System.Security.Claims.ClaimType 角色不匹配

Posted 2023-03-10

【中文标题】System.Security.Claims.ClaimType 角色不匹配

【英文标题】：System.Security.Claims.ClaimType Role doesn't match

【发布时间】：2017-06-29 14:36:39

【问题描述】：

只是想了解一个问题，在我的脑海中似乎是 Microsoft System.Security dll 中的一个错误，但可能是我做错了。

我正在尝试自定义实现 JWT 令牌。我创建声明和令牌：

var claimsIdentity = new ClaimsIdentity(new List<System.Security.Claims.Claim>()
            
                new System.Security.Claims.Claim(ClaimTypes.Sid, "1"),
                new System.Security.Claims.Claim(ClaimTypes.Role, "1"),
            ,"Custom");


var securityTokenDescriptor = new SecurityTokenDescriptor()
            
                AppliesToAddress = Keys.Core.WebsiteDomain,
                TokenIssuerName = Keys.Core.WebsiteDomain,
                Subject = claimsIdentity,
                SigningCredentials = signingCredentials,
            ;

            var tokenHandler = new JwtSecurityTokenHandler();
            var plainToken = tokenHandler.CreateToken(securityTokenDescriptor);
            var signedAndEncodedToken = tokenHandler.WriteToken(plainToken);

            return signedAndEncodedToken;

然后我去检索令牌以及用户 (SID) 和角色值：

var roleId = stream.Claims.SingleOrDefault(x => x.Type == ClaimTypes.Role).Value;
var userId = stream.Claims.SingleOrDefault(x => x.Type == ClaimTypes.Sid).Value;

验证函数：

private static JwtSecurityToken Validate(string signedAndEncodedToken)
        
            var tokenHandler = new CustomJwtSecurityTokenHandler();

            var plainTextSecurityKey = Keys.Security.TokenSecret;
            var signingKey = new InMemorySymmetricSecurityKey(
                Encoding.UTF8.GetBytes(plainTextSecurityKey));

            var tokenValidationParameters = new TokenValidationParameters()
            
                ValidateIssuer = false,
                ValidateAudience = false,
                IssuerSigningKey = signingKey
            ;

            SecurityToken validatedToken;
            tokenHandler.ValidateToken(signedAndEncodedToken, tokenValidationParameters, out validatedToken);
            var jwtToken = validatedToken as JwtSecurityToken;
            return validatedToken as JwtSecurityToken;
        

现在，我的 UserID (ClaimType.SID) 似乎可以正确返回，但我的 RoleId (ClaimType.Role) 以不存在的形式返回。如果我更改 x.Type == "role" 它可以正常工作。

在检查 Claim.Type SID 时显示为：http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid

但 Claim.Type Role 显示为：Role。

ClaimTypes.Role 具有完整的架构路径。

这是一个错误，还是我遗漏了什么？

【问题讨论】：

你能发布一个示例令牌吗？

【参考方案1】：

我意识到有些时候已经过去了，但作为对此感到惊讶的人，我确实在JwtSecurityToken.Claims 属性上看到了这条评论：

返回的声明不会根据JwtSecurityTokenHandler.InboundClaimTypeMap 翻译Claim.Type

因此，如果您想在解码后的令牌中搜索时使用ClaimTypes，您只需在该字典中运行它并知道您没有发疯或做错任何事。

        Assert.Equal(
            "Nicholas Piasecki", 
            parsedToken
                .Claims
                .Single(x =>
                
                    var map = JwtSecurityTokenHandler.DefaultInboundClaimTypeMap;

                    if (map.TryGetValue(x.Type, out var mapped))
                    
                        return mapped == ClaimTypes.GivenName;
                    

                    return false;
                )
                .Value);