.NET - 有没有办法验证 httponly 标头和令牌?
问题描述 投票:0回答:1
我有一个 ASP.NET Core 8.0 Web API,配置为使用仅 http JWT 令牌进行身份验证。
这是我创建身份验证和授权的代码:
builder.Services.AddAuthorizationBuilder()
.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
.AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme)
.RequireAuthenticatedUser().Build());
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddCookie(opt =>
{
opt.Cookie.Name = Token.TokenKey;
})
.AddJwtBearer(opt =>
{
opt.RequireHttpsMetadata = false;
opt.SaveToken = true;
opt.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes("myKey")),
ValidateIssuer = false,
ValidateAudience = false
};
opt.Events = new JwtBearerEvents
{
OnMessageReceived = ctx =>
{
ctx.Token = ctx.Request.Cookies[Token.TokenKey];
return Task.CompletedTask;
}
};
});
我的场景:我想使用两个令牌。一种由标头发送,另一种由服务器使用仅 http cookie 管理。我使用这种方法的目标是提高 API 的安全性,以便只有两个令牌都有效时请求才有效。
我的问题:目前,如果我未使用仅 http 的 cookie 进行身份验证,API 仅返回
401 Unauthorized我的问题:我希望仅当用户通过服务器使用仅http cookie进行身份验证并且通过标头发送另一个有效令牌时才能访问API。有什么办法可以做到这一点吗?
1个回答
0
投票
投票
您可以使用自定义中间件来实现标头令牌验证。逻辑是在服务器验证后再添加一个令牌验证。
1.定义你的中间件
public class ValidateHeaderTokenMiddleware
{
private readonly RequestDelegate _next;
public ValidateHeaderTokenMiddleware(RequestDelegate next)
{
_next = next;
}
public async Task Invoke(HttpContext context)
{
if (context.User.Identity.IsAuthenticated)
{
var headerToken = context.Request.Headers["Authorization"].FirstOrDefault()?.Split(" ").Last();
// Custom vaidation logic
if (!IsValidToken(headerToken))
{
context.Response.StatusCode = 401; // Unauthorized
await context.Response.WriteAsync("Invalid header token.");
return;
}
}
await _next(context);
}
private bool IsValidToken(string token)
{
// Custom vaidation logic
return true;
}
}
2.在程序中注册服务
app.UseAuthentication();
app.UseMiddleware<ValidateHeaderTokenMiddleware>();
app.UseAuthorization();
服务器经过身份验证,令牌经过验证,端点命中。
最新问题
- Vite + React 可以使用 javascript 而不是 typescript 安装 Shadcn ui 吗?
- 响应式 JS DataTable 中的 Bootstrap 5 弹出框无法正常工作
- ACF 中继器字段 - 显示前 3 个字段,其余在切换中
- 相同的数组(一个来自 func_get_args() 和一个显式构建的数组)在用作参数时并不相同
- 参数数量在编译时确定的 Lambda 函数
- Docker compose 无法拉取因网络不可达而失败的镜像
- 使用 python/pandas 进行 Rasch 模型分析的工具?
- get_original_cwd() 函数仍会初始化。你能帮我吗?
- Java解密用最简单的测试用例抛出奇怪的错误
- 每组的滚动平均值、计数或分位数
- 如何使用简单的javascript在Quill中设置格式列表(有序,项目符号),缩进(入,出),文本颜色,背景文本颜色
- 窗口从顶部拖动后丢失了
- 状态没有在减速器内更新? redux/工具包
- 在服务帐户中上传 Google 云端硬盘
- 使用其他列中的条件计算 Excel 中一列中的不同值
- 无限访问服务器端应用程序的 microsoft graph Api 刷新令牌
- Laravel 中的 HTTP 请求是如何工作的?
- 如何将毫秒转换为可读的日期?
- 神经网络人工智能
- Php floatval 获取正确的值
© www.soinside.com 2019 - 2024. All rights reserved.