Zuordnungsrollenansprüche von ASP.NET Core JWT zu ClaimsIdentity

Question

Ich möchte die ASP.NET Core-Web-API mithilfe von JWT schützen. Darüber hinaus möchte ich die Möglichkeit haben, Rollen aus Token-Nutzdaten direkt in Controller-Aktionsattributen zu verwenden.

Nun, während ich herausgefunden habe, wie man es mit Policies verwendet:

Authorize(Policy="CheckIfUserIsOfRoleX") ControllerAction()...

Ich hätte gerne eine Option, um etwas Übliches zu verwenden, wie:

Authorize(Role="RoleX")

dabei wird die Rolle automatisch aus der JWT-Nutzlast zugeordnet.

{ name: "somename", roles: ["RoleX", "RoleY", "RoleZ"] }

Was ist der einfachste Weg, dies in ASP.NET Core zu erreichen? Gibt es eine Möglichkeit, dies durch einige Einstellungen/Zuordnungen automatisch zum Laufen zu bringen (wenn ja, wo?) Oder sollte ich nach der Validierung des Tokens die Generierung von ClaimsIdentity abfangen und Rollenansprüche manuell hinzufügen (wenn ja)? , wo/wie mache ich das?)?

trinvh · Answer

Sie benötigen gültige Ansprüche beim Generieren von JWT. Hier ist ein Beispielcode:

Anmeldelogik:

[HttpPost] [AllowAnonymous] public async Task<IActionResult> Login([FromBody] ApplicationUser applicationUser) { var result = await _signInManager.PasswordSignInAsync(applicationUser.UserName, applicationUser.Password, true, false); if(result.Succeeded) { var user = await _userManager.FindByNameAsync(applicationUser.UserName); // Get valid claims and pass them into JWT var claims = await GetValidClaims(user); // Create the JWT security token and encode it. var jwt = new JwtSecurityToken( issuer: _jwtOptions.Issuer, audience: _jwtOptions.Audience, claims: claims, notBefore: _jwtOptions.NotBefore, expires: _jwtOptions.Expiration, signingCredentials: _jwtOptions.SigningCredentials); //... } else { throw new ApiException('Wrong username or password', 403); } }

Abrufen von auf Benutzeransprüchen basierenden Tabellen UserRoles, RoleClaims und UserClaims (ASP.NET-Identität):

private async Task<List<Claim>> GetValidClaims(ApplicationUser user) { IdentityOptions _options = new IdentityOptions(); var claims = new List<Claim> { new Claim(JwtRegisteredClaimNames.Sub, user.UserName), new Claim(JwtRegisteredClaimNames.Jti, await _jwtOptions.JtiGenerator()), new Claim(JwtRegisteredClaimNames.Iat, ToUnixEpochDate(_jwtOptions.IssuedAt).ToString(), ClaimValueTypes.Integer64), new Claim(_options.ClaimsIdentity.UserIdClaimType, user.Id.ToString()), new Claim(_options.ClaimsIdentity.UserNameClaimType, user.UserName) }; var userClaims = await _userManager.GetClaimsAsync(user); var userRoles = await _userManager.GetRolesAsync(user); claims.AddRange(userClaims); foreach (var userRole in userRoles) { claims.Add(new Claim(ClaimTypes.Role, userRole)); var role = await _roleManager.FindByNameAsync(userRole); if(role != null) { var roleClaims = await _roleManager.GetClaimsAsync(role); foreach(Claim roleClaim in roleClaims) { claims.Add(roleClaim); } } } return claims; }

Im Startup.cs Bitte fügen Sie die erforderlichen Richtlinien zur Autorisierung hinzu:

void ConfigureServices(IServiceCollection service) { services.AddAuthorization(options => { // Here I stored necessary permissions/roles in a constant foreach (var prop in typeof(ClaimPermission).GetFields(BindingFlags.Public | BindingFlags.Static | BindingFlags.FlattenHierarchy)) { options.AddPolicy(prop.GetValue(null).ToString(), policy => policy.RequireClaim(ClaimType.Permission, prop.GetValue(null).ToString())); } }); }

Ich bin ein Anfänger in ASP.NET, lassen Sie es mich wissen, wenn Sie bessere Lösungen haben.

