asp.net-web-api – Web API / MVC 6中的安全JSON Web令牌

发布时间：2021-03-31 03:05:05 所属栏目：asp.Net 来源：互联网

导读：安全问题：根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法. 这是我们的用例：我们想要创建一个登录机制,使用硬凭证(用户名/密码)验证用户,然后返回一个JWT令牌,例

安全问题：
根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法.

这是我们的用例：
我们想要创建一个登录机制,使用硬凭证(用户名/密码)验证用户,然后返回一个JWT令牌,例如： 3天的寿命.令牌应包含用户名,签名应保证令牌不能“伪造”.

我们可以在Web API / MVC 6中使用哪些库？重要的是可以在解码时指定签名算法以避免漏洞.

如果可能,我们希望避免集成复杂的OAuth组件.

解决方法

我正在使用System.IdentityModel.Tokens.Jwt库,我刚刚检查了这个问题.我在我的一个测试中生成了一个令牌并验证了它,然后我删除了将alg更改为none的signingCredentials.使用“alg”生成的JWT：“none”验证失败.

以下是我生成令牌的方法：

public string GenerateToken(SSOContext context,SignatureSettings settings)
{
    var token = new JwtSecurityToken(
        issuer: "MyIssuer",audience: "MyAudience",claims: GetClaims(context),//comment the below line to generate a 'none' alg
        signingCredentials: new X509SigningCredentials(settings.Certificate),notBefore: DateTime.UtcNow,expires: DateTime.UtcNow.AddHours(1)
        );

    return new JwtSecurityTokenHandler().WriteToken(token);
}

当我验证令牌时,我得到了一个与消息一样的异常

IDX10504: Unable to validate signature,token does not have a signature:

（编辑：岳阳站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!