Wie zu verwenden JWT in MVC-Anwendung zur Authentifizierung und Autorisierung?

Ich geplant, um zu verwenden ASP.NET Identität 2.0 in einem ASP.NET MVC-Anwendung zur Authentifizierung und Autorisierung.

Bezieht sich die unten stehenden link

JSON Web Token ASP.NET Web-API-2-mit Owin

War ich in der Lage, erstellen Sie ein access-token(JWT) für die gültigen Benutzer-d.h., Wenn der Benutzer Anmeldet, um die Anwendung, die ich überprüft, ob der Benutzer mit name und Passwort, dann werde ich die Frage ein JSON web token für die gültigen Benutzer.

Nun lese ich in einigen Artikeln, die wir brauchen, um passieren die bearer-token im Header für jeden request zur überprüfung des Benutzers für die Authentifizierung. In MVC bieten wir Ermächtigen Attribut für die Methoden, die geschützt werden muss, wie unten gezeigt...

      public class UserController : BaseHRAppController
      {
            [Authorize]
            public ActionResult Index()
            {          
               return View();
            }
       }

Wie zu sagen, mein MVC-Anwendung zu verwenden, JWT, die für die Validierung der Benutzer?

Möchte ich meine MVC-Anwendung den Benutzer überprüfen, mit JWT, wenn der Benutzer versucht, Zugriff auf die Methode mit Autorisierung Attribut. Da ich AJAX verwenden, Anrufe in viele Seiten zu access-Verfahren das in MVC-controller, ich glaube nicht, dass es gut zu pass, ein token auf jedem AJAX-request. Ich brauche Hilfe zu erreichen Authentifizierung und Autorisierung in einer effizienten Weise mit ASP.NET Identität in einer MVC-applicaton.

Derzeit, ich weiß nicht, wie diese zu verwenden, JWT token für die Authentifizierung und Autorisierung in einer MVC-Anwendung.

jedes Glück auf dieser? Ich denke, dass für die MVC-Anwendung, die Sie haben würde, um cookies zu verwenden, ich bin mir nicht sicher, aber, wie es scheint zu funktionieren. SPA-template in VS verwendet 2 Arten der Authentifizierung: cookies für MVC-und token für die Web-API

InformationsquelleAutor SDK | 2015-04-22

  1. 40

    Um MVC zu verstehen, etwas über Ihre JWT Sie haben im Grunde sagen Sie es 🙂 . Installieren Sie zuerst die Jwt-Paket von nuget:

    Install-Package Microsoft.Owin.Security.Jwt

    Dann öffnen Sie Ihr Startup.cs-Datei und fügen Sie eine neue Funktion, die einem sagen, MVC, wie verbrauchen JWT. An Grundlagen, die Ihr Startup wird etwa so Aussehen:

    using System.Configuration;
using Microsoft.Owin;
using Microsoft.Owin.Security;
using Microsoft.Owin.Security.DataHandler.Encoder;
using Microsoft.Owin.Security.Jwt;
using Owin;

[assembly: OwinStartupAttribute(typeof(TOMS.Frontend.Startup))]
namespace TOMS.Frontend
{
    public partial class Startup
    {
        public void Configuration(IAppBuilder app)
        {
            ConfigureAuth(app);
            ConfigureOAuthTokenConsumption(app);
        }

        private void ConfigureOAuthTokenConsumption(IAppBuilder app)
        {
            var issuer = ConfigurationManager.AppSettings["Issuer"];
            var audienceId = ConfigurationManager.AppSettings["AudienceId"];
            var audienceSecret = TextEncodings.Base64Url.Decode(ConfigurationManager.AppSettings["AudienceSecret"]);

            //Api controllers with an [Authorize] attribute will be validated with JWT
            app.UseJwtBearerAuthentication(new JwtBearerAuthenticationOptions
            {
                AuthenticationMode = AuthenticationMode.Active,
                AllowedAudiences = new[] { audienceId },
                IssuerSecurityTokenProviders = new IIssuerSecurityTokenProvider[]
                {
                    new SymmetricKeyIssuerSecurityTokenProvider(issuer, audienceSecret) 
                }
            });
        }
    }
}

    Werden Sie merken, dass ich die Platzierung der Aussteller, audienceId und audienceSecret in meinem Web.config-Datei. (Diese Werte sollten mit denjenigen übereinstimmen, die auf Ihrer Ressource Server). Auch, möchten Sie vielleicht, um sicherzustellen, Sie haben ein aktualisiertes System.IdentityModel.Token.Jwt läuft:

    Update-package System.IdentityModel.Tokens.Jwt

    Mit denen eingestellt ist, können Sie dekorieren Sie Ihre controller-Aktion, mit der [Genehmigen] - Attribut und ball spielen.

