asp.net-web-api C Web API / MVC 6中的安全JSON Web令牌
发布时间:2023-12-16 14:21:50 所属栏目:asp.Net 来源:DaWei
导读: 安全问题:
根据
https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法.
这是我们的用例:
我们
根据
https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/,许多JWT库使用令牌本身来确定签名的算法.
这是我们的用例:
我们
|
安全问题:
这是我们的用例: 我们可以在Web API / MVC 6中使用哪些库?重要的是可以在解码时指定签名算法以避免漏洞. 如果可能,我们希望避免集成复杂的OAuth组件. 解决方法 我正在使用System.IdentityModel.Tokens.Jwt库,我刚刚检查了这个问题.我在我的一个测试中生成了一个令牌并验证了它,然后我删除了将alg更改为none的signingCredentials.使用“alg”生成的JWT:“none”验证失败.以下是我生成令牌的方法: public string GenerateToken(SSOContext context,SignatureSettings settings) { var token = new JwtSecurityToken( issuer: "MyIssuer",audience: "MyAudience",claims: GetClaims(context),//comment the below line to generate a 'none' alg signingCredentials: new X509SigningCredentials(settings.Certificate),notBefore: DateTime.UtcNow,expires: DateTime.UtcNow.AddHours(1) ); return new JwtSecurityTokenHandler().WriteToken(token); }当我验证令牌时,我得到了一个与消息一样的异常 IDX10504: Unable to validate signature,token does not have a signature: (编辑:4S站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- 利用ASP.NET MVC和Bootstrap快速搭建个人博客之后台dataTab
- asp.net-mvc – 如何从mvc中的控制器中设置隐藏字段的值
- asp.net – 我如何使用AJAX来确定用户的会话是否已过期,然后
- 只需发布已修改的控制器,模型和ASP.NET MVC项目的某些部分
- asp.net – $(“#dialog”).parent().appendTo($(“form:f
- js触发asp.net的Button的Onclick事件应用
- asp.net-mvc – 何时使用asp.net mvc的路由规则vs查询字符串
- asp.net-mvc – ActionResult上的自定义属性
- asp.net – XMLHTTP请求的经典ASP错误
- 这是一个bug?浮动操作被视为整数
推荐文章
站长推荐
热点阅读
- asp.net-core C 如何使用ASP.NET注册OData
- asp.net-mvc-3 C 如何从ASP.NET MVC#输出中
- asp.net-mvc C 已经使用相同的参数类型定义
- asp.net C MVC4 C ContextDependentView C
- ASP.Net C AJAX UpdatePanel中的Javascript
- asp.net-mvc C ASP.NET MVC中的WebApi [Fro
- asp.net-mvc C 使用AD的ASP.NET MVC表单Aut
- asp.net-mvc-4 C 在EF迁移配置类的Seed方法
- asp.net C 适用于多个用户的EWS通知中心
- asp.net-mvc C MVC应用程序中的随机数生成
