Як декодувати маркер JWT?

101

Я не розумію, як працює ця бібліотека. Чи можете ви мені допомогти, будь ласка?

Ось мій простий код:

public void TestJwtSecurityTokenHandler()
    {
        var stream =
            "eyJhbGciOiJSUzI1NiJ9.eyJpc3MiOiJJU1MiLCJzY29wZSI6Imh0dHBzOi8vbGFyaW0uZG5zY2UuZG91YW5lL2NpZWxzZXJ2aWNlL3dzIiwiYXVkIjoiaHR0cHM6Ly9kb3VhbmUuZmluYW5jZXMuZ291di5mci9vYXV0aDIvdjEiLCJpYXQiOiJcL0RhdGUoMTQ2ODM2MjU5Mzc4NClcLyJ9";
        var handler = new JwtSecurityTokenHandler();

        var jsonToken = handler.ReadToken(stream);
    }

Ось помилка:

Рядок повинен бути у компактному форматі JSON, який має вигляд: Base64UrlEncodedHeader.Base64UrlEndcodedPayload.OPTIONAL, Base64UrlEncodedSignature '.

Якщо ви копіюєте потік на веб-сайті jwt.io , він працює нормально :)

c# .net jwt

— Печиво
джерело

1

сайт jwt, io його розшифровує, але підпис відсутній, тому він недійсний.

— Крокодер

Можливий дублікат декодування та перевірки маркера JWT за допомогою System.IdentityModel.Tokens.Jwt

— Michael Freidgeim

1

@MichaelFreidgeim ти маєш рацію, це дубльоване запитання ... але відповіді різні через бібліотеку версій, яку ти використовуєш

— Cooxkie

176

Я знайшов рішення, просто забув відлити результат:

var stream ="[encoded jwt]";  
var handler = new JwtSecurityTokenHandler();
var jsonToken = handler.ReadToken(stream);
var tokenS = handler.ReadToken(stream) as JwtSecurityToken;

Я можу отримати претензії за допомогою:

var jti = tokenS.Claims.First(claim => claim.Type == "jti").Value;

— Печиво
джерело

2

Спочатку мені довелося відкинути tokenS.Claims як перелік вимог. ((List<Claim>)tokenS.Claims).ForEach(a => Console.WriteLine(a.Type.ToString() + " " + a.Value));

— Рінальді Сегецин

12

Ви також можете зробити: handler.ReadJwtToken (tokenJwtReponse.access_token);

— Табісо Мофокенг

13

Вибачте, якщо це повинно бути очевидним, але звідки це tokenJwtReponse.access_tokenбереться?

— Джефф Степлтон,

3

Звідки береться tokenJwtReponse.access_token?

— 3iL

4

Як інші вже ставили під сумнів: звідки береться "tokenJwtReponse.access_token"? У відповіді немає визначення чи декларації, що робить відповідь марною та безглуздою для багатьох з нас.

— Zeek2,

33

new JwtSecurityTokenHandler().ReadToken("") поверне a SecurityToken

new JwtSecurityTokenHandler().ReadJwtToken("") поверне a JwtSecurityToken

Якщо ви просто зміните метод, який використовуєте, ви можете уникнути акторського складу у наведеній вище відповіді

— dpix
джерело

16

Вам потрібен секретний рядок, який був використаний для створення маркера шифрування. Цей код працює для мене:

protected string GetName(string token)
    {
        string secret = "this is a string used for encrypt and decrypt token"; 
        var key = Encoding.ASCII.GetBytes(secret);
        var handler = new JwtSecurityTokenHandler();
        var validations = new TokenValidationParameters
        {
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(key),
            ValidateIssuer = false,
            ValidateAudience = false
        };
        var claims = handler.ValidateToken(token, validations, out var tokenSecure);
        return claims.Identity.Name;
    }

— Пато Мілан
джерело

Чому ви телефонуєте, handler.ReadToken(token) as SecurityTokenколи outзгодом перепризначаєте його як свій параметр? Чи існує ймовірність того, що ValidateTokenне вдається зберегти початкове значення?

— krillgar

Правий крильгар не є необхідним для акторів для SecurityToken

— Pato Milán

Чи перевіряє ValidateToken термін дії? Або мені потрібно підтвердити це після того, як це буде розшифровано?

— computrius

9

Використовуючи .net core jwt-пакети, Претензії доступні:

[Route("api/[controller]")]
[ApiController]
[Authorize(Policy = "Bearer")]
public class AbstractController: ControllerBase
{
    protected string UserId()
    {
        var principal = HttpContext.User;
        if (principal?.Claims != null)
        {
            foreach (var claim in principal.Claims)
            {
               log.Debug($"CLAIM TYPE: {claim.Type}; CLAIM VALUE: {claim.Value}");
            }

        }
        return principal?.Claims?.SingleOrDefault(p => p.Type == "username")?.Value;
    }
}

— jenson-button-event
джерело

6

  var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["Jwt:Key"]));
        var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        var claims = new[]
                {
                    new Claim(JwtRegisteredClaimNames.Email, model.UserName),
                    new Claim(JwtRegisteredClaimNames.NameId, model.Id.ToString()),
                };
        var token = new JwtSecurityToken(_config["Jwt:Issuer"],
          _config["Jwt:Issuer"],
          claims,
          expires: DateTime.Now.AddMinutes(30),
          signingCredentials: creds);

Потім витягніть вміст

 var handler = new JwtSecurityTokenHandler();
        string authHeader = Request.Headers["Authorization"];
        authHeader = authHeader.Replace("Bearer ", "");
        var jsonToken = handler.ReadToken(authHeader);
        var tokenS = handler.ReadToken(authHeader) as JwtSecurityToken;

        var id = tokenS.Claims.First(claim => claim.Type == "nameid").Value;

— Джинеш
джерело

3

Розширюючи відповіді на cookie-файли та відповіді dpix , коли ви читаєте маркер jwt (наприклад, маркер доступу, отриманий від AD FS), ви можете об'єднати твердження в маркері jwt із твердженнями з "context.AuthenticationTicket.Identity", які можуть не мають той самий набір вимог, що і маркер jwt.

Для ілюстрації, в потоці коду автентифікації за допомогою OpenID Connect після аутентифікації користувача ви можете обробити подію SecurityTokenValidated, яка надає вам контекст автентифікації, тоді ви можете використовувати його для читання access_token як маркера jwt, тоді ви можете " об'єднати "маркери, які знаходяться в access_token зі стандартним списком претензій, отриманих як частина ідентифікації користувача:

    private Task OnSecurityTokenValidated(SecurityTokenValidatedNotification<OpenIdConnectMessage,OpenIdConnectAuthenticationOptions> context)
    {
        //get the current user identity
        ClaimsIdentity claimsIdentity = (ClaimsIdentity)context.AuthenticationTicket.Identity;

        /*read access token from the current context*/
        string access_token = context.ProtocolMessage.AccessToken;

        JwtSecurityTokenHandler hand = new JwtSecurityTokenHandler();
        //read the token as recommended by Coxkie and dpix
        var tokenS = hand.ReadJwtToken(access_token);
        //here, you read the claims from the access token which might have 
        //additional claims needed by your application
        foreach (var claim in tokenS.Claims)
        {
            if (!claimsIdentity.HasClaim(claim.Type, claim.Value))
                claimsIdentity.AddClaim(claim);
        }

        return Task.FromResult(0);
    }

— TamerDev
джерело