    Ball spielen natürlich Sinn Feuer Ihre Anfrage aus dem javascript auf das geschützte controller-action:

    //assuming you placed the token in a sessionStorage variable called tokenKey when it came back from your Authorization Server
    var token = sessionStorage.getItem(tokenKey);
    var headers = {};
    if (token) {
        headers.Authorization = 'Bearer ' + token;
    }

    $.ajax({
        type: 'GET',
        url: 'CONTROLLER/ACTION',
        headers: headers
    }).done(function (data) {
        self.result(data);
    }).fail(showError);

    UPDATE
    By The way, wenn Sie möchten, fügen Sie die Werte in Ihrem web.config-Datei, um Sie abzurufen, wie ich es Tat vor; fügen Sie diese einfach unter dem AppSettings:

    <configuration>
 <appSettings>
    <add key="Issuer" value="YOUR_ISSUER" />
    <add key="AudienceId" value="YOUR_AUDIENCEID" />
    <add key="AudienceSecret" value="YOUR_AUDIENCESECRET" />
 </appSettings>
</configuration>

    ...natürlich ersetzen die "Werte" mit Ihrem eigenen

    Wenn Sie Ihren Token wieder über JWT, dann können Sie Blick auf diese Antwort, die ich gab eine ähnliche Frage: stackoverflow.com/questions/29271314/...
    Wie platziere ich die Emittentin, audienceId und audienceSecret in meinem Web.config-Datei?
    überprüfen Sie das update in der Antwort.
    Tolle Antwort. Wie mischst du das mit standard-cookie-Authentifizierung? Ich habe eine MVC 5 Projekt mit normalen Controller, die geschützt sind mit der Authorize Attributs und die Verwendung von cookies. Aber ich habe auch Hinzugefügt einige ApiControllers, dass ich Sie schützen wollen, mit JWT. Wie kann ich es so machen cookies sind für den normalen Controller und JWT für Api-Controller?
    Check-out Shawn Artikel haben sollten, Sie einzurichten und zu gehen. Hoffe es hilft: wildermuth.com/2017/08/19/...

    InformationsquelleAutor Houdini Sutherland

  2. 10

    Ich weiß nicht, ob du das Problem gelöst, aber ich hatte ein ähnliches Problem und beschlossen, speichern Sie die token mit FormsAuthentication, welches ich war fähig zum verschlüsseln des token, und bei jeder Anfrage den cookie übergeben wurde, zurück und dann konnte ich entschlüsseln, um die JWT und ziehen Sie dann die Rollen/Ansprüche aus und verwenden Sie dann diese Rollen zu erstellen und Identität AUFTRAGGEBER, die erlauben würde, mich zu schmücken controller-Methoden mit [Autorisieren(Rolle="blah,blah")].

    Ist hier einige Beispiel-code unten.

    Sobald man den JSON web token zurück von der api, nach dem login, können Sie etwas wie:

    var returnedToken = (TokenResponse)result.ReturnedObject;
var ticket = new FormsAuthenticationTicket(1, model.Email, DateTime.Now, ConvertUnitToDateTime(returnedToken.expires_in), true, returnedToken.access_token);
string encryptedTicket = FormsAuthentication.Encrypt(ticket);
var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket);
cookie.HttpOnly = true;
Response.Cookies.Add(cookie)

    Habe ich einige meiner selbst erstellten Klassen und Methoden vorhanden, aber es wird Ihnen die Allgemeine Idee, die Sie speichern die JWT access-token sowie das Ablaufdatum in Ihrem FormsAuthentication cookie.

    Dann das cookie übergeben wird, mit jeder Anforderung und in Ihrem Global.asax-Datei Sie können eine Methode für die Authentifizierung der Anfrage:

    protected void Application_AuthenticateRequest(Object sender, EventArgs e)
{
    HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName];
    if (authCookie != null)
    {
        //Extract the forms authentication cookie
        FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value);

        JwtSecurityToken jwTok = TokenHelper.GetJWTokenFromCookie(authCookie); 

        //Create the IIdentity instance
        IIdentity id = new FormsIdentity(authTicket);

        //Create the IPrinciple instance
        IPrincipal principal = new GenericPrincipal(id, TokenHelper.GetRolesFromToken(jwTok).ToArray());

        //Set the context user
        Context.User = principal;
    }
}

    So, dass die Methode, die Sie würden entschlüsselt das cookie, um die JWT Zugriffstoken, die können Sie dann entschlüsseln Sie das System verwenden.IdentityModel.Token.Jwt-Bibliothek von Microsoft und nehmen Sie die Rollen und ID und generieren Sie die principal-und identity-für die Nutzer erstellt, die Ihre Benutzer mit den Rollen.

    Dann diese Rollen können validiert werden, gegen die [Genehmigen] - Attribut.

    Hab eine Frage: Wird diese Vorgehensweise schützt Sie vor CSRF-Angriffen?

    InformationsquelleAutor reverence12389

Schreibe einen Kommentar