.Net Core 2 JWT,Angular 2 通过角色授权不起作用
.Net Core 2 JWT, Angular 2 Authorization through roles does not work
我在使用 JWT 生成的令牌中有以下有用的负载
{
"sub": "flamelsoft@gmail.com",
"jti": "0bca1034-f3ce-4f72-bd91-65c1a61924c4",
"http://schemas.microsoft.com/ws/2008/06/identity/claims/role": "Administrator",
"exp": 1509480891,
"iss": "http://localhost:40528",
"aud": "http://localhost:40528"
}
用这个代码
Startup.cs
public void ConfigureServices(IServiceCollection services)
{
services.AddDbContext<DBContextSCM>(options =>
options.UseMySql(Configuration.GetConnectionString("DefaultConnection"), b =>
b.MigrationsAssembly("FlamelsoftSCM")));
services.AddIdentity<User, Role>()
.AddEntityFrameworkStores<DBContextSCM>()
.AddDefaultTokenProviders();
services.AddScoped(typeof(IRepository<>), typeof(Repository<>));
services.AddAuthentication()
.AddJwtBearer(cfg =>
{
cfg.RequireHttpsMetadata = false;
cfg.SaveToken = true;
cfg.TokenValidationParameters = new TokenValidationParameters()
{
ValidIssuer = Configuration["Tokens:Issuer"],
ValidAudience = Configuration["Tokens:Issuer"],
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Tokens:Key"]))
};
});
services.AddMvc();
}
AccountController.cs
[HttpPost]
[Authorize(Roles="Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
{
try
{
var user = new User { UserName = model.Email, Email = model.Email };
var result = await _userManager.CreateAsync(user, model.Password);
if (result.Succeeded)
{
var role = await _roleManager.FindByIdAsync(model.Role);
result = await _userManager.AddToRoleAsync(user, role.Name);
if (result.Succeeded)
return View(model);
}
return BadRequest($"Error: Could not create user");
}
catch (Exception ex)
{
return BadRequest($"Error: {ex.Message}");
}
}
user.service.ts
export class UserService {
constructor(private http: Http, private config: AppConfig, private currentUser: User) { }
create(user: User) {
return this.http.post(this.config.apiUrl + 'Account/Register', user, this.jwt());
}
private jwt() {
const userJson = localStorage.getItem('currentUser');
this.currentUser = userJson !== null ? JSON.parse(userJson) : new User();
if (this.currentUser && this.currentUser.token) {
let headers = new Headers({ 'Authorization': 'Bearer ' + this.currentUser.token });
return new RequestOptions({ headers: headers });
}
}}
问题是角色验证不起作用,请求到达控制器,returns header 中的代码 200,但从未进入 class .
当我删除 [Authorize (Roles = "Administrator")] 时,它会正确输入我的代码。
有什么东西定义不好吗?或者通过角色定义授权的替代方法是什么。
TL;DR
如原问题的评论中所述,更改:
[HttpPost]
[Authorize(Roles = "Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
{
// Code
}
到
[HttpPost]
[Authorize(AuthenticationSchemes = "Bearer", Roles = "Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
{
// Code
}
已解决问题。
Bearer是default authentication scheme name在ASP.NETCore中使用JWT承载认证时
但是为什么我们需要在 [Authorize] 属性上指定 AuthenticationSchemes 属性?
