JWT令牌到期时间失败.net核心
问题描述 投票:0回答:1
我试图通过刷新令牌和.NET Core 2.1中的JWT来实现基于令牌的身份验证。
这就是我实现JWT令牌的方式:
Startup.cs
services.AddAuthentication(option =>
{
option.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
option.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(options =>
{
options.SaveToken = true;
options.RequireHttpsMetadata = true;
options.TokenValidationParameters = new TokenValidationParameters()
{
ValidateIssuer = true,
ValidateAudience = true,
ValidAudience = Configuration["Jwt:Site"],
ValidIssuer = Configuration["Jwt:Site"],
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:SigningKey"]))
};
options.Events = new JwtBearerEvents
{
OnAuthenticationFailed = context =>
{
if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
{
context.Response.Headers.Add("Token-Expired", "true");
}
return Task.CompletedTask;
}
};
});
令牌生成:
var jwt = new JwtSecurityToken(
issuer: _configuration["Jwt:Site"],
audience: _configuration["Jwt:Site"],
expires: DateTime.UtcNow.AddMinutes(1),
signingCredentials: new SigningCredentials(signinKey, SecurityAlgorithms.HmacSha256)
);
return new TokenReturnViewModel()
{
token = new JwtSecurityTokenHandler().WriteToken(jwt),
expiration = jwt.ValidTo,
currentTime = DateTime.UtcNow
};
我在Response中获得了正确的值。
但过了一会儿,我在Postman中为授权设置了相同的令牌并且它有效。如果令牌已过期,则不应该。
我使用承载令牌作为身份验证。
我究竟做错了什么?需要方向。
1个回答
1
投票
投票
有一个名为ClockSkew的令牌验证参数,它可以获取或设置在验证时间时应用的时钟偏差。 ClockSkew的默认值为5分钟。这意味着如果您没有设置它,您的令牌将在5分钟内仍然有效。
如果你想在准确的时间到期你的令牌;您需要将ClockSkew设置为零,如下所示,
options.TokenValidationParameters = new TokenValidationParameters()
{
//other settings
ClockSkew = TimeSpan.Zero
};
另一种方法,创建自定义AuthorizationFilter并手动检查。
var principal = ApiTokenHelper.GetPrincipalFromToken(token);
var expClaim = principal.Claims.First(x => x.Type == "exp").Value;
var tokenExpiryTime = Convert.ToDouble(expClaim).UnixTimeStampToDateTime();
if (tokenExpiryTime < DateTime.UtcNow)
{
//return token expried
}
这里,GetPrincipalFromToken是ApiTokenHelper类的自定义方法,它将返回您在发出令牌时存储的ClaimsPrincipal值。
最新问题
- NX Monorepo Angular 网站无法在 iOS 中打开
- 蓝牙适配器启用或禁用不起作用
- 如何获取表情符号字符的UTF-8二进制表示?
- 如何防止滑动器到达最后一个滑动器滑动按钮时点击内容?
- Apple 登录不要求提供电子邮件
- 从文本文件复制到其他文本文件,但不忽略前两行
- GStreamer 的 m3u8 播放列表片段名称
- 在使用 Thunder 客户端进行测试时,整个数据都到来了,但数据不是通过特定的 id 或参数来的
- 使用 selenium 时随机出现“Created TensorFlow Lite XNNPACK delegate for CPU”消息
- 使用pandas读取.data文件
- 我应该将 SceneKit 应用程序转换为 VisionOS 的 RealityKit 吗?
- 如何使用excel将csv文件中的unicode转换为波斯语文本
- 使用 expo-av 播放音频的最佳方式?
- 通过单个sql查询查找缺失的数字
- 安装 forge 加载 python DLL 时出错:python312.dll。找不到这个模块
- TicTok Shop API 获取私信
- 为什么 Babel 6 将分号从原始源中出现的位置移开?
- MAUI .NET 8 可以与 Azure 通知中心上的新 FCM v1 配合使用吗?
- 如何为我的react.js应用程序创建反向代理服务器,从aws s3存储桶获取构建文件夹以工作所有路由?
- 禁用的页面项目值未在 Oracle APEX 中的“提交页面”上提交
© www.soinside.com 2019 - 2024. All rights reserved.