Web API / MVC 6 中的安全 JSON Web 令牌
Secure JSON Web Token in Web API / MVC 6
安全问题:
根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/ 许多 JWT 库使用令牌本身来确定签名算法。
这是我们的用例:
我们想要创建一种登录机制,使用硬凭证 (username/password) 验证用户,然后 return JWT 令牌,例如3 天寿命。令牌应包含用户名,签名应保证令牌不能是 "faked".
我们可以在 Web API / MVC 6 中使用什么库?重要的是可以在解码时指定签名算法以避免漏洞。
如果可能,我们希望避免集成复杂的 OAuth 组件。
我正在使用 System.IdentityModel.Tokens.Jwt 库,我刚刚检查了这个问题。我生成了一个令牌并在我的一个测试中验证了它,然后我删除了 signingCredentials,它将算法更改为 none。使用 "alg":"none" 验证失败 .
生成的 JWT
这是我生成令牌的方式:
public string GenerateToken(SSOContext context, SignatureSettings settings)
{
var token = new JwtSecurityToken(
issuer: "MyIssuer",
audience: "MyAudience",
claims: GetClaims(context),
//comment the below line to generate a 'none' alg
signingCredentials: new X509SigningCredentials(settings.Certificate),
notBefore: DateTime.UtcNow,
expires: DateTime.UtcNow.AddHours(1)
);
return new JwtSecurityTokenHandler().WriteToken(token);
}
当我验证令牌时,我得到了预期的异常消息
IDX10504: Unable to validate signature, token does not have a
signature:
安全问题: 根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/ 许多 JWT 库使用令牌本身来确定签名算法。
这是我们的用例: 我们想要创建一种登录机制,使用硬凭证 (username/password) 验证用户,然后 return JWT 令牌,例如3 天寿命。令牌应包含用户名,签名应保证令牌不能是 "faked".
我们可以在 Web API / MVC 6 中使用什么库?重要的是可以在解码时指定签名算法以避免漏洞。
如果可能,我们希望避免集成复杂的 OAuth 组件。
我正在使用 System.IdentityModel.Tokens.Jwt 库,我刚刚检查了这个问题。我生成了一个令牌并在我的一个测试中验证了它,然后我删除了 signingCredentials,它将算法更改为 none。使用 "alg":"none" 验证失败 .
这是我生成令牌的方式:
public string GenerateToken(SSOContext context, SignatureSettings settings)
{
var token = new JwtSecurityToken(
issuer: "MyIssuer",
audience: "MyAudience",
claims: GetClaims(context),
//comment the below line to generate a 'none' alg
signingCredentials: new X509SigningCredentials(settings.Certificate),
notBefore: DateTime.UtcNow,
expires: DateTime.UtcNow.AddHours(1)
);
return new JwtSecurityTokenHandler().WriteToken(token);
}
当我验证令牌时,我得到了预期的异常消息
IDX10504: Unable to validate signature, token does not have a signature: