asp.net-web-api – Web API / MVC 6中的安全JSON Web令牌
发布时间:2020-12-15 19:50:05 所属栏目:asp.Net 来源:网络整理
导读:安全问题: 根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法. 这是我们的用例: 我们想要创建一个登录机制,使用硬凭证(用户名/密码)验证用户,然后返回一个JWT令牌,例
|
安全问题:
根据 https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法. 这是我们的用例: 我们可以在Web API / MVC 6中使用哪些库?重要的是可以在解码时指定签名算法以避免漏洞. 如果可能,我们希望避免集成复杂的OAuth组件. 解决方法
我正在使用System.IdentityModel.Tokens.Jwt库,我刚刚检查了这个问题.我在我的一个测试中生成了一个令牌并验证了它,然后我删除了将alg更改为none的signingCredentials.使用“alg”生成的JWT:“none”验证失败.
以下是我生成令牌的方法: public string GenerateToken(SSOContext context,SignatureSettings settings)
{
var token = new JwtSecurityToken(
issuer: "MyIssuer",audience: "MyAudience",claims: GetClaims(context),//comment the below line to generate a 'none' alg
signingCredentials: new X509SigningCredentials(settings.Certificate),notBefore: DateTime.UtcNow,expires: DateTime.UtcNow.AddHours(1)
);
return new JwtSecurityTokenHandler().WriteToken(token);
}
当我验证令牌时,我得到了一个与消息一样的异常
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- asp.net-mvc – MVC 3 RC中的Razor Helper
- 为什么调试器不会在我的ASP.NET应用程序的断点处停止?
- caching – MVC4 StyleBundle:你能在Debug模式下添加一个缓
- asp.net – Mono和IHttpHandler
- asp.net-mvc-3 – asp.net mvc3返回原始html来查看
- .net – 在VS 2010中调试时修改代码
- ASP.NET中TextBox控件设立ReadOnly="true"后台取不
- asp.net mvc全球化.你怎么做呢?
- 带有MS Chart的ASP.NET禁用垂直线
- asp.net – 为什么当我将模型传递给我的.Net MVC 4 Control
推荐文章
站长推荐
- asp.net – 我应该将哪一个用于“匿名用户身份”
- asp.net – Dropdownlist在Page_ClientValidate(
- asp.net – IIS 7.0不允许下载MP4视频
- asp.net-mvc – ASP.NET MVC:从视图调用控制器方
- asp.net – 可能添加MIME类型到web.config而不可
- asp.net-mvc – 在TryUpdateModel之前更新值提供
- asp.net-mvc-3 – 允许没有找到Html属性[AllowHt
- asp.net-mvc – 我在哪里可以初始化Orchard模块中
- 将ASP.NET标识存储库移动到EF Sql数据库
- 在ASP.NET MVC4项目中包含jquery的正确方法
热点阅读