Und ich weiß nicht, wie schlimm es ist, wenn ich alle Ansprüche/Berechtigungen in JWT einbinde. Zu lang? Leistung? Sollte ich generierte JWT in einer Datenbank speichern und später überprüfen, ob gültige Rollen/Ansprüche des Benutzers vorliegen?

dev-siberia · Answer

Das ist mein Arbeitscode! ASP.NET Core 2.0 + JWT. Hinzufügen von Rollen zum JWT-Token.

appsettings.json

"JwtIssuerOptions": { "JwtKey": "4gSd0AsIoPvyD3PsXYNrP2XnVpIYCLLL", "JwtIssuer": "http://yourdomain.com", "JwtExpireDays": 30 }

Startup.cs

// ===== Add Jwt Authentication ======== JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear(); // => remove default claims // jwt // get options var jwtAppSettingOptions = Configuration.GetSection("JwtIssuerOptions"); services .AddAuthentication(options => { options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }) .AddJwtBearer(cfg => { cfg.RequireHttpsMetadata = false; cfg.SaveToken = true; cfg.TokenValidationParameters = new TokenValidationParameters { ValidIssuer = jwtAppSettingOptions["JwtIssuer"], ValidAudience = jwtAppSettingOptions["JwtIssuer"], IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtAppSettingOptions["JwtKey"])), ClockSkew = TimeSpan.Zero // remove delay of token when expire }; });

AccountController.cs

[HttpPost] [AllowAnonymous] [Produces("application/json")] public async Task<object> GetToken([FromBody] LoginViewModel model) { var result = await _signInManager.PasswordSignInAsync(model.Email, model.Password, false, false); if (result.Succeeded) { var appUser = _userManager.Users.SingleOrDefault(r => r.Email == model.Email); return await GenerateJwtTokenAsync(model.Email, appUser); } throw new ApplicationException("INVALID_LOGIN_ATTEMPT"); } // create token private async Task<object> GenerateJwtTokenAsync(string email, ApplicationUser user) { var claims = new List<Claim> { new Claim(JwtRegisteredClaimNames.Sub, email), new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()), new Claim(ClaimTypes.NameIdentifier, user.Id) }; var roles = await _userManager.GetRolesAsync(user); claims.AddRange(roles.Select(role => new Claim(ClaimsIdentity.DefaultRoleClaimType, role))); // get options var jwtAppSettingOptions = _configuration.GetSection("JwtIssuerOptions"); var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtAppSettingOptions["JwtKey"])); var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); var expires = DateTime.Now.AddDays(Convert.ToDouble(jwtAppSettingOptions["JwtExpireDays"])); var token = new JwtSecurityToken( jwtAppSettingOptions["JwtIssuer"], jwtAppSettingOptions["JwtIssuer"], claims, expires: expires, signingCredentials: creds ); return new JwtSecurityTokenHandler().WriteToken(token); }

Fiddler Test GetToken Methode. Anfordern:

POST https://localhost:44355/Account/GetToken HTTP/1.1 content-type: application/json Host: localhost:44355 Content-Length: 81 { "Email":"admin@admin.site.com", "Password":"ukj90ee", "RememberMe":"false" }

Debug-Antwort-Token https://jwt.io/#debugger-io

Nutzdaten:

{ "sub": "admin@admin.site.com", "jti": "520bc1de-5265-4114-aec2-b85d8c152c51", "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/nameidentifier": "8df2c15f-7142-4011-9504-e73b4681fb6a", "http://schemas.Microsoft.com/ws/2008/06/identity/claims/role": "Admin", "exp": 1529823778, "iss": "http://yourdomain.com", "aud": "http://yourdomain.com" }

Rollenadministrator funktioniert!