这是因为配置身份验证方案并不意味着它们将在每个 HTTP 请求上 运行。如果匿名用户可以访问特定操作,为什么还要费心从 cookie 或令牌中提取用户信息? MVC 对此很聪明,只会在需要时 运行 身份验证处理程序,也就是说,在以某种方式受到保护的请求期间。
在我们的例子中,MVC 发现了 [Authorize] 属性,因此知道它必须 运行 身份验证和授权来确定请求是否被授权。诀窍在于它只会 运行 已指定的 authentication schemes handlers 。在这里,我们有 none,所以没有执行身份验证,这意味着授权失败,因为请求被认为是匿名的。
向属性添加身份验证方案指示 MVC 运行 该处理程序从 HTTP 请求中的令牌中提取用户信息,从而导致发现 Administrator 角色,并且允许请求。
附带说明一下,还有另一种方法可以实现此目的,无需使用 [Authorize] 属性的 AuthenticationSchemes 属性。
假设您的应用程序只配置了一个身份验证方案,必须在每个 [Authorize] 属性上指定 AuthenticationSchemes 属性 会很痛苦。
使用ASP.NET核心,您可以配置默认身份验证方案。这样做意味着关联的处理程序对于每个 HTTP 请求都是 运行,无论资源是否受保护。
设置分两部分完成:
public class Startup
{
public void ConfiguresServices(IServiceCollection services)
{
services
.AddAuthentication(JwtBearerDefaults.AuthenticationScheme /* this sets the default authentication scheme */)
.AddJwtBearer(options =>
{
// Configure options here
});
}
public void Configure(IApplicationBuilder app)
{
// This inserts the middleware that will execute the
// default authentication scheme handler on every request
app.UseAuthentication();
app.UseMvc();
}
}
这样做意味着当 MVC 评估请求是否被授权时,身份验证已经发生,因此不为 AuthenticationSchemes 属性 指定任何值15=]属性不会有问题。
该过程的授权部分仍将 运行 并检查经过身份验证的用户是否属于 Administrator 组。
我知道这个问题已经有了答案,但这里漏掉了一些重要的东西。您需要确保您实际上是在为登录用户设置声明。就我而言,我使用的是 JWT 身份验证,所以这一步非常重要:
var claims = new ClaimsIdentity(new[] { new Claim(ClaimTypes.NameIdentifier, user.UserName) });
var roles = await _userManager.GetRolesAsync(user);
if (roles.Count > 0)
{
foreach (var role in roles) { claims.AddClaim(new Claim(ClaimTypes.Role, role)); }
}
var token = new JwtSecurityToken(
issuer: _configuration["JWT:Issuer"],
audience: _configuration["JWT:Audience"],
expires: DateTime.UtcNow.AddMinutes(15),
signingCredentials: signingCredentials,
claims: claims.Claims);
我绞尽脑汁想弄清楚为什么 HttpContext.User 没有包含我希望缩小 [Authroization(Roles="Admin")] 问题范围的内容。事实证明,如果您使用 JWT Auth,您需要记住将 Claims[] 设置为身份。也许这是通过其他 dotnet 方式自动完成的,但 jwt 似乎需要您手动设置。
在我为用户设置声明后,[Authorize(Roles = "Whatever")] 按预期工作。
我在使用 JWT 生成的令牌中有以下有用的负载
{ "sub": "flamelsoft@gmail.com", "jti": "0bca1034-f3ce-4f72-bd91-65c1a61924c4", "http://schemas.microsoft.com/ws/2008/06/identity/claims/role": "Administrator", "exp": 1509480891, "iss": "http://localhost:40528", "aud": "http://localhost:40528" }
用这个代码 Startup.cs
public void ConfigureServices(IServiceCollection services)
{
services.AddDbContext<DBContextSCM>(options =>
options.UseMySql(Configuration.GetConnectionString("DefaultConnection"), b =>
b.MigrationsAssembly("FlamelsoftSCM")));
services.AddIdentity<User, Role>()
.AddEntityFrameworkStores<DBContextSCM>()
.AddDefaultTokenProviders();
services.AddScoped(typeof(IRepository<>), typeof(Repository<>));
services.AddAuthentication()
.AddJwtBearer(cfg =>
{
cfg.RequireHttpsMetadata = false;
cfg.SaveToken = true;
cfg.TokenValidationParameters = new TokenValidationParameters()
{
ValidIssuer = Configuration["Tokens:Issuer"],
ValidAudience = Configuration["Tokens:Issuer"],
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Tokens:Key"]))
};
});
services.AddMvc();
}
AccountController.cs
[HttpPost]
[Authorize(Roles="Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
{
try
{
var user = new User { UserName = model.Email, Email = model.Email };
var result = await _userManager.CreateAsync(user, model.Password);
if (result.Succeeded)
{
var role = await _roleManager.FindByIdAsync(model.Role);
result = await _userManager.AddToRoleAsync(user, role.Name);
if (result.Succeeded)
return View(model);
}
return BadRequest($"Error: Could not create user");
}
catch (Exception ex)
{
return BadRequest($"Error: {ex.Message}");
}
}
user.service.ts
export class UserService {
constructor(private http: Http, private config: AppConfig, private currentUser: User) { }
create(user: User) {
return this.http.post(this.config.apiUrl + 'Account/Register', user, this.jwt());
}
private jwt() {
const userJson = localStorage.getItem('currentUser');
this.currentUser = userJson !== null ? JSON.parse(userJson) : new User();
if (this.currentUser && this.currentUser.token) {
let headers = new Headers({ 'Authorization': 'Bearer ' + this.currentUser.token });
return new RequestOptions({ headers: headers });
}
}}
问题是角色验证不起作用,请求到达控制器,returns header 中的代码 200,但从未进入 class . 当我删除 [Authorize (Roles = "Administrator")] 时,它会正确输入我的代码。 有什么东西定义不好吗?或者通过角色定义授权的替代方法是什么。
TL;DR
如原问题的评论中所述,更改:
[HttpPost]
[Authorize(Roles = "Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
{
// Code
}
到
[HttpPost]
[Authorize(AuthenticationSchemes = "Bearer", Roles = "Administrator")]
public async Task<IActionResult> Register([FromBody]RegisterModel model)
{
// Code
}
已解决问题。
Bearer是default authentication scheme name在ASP.NETCore中使用JWT承载认证时
但是为什么我们需要在 [Authorize] 属性上指定 AuthenticationSchemes 属性?
