- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我有一个使用 WIF 和 .NET 4.5 实现的基于声明的身份验证系统的有效实现。它包含通常的部分:
从前端应用程序到后端 WCF 服务的调用使用委托(delegate)身份验证,因此用户在前端应用程序中进行身份验证,应用程序使用 ActAs=BootstrapToken 请求新 token ,然后调用 WCF 服务。
这一切都与 SAML token 一起正常工作。
现在我想使用 JWT token 与 WebApi 对话,所以我安装了 JSON Web Token Handler For the Microsoft .Net Framework 4.5我的 STS 和 WebApi 项目中的 Nuget 包。
所以我的 STS 正确地发出了签名的 JWT token ,我的 WebApi 依赖方验证了相同的 token 。一切都很好。
问题:
如果我在 RST 的 ActAs 字段中使用 JWT token ,它将在没有签名的情况下发送,因此它自然会被 STS 拒绝。 SecurityTokenHandler.ReadToken() 方法返回的 token 似乎返回了一个没有任何签名信息的 token 。
现在我的困境是:这是 JWT token 支持的场景吗?据我了解,与 SAML token 相反,JWT token 不包含验证签名的所有信息,因此还有其他限制吗?
另一方面,如果确实支持这一点,那么之前是否有人实现过或有任何想法?这是一个开发者预览版,所以它会是一个错误吗?
编辑
这是一个示例来说明这个问题。当在 STS 中运行(访问签名 key )和依赖方(访问证书的公钥)时,代码产生相同的结果:
System.Diagnostics.Debug.WriteLine("Raw Token : {0}", (object)rawToken);
var readToken = this.identityConfiguration.SecurityTokenHandlers.ReadToken(rawToken);
this.identityConfiguration.SecurityTokenHandlers.ValidateToken(readToken);
var serializedToken = this.identityConfiguration.SecurityTokenHandlers.WriteToken(readToken);
System.Diagnostics.Debug.WriteLine("Serialized Token: {0}", (object)serializedToken);
产生以下内容
Raw Token : eyJAi(...)x3a9.eyJvYXB(...)DYzWiJ9.y-lT(...)PyBUTw
Serialized Token: eyJAi(...)x3a9.eyJvYXB(...)DYzWiJ9.
很明显,读/写往返会丢失签名信息。我能理解为什么这种情况会发生在 RP 中,但不会发生在 STS 中。
编辑 2
所以这是当前的 JWTSecurityTokenHandler.WriteToken(SecurityToken token)
实现:
public override string WriteToken(SecurityToken token)
{
Utility.VerifyNonNullArgument("token", token);
JWTSecurityToken jWTSecurityToken = token as JWTSecurityToken;
if (jWTSecurityToken == null)
{
throw new SecurityTokenException(string.Format(CultureInfo.InvariantCulture, "JWT10200: This instance of JWTSecurityTokenHandler can only write SecurityTokens of type '{0}', a SecurityToken of type '{1}' was received.", new object[]
{
typeof(JWTSecurityToken),
token.GetType()
}));
}
string text = string.Empty;
string text2 = string.Format(CultureInfo.InvariantCulture, "{0}.{1}", new object[]
{
jWTSecurityToken.EncodedHeader,
jWTSecurityToken.EncodedPayload
});
if (jWTSecurityToken.SigningCredentials != null)
{
text = this.Sign(text2, jWTSecurityToken.SigningCredentials);
}
return string.Format(CultureInfo.InvariantCulture, "{0}.{1}", new object[]
{
text2,
text
});
}
通过调查,很明显书面 token 在 RP 中永远不会有其签名,因为我们没有签名凭证。所以这看起来不像是错误,而是一个实现决定。我只是不明白为什么。
谢谢
