代码之家  ›  专栏  ›  技术社区  ›  Robert Hegner

如何向JWT令牌生存期验证添加附加检查?

bearer-token jwt asp.net-core authentication
  •  0
  • Robert Hegner  · 技术社区  · 6 年前

    在我的Web应用程序中,我希望执行所有默认的生存期检查(不早于、过期等),再执行一个附加检查(生存期<2小时)。

    首先我试过这个: 

    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, o => {
        o.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateLifetime = true,
            LifetimeValidator = (DateTime? notBefore, DateTime? expires, SecurityToken securityToken, TokenValidationParameters validationParameters) => {
                // --> my custom check <--
            }
        };
    });

    这将执行我的自定义检查,但它将跳过默认实现,因此不再执行所有常规检查(不早于、过期等)。

    然后我从我的处理程序中调用默认实现,如下所示: 

    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, o => {
        o.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateLifetime = true,
            LifetimeValidator = (DateTime? notBefore, DateTime? expires, SecurityToken securityToken, TokenValidationParameters validationParameters) => {
                Microsoft.IdentityModel.Tokens.Validators.ValidateLifetime(notBefore, expires, securityToken, validationParameters);
                // --> my custom check <--
            }
        };
    });

    但这将递归地调用我的处理程序,最终使我的应用程序崩溃。

    所以…正确的方法是什么 延伸 默认的生存期验证器?

    0 回复  |  直到 6 年前
        1
  •  1
  •   juunas    6 年前

    您可以这样做: 

    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, o => {
        o.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateLifetime = true,
            LifetimeValidator = (DateTime? notBefore, DateTime? expires, SecurityToken securityToken, TokenValidationParameters validationParameters) => {
                var clonedParameters = validationParameters.Clone();
                clonedParameters.LifetimeValidator = null;
                bool valid = Microsoft.IdentityModel.Tokens.Validators.ValidateLifetime(notBefore, expires, securityToken, clonedParameters);
                // --> my custom check <--
            }
        };
    });

    因此,我们复制tokenvalidationparameters并将lifetime validator引用设置为空,这样可以防止递归调用,并且不会修改注册了validator的实际实例。

    推荐文章
    Nuñito Calzada  ·  Spring Boot with JWT:访问此资源需要完全身份验证
    4 月前
    Bojidar Kaloyanov  ·  为什么即使有有效的JWT,Spring Boot也会对安全端点的POST请求返回403 Forbidden?
    4 月前
    Ariel Vilche  ·  WebSecurityConfiguration bean Spring引导安全中的自动连线错误
    5 月前
    David  ·  如何修复javax/xml/bind/DatatypeConverter的java.lang.NoClassDefFoundError错误
    10 月前
    Shanxx  ·  我在哪里存储我的jwt以进行授权?
    10 月前
    Andre  ·  AWS Lambda自定义JWT验证
    11 月前
    unuser  ·  JWT得到验证,即使我更改了其中的一个字符[重复]
    1 年前
    Павел Хорольський  ·  错误[ExceptionsHandler]未知身份验证策略“jwt”错误:未知身份验证战略“jwt
    1 年前
    d4ne  ·  节点TS:JWT令牌签名,用于验证客户端和后端之间的身份验证问题
    1 年前
    Ali Rahimi  ·  春季启动中Admin和User的两个不同登录页面
    1 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号