程序,即在受到某种保护的请求期间。
在我们的例子中,MVC 发现了[Authorize] 属性,因此知道它必须运行身份验证和授权来确定请求是否被授权。诀窍在于它只会运行已指定的authentication schemes handlers。在这里,我们没有,因此没有执行身份验证,这意味着授权失败,因为请求被认为是匿名的。
将身份验证方案添加到属性指示 MVC 运行该处理程序,该处理程序从 HTTP 请求中的令牌中提取用户信息,从而发现Administrator 角色,并允许该请求。
附带说明,还有另一种方法可以实现这一点,而无需使用[Authorize] 属性的AuthenticationSchemes 属性。
假设您的应用程序只配置了一个身份验证方案,必须在每个 [Authorize] 属性上指定 AuthenticationSchemes 属性会很痛苦。
使用 ASP.NET Core,您可以配置 默认 身份验证方案。这样做意味着将为每个 HTTP 请求运行关联的处理程序,而不管资源是否受到保护。
设置分为两部分:
public class Startup
public void ConfiguresServices(IServiceCollection services)
services
.AddAuthentication(JwtBearerDefaults.AuthenticationScheme /* this sets the default authentication scheme */)
.AddJwtBearer(options =>
// Configure options here
);
public void Configure(IApplicationBuilder app)
// This inserts the middleware that will execute the
// default authentication scheme handler on every request
app.UseAuthentication();
app.UseMvc();
这样做意味着当 MVC 评估请求是否被授权时,已经进行了身份验证,因此不为 [Authorize] 属性的 AuthenticationSchemes 属性指定任何值不会有问题.
该过程的授权部分仍将运行并检查经过身份验证的用户是否属于Administrator 组。
【讨论】:
【参考方案2】:我知道这个问题已经有了答案,但是这里遗漏了一些重要的东西。您需要确保您实际上是为登录用户设置声明。就我而言,我使用的是 JWT 身份验证,所以这一步非常重要:
var claims = new ClaimsIdentity(new[] new Claim(ClaimTypes.NameIdentifier, user.UserName) );
var roles = await _userManager.GetRolesAsync(user);
if (roles.Count > 0)
foreach (var role in roles) claims.AddClaim(new Claim(ClaimTypes.Role, role));
var token = new JwtSecurityToken(
issuer: _configuration["JWT:Issuer"],
audience: _configuration["JWT:Audience"],
expires: DateTime.UtcNow.AddMinutes(15),
signingCredentials: signingCredentials,
claims: claims.Claims);
我拼命想弄清楚为什么HttpContext.User 没有包含我试图缩小[Authroization(Roles="Admin")] 问题范围的预期内容。事实证明,如果您使用的是 JWT Auth,您需要记住将 Claims[] 设置为身份。也许这是通过其他dotnet 方式自动完成的,但jwt 似乎需要您手动设置。
在我为用户设置声明后,[Authorize(Roles = "Whatever")] 按预期工作。
【讨论】:
嘘,我这样做的次数。我刚刚开始在我的身份验证属性中再次使用角色。没用...开始四处寻找。找到你的帖子。检查了我的代码......我在 6 个月前注释掉了我所有的索赔代码,放弃了这个项目,然后又回来了。我怎么可能是个白痴。谢谢。以上是关于.Net Core 2 JWT,Angular 2 通过角色授权不起作用的主要内容,如果未能解决你的问题,请参考以下文章
.net core 2.2 应用程序的 JWT 身份验证不使用身份
asp.net core + angular2 JWT 承载
将 JWT Bearer Authentication Web API 与 Asp.Net Core 2.0 结合使用的问题