ASP.NET 通过 JWT 令牌授权和自定义角色的问题
问题描述 投票:0回答:1
我正在开发一个项目,在该项目中我需要通过角色限制对某些 API 端点的访问。在将 Authorize 标头添加到我想要测试的端点后,我遇到了问题。
我不确定 Login?ReturnUrl 的用途或它的含义。不过,我可以看出 cookie 似乎包含发送请求的角色(以及正确的角色)。
我尝试更改 jwt 和 csrf 令牌,但它们都设置为 SameSiteMode.None 并且安全为 true。出于安全目的,JWT 令牌是 HttpOnly。
AddVoertuig(我正在尝试使用的端点)
[HttpPost("AddVoertuig")]
[Authorize(Roles = "Particulier,Zakelijk,Wagenparkbeheerder")]
public async Task<IActionResult> AddVoertuig([FromBody] Voertuig voertuig)
{
if (voertuig == null)
{
return BadRequest("Er is iets fout gegaan tijdens het toevoegen. Probeer het opnieuw!");
}
_context.Voertuigen.Add(voertuig);
await _context.SaveChangesAsync();
return CreatedAtAction(nameof(GetVoertuig), new { Id = voertuig.VoertuigID }, voertuig);
}
这是我发送请求的地方
try {
const resultaat = await fetchCsrf("http://localhost:5202/api/VoertuigBeheer/AddVoertuig", {
method: "POST",
headers: {
"Content-Type": "application/json"
},
credentials: "include",
body: JSON.stringify(voertuigData)
});
if (resultaat.ok) {
alert("Voertuig toegevoegd!");
formulier.reset();
} else {
alert("Er is iets fout gegaan tijdens het toevoegen van het voertuig. Probeer het opnieuw!");
}
} catch (error) {
console.error("Fout: ", error);
}
我认为我还添加了正确的配置
builder.Services.AddAuthentication(options =>
{
options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = builder.Configuration["Jwt:Issuer"],
ValidAudience = builder.Configuration["Jwt:Audience"],
IssuerSigningKey = new Microsoft.IdentityModel.Tokens.SymmetricSecurityKey(
System.Text.Encoding.UTF8.GetBytes(builder.Configuration["Jwt:Key"])
),
};
options.Events = new JwtBearerEvents
{
OnMessageReceived = context =>
{
var token = context.Request.Cookies["jwtToken"];
if (!string.IsNullOrEmpty(token))
{
context.Token = token;
}
return Task.CompletedTask;
}
};
});
这应该读取 cookie 并从中检索角色,以便用户得到正确的身份验证。我错过了什么?
1个回答
0
投票
投票
就您而言,如果您使用
[Authorize][Authorize(Roles = "Particulier,Zakelijk,Wagenparkbeheerder")]这是因为您正在尝试基于 JWT 身份验证自定义角色验证,它需要您按照 ASP.NET Core 中基于策略的授权 创建自定义策略,在策略中,您需要编写验证逻辑jwt 令牌中包含的角色声明。
这听起来很奇怪,因为 ASP.NET Core 内置了基于角色的授权,对吗?我们看一下这个文档,你会发现角色并不是jwt auth中包含的声明,而是由asp.net core默认身份实现的绑定到用户的角色。就像你知道的,当我们创建一个用户时,我们总是给这个用户分配角色,角色信息将存储在数据库中,每当用户登录时,也会查询用户角色信息,你的
[Authorize(Roles = "Particulier,Zakelijk,Wagenparkbeheerder")]您可以按照我分享的链接创建基于策略的授权,它需要创建AuthorizationHandler来检查角色。我在这里进行了测试,您可以参考它以了解更多详细信息。
最新问题
- 将项目添加到列表
- 访问被阻止:此应用程序的请求无效,Google Auth 错误
- std::source_location 是否保证重用同一个对象?
- Google Play 帐户终止
- Python-Polars:结构列的跨域计算
- OpenGL ES 中使用的 3D 立方体的法线是什么?
- 如何在kmp web wasm项目中使用ktor或网络
- ios/Pods/Headers/Private/openssl_grpc/BoringSSL-GRPC.modulemap'未找到
- 如何使用已保存的搜索公式来验证 NetSuite 中的项目行 {custom_department.subsidiary} 是否包含项目行 {custom_subsidiary}?
- 未解决的依赖项 libs.pjsip.android
- 域用户的 Google Oauth2 刷新令牌一天后到期
- 如何使用属性禁用 Rust 中的单元测试?
- 来自另一个 cpp 文件的函数内部的变量声明
- 为什么我的 OpenTelemetry java 扩展无法工作
- C# Forms 如何在应用程序初始化之前单独选择一个标签并对其进行操作
- 在对 SendGrid 电子邮件活动源 API 的复合查询请求中包含 CONTAINS 关键字的正确方法是什么?
- 匿名函数在 JavaScript 中是一种不好的做法吗?
- 如何为 Eval 创建或引用空 Ruby 绑定
- 在节点数量未知的内存中存储信息
- 通过 Azure Key Vault 进行 ClickOnce 签名
© www.soinside.com 2019 - 2024. All rights reserved.