我正在使用c#self托管的OWIN服务器,并已将我的应用程序配置为使用JWT授权,如下所示。这样可以正常工作,并且使用401 Unauthorized拒绝无效令牌,并接受有效令牌。
我的问题是如何写一个拒绝请求的日志。它过期了吗?这是错误的观众吗?没有令牌存在吗?我希望记录所有失败的请求,但我似乎无法找到任何示例。
public class Startup
{
public void Configuration(IAppBuilder appBuilder)
{
// Configure Web API for self-host.
config.Routes.MapHttpRoute(
name: "DefaultApi",
routeTemplate: "api/{controller}/{id}",
defaults: new { id = RouteParameter.Optional }
);
// Enable
config.Filters.Add(new AuthorizeAttribute());
appBuilder.UseJwtBearerAuthentication(new JwtOptions());
appBuilder.UseWebApi(config);
}
}
JwtOptions.cs
public class JwtOptions : JwtBearerAuthenticationOptions
{
public JwtOptions()
{
var issuer = WebConfigurationManager.AppSettings["CertificateIssuer"];
var audience = WebConfigurationManager.AppSettings["CertificateAudience"];
var x590Certificate = Ap21X509Certificate.Get(WebConfigurationManager.AppSettings["CertificateThumbprint"]);
AllowedAudiences = new[] { audience };
IssuerSecurityTokenProviders = new IIssuerSecurityTokenProvider[]
{
new X509CertificateSecurityTokenProvider(issuer, new X509Certificate2(x590Certificate.RawData))
};
}
}
我猜我需要实现自己的验证才能做到这一点,但不知道如何实现它。
我知道现在已经很晚了,但对于如何努力寻找答案却很有用。
基本上AuthenticationMiddleware嵌入了日志记录。您只需将OWIN日志重定向到您正在使用的记录器。 NLog.Owin.Logging适合我。 log4net有类似的解决方案。
有替代解决方案。扩展JwtSecurityTokenHandler并手动记录原因。
public class LoggingJwtSecurityTokenHandler : JwtSecurityTokenHandler
{
public override ClaimsPrincipal ValidateToken(string securityToken, TokenValidationParameters validationParameters, out SecurityToken validatedToken)
{
try
{
return base.ValidateToken(securityToken, validationParameters, out validatedToken);
}
catch (Exception ex)
{
//log the error
throw;
}
}
}
并像这样使用它:
app.UseJwtBearerAuthentication(new JwtBearerAuthenticationOptions
{
TokenHandler = new LoggingJwtSecurityTokenHandler()
});