这是因为配置身份验证方案并不意味着它们将在每个 HTTP 请求上 运行。如果匿名用户可以访问特定操作,为什么还要费心从 cookie 或令牌中提取用户信息? MVC 对此很聪明,只会在需要时 运行 身份验证处理程序,也就是说,在以某种方式受到保护的请求期间。
在我们的例子中,MVC 发现了 [Authorize] 属性,因此知道它必须 运行 身份验证和授权来确定请求是否被授权。诀窍在于它只会 运行 已指定的 authentication schemes handlers 。在这里,我们有 none,所以没有执行身份验证,这意味着授权失败,因为请求被认为是匿名的。
向属性添加身份验证方案指示 MVC 运行 该处理程序从 HTTP 请求中的令牌中提取用户信息,从而导致发现 Administrator 角色,并且允许请求。
附带说明一下,还有另一种方法可以实现此目的,无需使用 [Authorize] 属性的 AuthenticationSchemes 属性。
假设您的应用程序只配置了一个身份验证方案,必须在每个 [Authorize] 属性上指定 AuthenticationSchemes 属性 会很痛苦。
使用ASP.NET核心,您可以配置默认身份验证方案。这样做意味着关联的处理程序对于每个 HTTP 请求都是 运行,无论资源是否受保护。
设置分两部分完成:
public class Startup
{
public void ConfiguresServices(IServiceCollection services)
{
services
.AddAuthentication(JwtBearerDefaults.AuthenticationScheme /* this sets the default authentication scheme */)
.AddJwtBearer(options =>
{
// Configure options here
});
}
public void Configure(IApplicationBuilder app)
{
// This inserts the middleware that will execute the
// default authentication scheme handler on every request
app.UseAuthentication();
app.UseMvc();
}
}
这样做意味着当 MVC 评估请求是否被授权时,身份验证已经发生,因此不为 AuthenticationSchemes 属性 指定任何值15=]属性不会有问题。
该过程的授权部分仍将 运行 并检查经过身份验证的用户是否属于 Administrator 组。
我知道这个问题已经有了答案,但这里漏掉了一些重要的东西。您需要确保您实际上是在为登录用户设置声明。就我而言,我使用的是 JWT 身份验证,所以这一步非常重要:
var claims = new ClaimsIdentity(new[] { new Claim(ClaimTypes.NameIdentifier, user.UserName) });
var roles = await _userManager.GetRolesAsync(user);
if (roles.Count > 0)
{
foreach (var role in roles) { claims.AddClaim(new Claim(ClaimTypes.Role, role)); }
}
var token = new JwtSecurityToken(
issuer: _configuration["JWT:Issuer"],
audience: _configuration["JWT:Audience"],
expires: DateTime.UtcNow.AddMinutes(15),
signingCredentials: signingCredentials,
claims: claims.Claims);
我绞尽脑汁想弄清楚为什么 HttpContext.User 没有包含我希望缩小 [Authroization(Roles="Admin")] 问题范围的内容。事实证明,如果您使用 JWT Auth,您需要记住将 Claims[] 设置为身份。也许这是通过其他 dotnet 方式自动完成的,但 jwt 似乎需要您手动设置。
在我为用户设置声明后,[Authorize(Roles = "Whatever")] 按预期工作。