最佳答案
这既不是安全(或任何其他)错误,也不是实现决策。Write 可以生成带有签名的 JWT 的唯一位置是发布点。 token 发行者以外的任何一方都不应该尝试重新创建它(这就是读写往返的意思)。当您收到签名的 JWT 时,您只能对其进行验证和阅读。您可以按原样自由重新传输原始 JWT,但您将无法“正确”重建它,因为您不是发行者并且没有适当的签名 key 。
这就是签署 token 的真正原因:只有原始发行者才能正确签署。
如果您愿意,我可以尝试帮助您使用安全 token 和 STS 设计正确的场景,但为此,请分享您正在实现的场景的序列图。
关于asp.net-web-api - 使用带委托(delegate)的 JWT token (ActAs),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14381363/
运行 PostgreSQL(7.4 和 8.x),我认为这是可行的,但现在我遇到了错误。 我可以单独运行查询,它工作得很好,但如果我使用 UNION 或 UNION ALL,它会抛出错误。 这个错误:
我试图为我的应用程序创建一个导航,使用抽屉导航我的 fragment 之一(HomeFragment)有一个 ViewPager,可容纳 3 个 fragment (Bundy Clock、Annou
以我目前正在开发的应用为例: - 它有一个包含多个项目的抽屉导航;现在有两个项目让我感兴趣,我将它们称为 X 和 Y。 X 和 Y 都在单击时显示包含 x 元素或 y 元素列表的 fragment 选
我有一个形状为 (370,275,210) 的 NumPy 数组,我想将其重新整形为 (275,210,370)。我将如何在 Python 中实现这一点? 370是波段数,275是行数,210是图像包
我们如何与被子 UIViewController 阻止的父 UIViewController(具有按钮)交互。显然,触摸事件不会通过子 Nib 。 (启用用户交互) 注意:我正在加载默认和自定义 NI
我是 Jpa 新手,我想执行过程 我的代码如下 private static final String PERSISTENCE_UNIT_NAME = "todos"; private static
与安装了 LAMP 的 GCE 相比,选择与 Google Cloud SQL 链接的 GCE 实例有哪些优势? 我确定 GCE 是可扩展的,但是安装在其上的 mysql 数据库的可扩展性如何? 使用
这个问题在这里已经有了答案: Value receiver vs. pointer receiver (3 个答案) 关闭 3 年前。 我刚接触 golang。只是想了解为 Calc 类型声明的两种
我不小心按了一个快捷键,一个非常漂亮的断线出现在日期上。 有点像 # 23 Jun 2010 -------------------- 有人知道有问题的快捷方式吗?? (我在 mac 上工作!) 在
我正在Scala中编写正则表达式 val regex = "^foo.*$".r 这很好,但是如果我想做 var x = "foo" val regex = s"""^$x.*$""".r 现在我们有
以下 XML 文档在技术上是否相同? James Dean 19 和: James Dean 19 最佳答案 这两个文档在语义上是相同的。在 X
我在对数据帧列表运行稳健的线性回归模型(使用 MASS 库中的 rlm)时遇到问题。 可重现的示例: var1 <- c(1:100) var2 <- var1*var1 df1 <- data.f
好的,我有一个自定义数字键盘,可以在标签(numberField)中将数字显示为 0.00,现在我需要它显示 $0.00。 NSString *digit = sender.currentTitle;
在基于文档的应用程序中,使用 XIB 文件,创建新窗口时其行为是: 根据最后一个事件的位置进行定位和调整大小 window 。 如果最后一个事件窗口仍然可见,则新窗口 窗口应该是级联的,这样它就不会直
我想使用参数进行查询,如下所示: SELECT * FROM MATABLE WHERE MT_ID IN (368134, 181956) 所以我考虑一下 SELECT * FROM MATABLE
我遇到一些性能问题。 我有一个大约有 200 万行的表。 CREATE TABLE [dbo].[M8]( [M8_ID] [int] IDENTITY(1,1) NOT NULL,
我在 jquery 中的按键功能遇到问题。我不知道为什么按键功能不起作用。我已经使用了正确的 key 代码。在我的函数中有 2 个代码,其中包含 2 个事件键,按一个键表示 (+) 代码 107 和(
我想显示音频波形,我得到了此代码,它需要.raw音频输入并显示音频波形,但是当我放入.3gp,.mp3音频时,我得到白噪声,有人可以帮助我如何使其按需与.3gp一起使用使用.3gp音频运行它。 Inp
我无法让 stristr 函数返回真值,我相信这是因为我的搜索中有一个 $ 字符。 当我这样做时: var_dump($nopricecart); 完整的 $nopricecart 值是 $0 ,我得
如果我有这样的循环: for(int i=0;i O(n) 次。所以do some执行了O(n)次。如果做某事是线性时间,那么代码片段的复杂度是O(n^2)。 关于algorithm - 带 If 语
我是一名优秀的程序员,十分优秀!