asp.net-web-api – Web API / MVC 6中的安全JSON Web令牌
发布时间:2021-03-30 17:22:17 所属栏目:asp.Net 来源:互联网
导读:安全问题: 根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法. 这是我们的用例: 我们想要创建一个登录机制,使用硬凭证(用户名/密码)验证用户,然后返回一个JWT令牌,例
安全问题:
这是我们的用例: 我们可以在Web API / MVC 6中使用哪些库?重要的是可以在解码时指定签名算法以避免漏洞. 如果可能,我们希望避免集成复杂的OAuth组件. 解决方法我正在使用System.IdentityModel.Tokens.Jwt库,我刚刚检查了这个问题.我在我的一个测试中生成了一个令牌并验证了它,然后我删除了将alg更改为none的signingCredentials.使用“alg”生成的JWT:“none”验证失败.以下是我生成令牌的方法: public string GenerateToken(SSOContext context,SignatureSettings settings) { var token = new JwtSecurityToken( issuer: "MyIssuer",audience: "MyAudience",claims: GetClaims(context),//comment the below line to generate a 'none' alg signingCredentials: new X509SigningCredentials(settings.Certificate),notBefore: DateTime.UtcNow,expires: DateTime.UtcNow.AddHours(1) ); return new JwtSecurityTokenHandler().WriteToken(token); } 当我验证令牌时,我得到了一个与消息一样的异常
(编辑:哈尔滨站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net-mvc-3 – RedirectResult Object作为URL中的参数
- 从代码隐藏调用ASP.NET Web API
- asp.net – 在Azure网站上启用gzip压缩
- 如何设置特定于ASP.NET请求的log4net上下文属性?
- asp.net-mvc – 通过Gitignore递归地包含Nuget DLL
- asp.net – 如何在Visual Studio中添加NUnit
- asp.net-mvc – asp.net MVC antiorgerytoken异常RedirectT
- asp.net – 如何正确地大写希腊字在.NET?
- asp.net-mvc – 使用Entity FrameWork保存更改/更新数据集中
- asp.net-mvc-4 – ASP.NET MVC 4通过ActionLink传递对象变量
推荐文章
站长推荐
- ASP.NET中的应用程序生存期
- asp.net-mvc – 具有ASP.NET MVC的多语言网站
- asp.net-web-api2 – 在WebAPI2项目中加载System
- asp.net+ajaxfileupload.js 实现文件异步上传代码
- asp.net-mvc – 为什么ASP.NET MVC 4与IList for
- asp.net – MVC 4导出到CSV – 另存为对话框在Ch
- asp.net-web-api – 在WebApi OData中为OData服务
- ASP.NET成员资格 – 让用户使用以前的密码
- ASP.NET Webforms,用户控件中的JavaScript
- asp.net-mvc – 如何从mvc中的控制器中设置隐藏字
热点阅读