asp.net-web-api – Web API / MVC 6中的安全JSON Web令牌
发布时间:2021-03-30 21:45:33 所属栏目:asp.Net 来源:互联网
导读:安全问题: 根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法. 这是我们的用例: 我们想要创建一个登录机制,使用硬凭证(用户名/密码)验证用户,然后返回一个JWT令牌,例
|
安全问题:
这是我们的用例: 我们可以在Web API / MVC 6中使用哪些库?重要的是可以在解码时指定签名算法以避免漏洞. 如果可能,我们希望避免集成复杂的OAuth组件. 解决方法我正在使用System.IdentityModel.Tokens.Jwt库,我刚刚检查了这个问题.我在我的一个测试中生成了一个令牌并验证了它,然后我删除了将alg更改为none的signingCredentials.使用“alg”生成的JWT:“none”验证失败.以下是我生成令牌的方法: public string GenerateToken(SSOContext context,SignatureSettings settings)
{
var token = new JwtSecurityToken(
issuer: "MyIssuer",audience: "MyAudience",claims: GetClaims(context),//comment the below line to generate a 'none' alg
signingCredentials: new X509SigningCredentials(settings.Certificate),notBefore: DateTime.UtcNow,expires: DateTime.UtcNow.AddHours(1)
);
return new JwtSecurityTokenHandler().WriteToken(token);
}
当我验证令牌时,我得到了一个与消息一样的异常
(编辑:南阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net – 脚本标签和链接标签进入asp:内容或外部
- asp.net-mvc-4 – 最小和最大字符串长度的单独错误消息 –
- asp.net – ASP MVC – 默认的HTTP标头有任何常量吗?
- ASP.NET MVC 4 JSON绑定到视图模型 – 嵌套对象错误
- asp.net-mvc – 应用程序服务层作为静态类
- asp.net – Silverlight初始化错误2110 Internet Explorer
- asp.net – 使用JavaScript重新排列的ListBox元素导致回发时
- .net – 可以为空的枚举类型的奇怪行为
- asp.net – 使用SignalR编译项目时,我必须做一个iisreset
- asp.net – 为每个网站/应用程序创建单独的IIS应用程序池的
推荐文章
站长推荐
- asp.net – “2015年4月20日Google帐户的OpenID2
- 单元测试 – 如何在ASP MVC 5(Microsoft.AspNet.
- asp.net-core – 如何在ASP.NET 5中使用“旧”依
- asp.net – 在Azure网站上启用gzip压缩
- asp.net core标签助手的高级用法TagHelper+Form
- asp.net – 下载列表asp mvc
- asp.net-mvc – 保存后显示相同的页面
- iis-7.5 – 使用虚拟目录/应用程序在IIS中托管AS
- 下载期间的ASP.net内存使用情况
- asp.net-mvc-4 – 如何在Kendo UI Grid中扩展页面
热点阅读
