作業マットDekreyの素晴らしい答え、私はASP.NETコア(1.0.1)不利に働い、トークンベースの認証の完全に動作する例を作成しました。完全なコードはGitHubのこのリポジトリにあります(1.0.0-rc1、beta8、beta7の代替ブランチ)が、簡単に言えば、重要な手順は次のとおりです。
アプリケーションのキーを生成する
私の例では、アプリが起動するたびにランダムなキーを生成します。ランダムなキーを生成してどこかに保存し、アプリケーションに提供する必要があります。ランダムキーを生成する方法と、.jsonファイルからインポートする方法については、このファイルを参照してください。@kspearrinのコメントで示唆されているように、Data Protection APIはキーを「正しく」管理するための理想的な候補のようですが、それが可能かどうかはまだわかりません。うまくいったらプルリクエストを送ってください!
Startup.cs-ConfigureServices
ここでは、トークンに署名するための秘密鍵をロードする必要があります。これは、トークンの提示時にトークンを検証するためにも使用します。キーはクラスレベルの変数に格納し、key
以下のConfigureメソッドで再利用します。TokenAuthOptionsは、キーを作成するためにTokenControllerで必要な署名ID、対象ユーザー、発行者を保持する単純なクラスです。
// Replace this with some sort of loading from config / file.
RSAParameters keyParams = RSAKeyUtils.GetRandomKey();
// Create the key, and a set of token options to record signing credentials
// using that key, along with the other parameters we will need in the
// token controlller.
key = new RsaSecurityKey(keyParams);
tokenOptions = new TokenAuthOptions()
{
Audience = TokenAudience,
Issuer = TokenIssuer,
SigningCredentials = new SigningCredentials(key, SecurityAlgorithms.Sha256Digest)
};
// Save the token options into an instance so they're accessible to the
// controller.
services.AddSingleton<TokenAuthOptions>(tokenOptions);
// Enable the use of an [Authorize("Bearer")] attribute on methods and
// classes to protect.
services.AddAuthorization(auth =>
{
auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
.AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme)
.RequireAuthenticatedUser().Build());
});
また[Authorize("Bearer")]
、保護するエンドポイントとクラスで使用できるように承認ポリシーを設定しました。
Startup.cs-構成
ここでは、JwtBearerAuthenticationを構成する必要があります。
app.UseJwtBearerAuthentication(new JwtBearerOptions {
TokenValidationParameters = new TokenValidationParameters {
IssuerSigningKey = key,
ValidAudience = tokenOptions.Audience,
ValidIssuer = tokenOptions.Issuer,
// When receiving a token, check that it is still valid.
ValidateLifetime = true,
// This defines the maximum allowable clock skew - i.e.
// provides a tolerance on the token expiry time
// when validating the lifetime. As we're creating the tokens
// locally and validating them on the same machines which
// should have synchronised time, this can be set to zero.
// Where external tokens are used, some leeway here could be
// useful.
ClockSkew = TimeSpan.FromMinutes(0)
}
});
TokenController
トークンコントローラーには、Startup.csに読み込まれたキーを使用して署名済みキーを生成するメソッドが必要です。起動時にTokenAuthOptionsインスタンスを登録したので、それをTokenControllerのコンストラクターに挿入する必要があります。
[Route("api/[controller]")]
public class TokenController : Controller
{
private readonly TokenAuthOptions tokenOptions;
public TokenController(TokenAuthOptions tokenOptions)
{
this.tokenOptions = tokenOptions;
}
...
次に、ログインエンドポイントのハンドラーでトークンを生成する必要があります。この例では、ユーザー名とパスワードを取得し、ifステートメントを使用してそれらを検証していますが、重要なことは、クレームを作成またはロードすることです。ベースのIDとそのためのトークンの生成:
public class AuthRequest
{
public string username { get; set; }
public string password { get; set; }
}
/// <summary>
/// Request a new token for a given username/password pair.
/// </summary>
/// <param name="req"></param>
/// <returns></returns>
[HttpPost]
public dynamic Post([FromBody] AuthRequest req)
{
// Obviously, at this point you need to validate the username and password against whatever system you wish.
if ((req.username == "TEST" && req.password == "TEST") || (req.username == "TEST2" && req.password == "TEST"))
{
DateTime? expires = DateTime.UtcNow.AddMinutes(2);
var token = GetToken(req.username, expires);
return new { authenticated = true, entityId = 1, token = token, tokenExpires = expires };
}
return new { authenticated = false };
}
private string GetToken(string user, DateTime? expires)
{
var handler = new JwtSecurityTokenHandler();
// Here, you should create or look up an identity for the user which is being authenticated.
// For now, just creating a simple generic identity.
ClaimsIdentity identity = new ClaimsIdentity(new GenericIdentity(user, "TokenAuth"), new[] { new Claim("EntityID", "1", ClaimValueTypes.Integer) });
var securityToken = handler.CreateToken(new Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor() {
Issuer = tokenOptions.Issuer,
Audience = tokenOptions.Audience,
SigningCredentials = tokenOptions.SigningCredentials,
Subject = identity,
Expires = expires
});
return handler.WriteToken(securityToken);
}
そして、それはそれであるはずです。[Authorize("Bearer")]
保護するメソッドまたはクラスに追加するだけで、トークンが存在しない状態でアクセスしようとするとエラーが発生します。500エラーではなく401を返す場合は、ここでの例のように、カスタム例外ハンドラーを登録する必要があります。