Vadim Ovchinnikov · Answer

Zum Generieren von JWT-Tokens benötigen wir die Hilfsklasse AuthJwtTokenOptions

public static class AuthJwtTokenOptions { public const string Issuer = "SomeIssuesName"; public const string Audience = "https://awesome-website.com/"; private const string Key = "supersecret_secretkey!12345"; public static SecurityKey GetSecurityKey() => new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Key)); }

Account Controller Code:

[HttpPost] public async Task<IActionResult> GetToken([FromBody]Credentials credentials) { // TODO: Add here some input values validations User user = await _userRepository.GetUser(credentials.Email, credentials.Password); if (user == null) return BadRequest(); ClaimsIdentity identity = GetClaimsIdentity(user); return Ok(new AuthenticatedUserInfoJsonModel { UserId = user.Id, Email = user.Email, FullName = user.FullName, Token = GetJwtToken(identity) }); } private ClaimsIdentity GetClaimsIdentity(User user) { // Here we can save some values to token. // For example we are storing here user id and email Claim[] claims = new[] { new Claim(ClaimTypes.Name, user.Id.ToString()), new Claim(ClaimTypes.Email, user.Email) }; ClaimsIdentity claimsIdentity = new ClaimsIdentity(claims, "Token"); // Adding roles code // Roles property is string collection but you can modify Select code if it it's not claimsIdentity.AddClaims(user.Roles.Select(role => new Claim(ClaimTypes.Role, role))); return claimsIdentity; } private string GetJwtToken(ClaimsIdentity identity) { JwtSecurityToken jwtSecurityToken = new JwtSecurityToken( issuer: AuthJwtTokenOptions.Issuer, audience: AuthJwtTokenOptions.Audience, notBefore: DateTime.UtcNow, claims: identity.Claims, // our token will live 1 hour, but you can change you token lifetime here expires: DateTime.UtcNow.Add(TimeSpan.FromHours(1)), signingCredentials: new SigningCredentials(AuthJwtTokenOptions.GetSecurityKey(), SecurityAlgorithms.HmacSha256)); return new JwtSecurityTokenHandler().WriteToken(jwtSecurityToken); }

Fügen Sie in Startup.cs Den folgenden Code zur ConfigureServices(IServiceCollection services) -Methode hinzu, bevor Sie services.AddMvc Aufrufen:

public void ConfigureServices(IServiceCollection services) { // Other code here… services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidIssuer = AuthJwtTokenOptions.Issuer, ValidateAudience = true, ValidAudience = AuthJwtTokenOptions.Audience, ValidateLifetime = true, IssuerSigningKey = AuthJwtTokenOptions.GetSecurityKey(), ValidateIssuerSigningKey = true }; }); // Other code here… services.AddMvc(); }

Fügen Sie außerdem app.UseAuthentication() call zu ConfigureMethod von Startup.cs Hinzu, bevor Sie app.UseMvc Aufrufen.

public void Configure(IApplicationBuilder app, IHostingEnvironment env) { // Other code here… app.UseAuthentication(); app.UseMvc(); }

Jetzt können Sie [Authorize(Roles = "Some_role")] Attribute verwenden.

Um Benutzer-ID und E-Mail in einem Controller zu erhalten, sollten Sie dies so tun

int userId = int.Parse(HttpContext.User.Claims.First(c => c.Type == ClaimTypes.Name).Value); string email = HttpContext.User.Claims.First(c => c.Type == ClaimTypes.Email).Value;

Auch userId kann auf diese Weise abgerufen werden (dies liegt am Namen des Anspruchstyps ClaimTypes.Name)

int userId = int.Parse(HttpContext.User.Identity.Name);

Es ist besser, solchen Code auf einige Controller-Erweiterungshilfen zu verschieben:

public static class ControllerExtensions { public static int GetUserId(this Controller controller) => int.Parse(controller.HttpContext.User.Claims.First(c => c.Type == ClaimTypes.Name).Value); public static string GetCurrentUserEmail(this Controller controller) => controller.HttpContext.User.Claims.First(c => c.Type == ClaimTypes.Email).Value; }

Dasselbe gilt für alle anderen Claim, die Sie hinzugefügt haben. Sie sollten nur einen gültigen Schlüssel angeben.