如何在MVC应用程序中使用JWT进行身份validation和授权？

为了让MVC了解你的JWT，你基本上要告诉它:-)。 首先，从nuget安装Jwt包：

 Install-Package Microsoft.Owin.Security.Jwt 

然后打开你的Startup.cs文件并添加一个新的function，告诉MVC如何使用JWT。 在基础知识上，您的Startup将如下所示：

 using System.Configuration; using Microsoft.Owin; using Microsoft.Owin.Security; using Microsoft.Owin.Security.DataHandler.Encoder; using Microsoft.Owin.Security.Jwt; using Owin; [assembly: OwinStartupAttribute(typeof(TOMS.Frontend.Startup))] namespace TOMS.Frontend { public partial class Startup { public void Configuration(IAppBuilder app) { ConfigureAuth(app); ConfigureOAuthTokenConsumption(app); } private void ConfigureOAuthTokenConsumption(IAppBuilder app) { var issuer = ConfigurationManager.AppSettings["as:Issuer"]; var audienceId = ConfigurationManager.AppSettings["as:AudienceId"]; var audienceSecret = TextEncodings.Base64Url.Decode(ConfigurationManager.AppSettings["as:AudienceSecret"]); // Api controllers with an [Authorize] attribute will be validated with JWT app.UseJwtBearerAuthentication(new JwtBearerAuthenticationOptions { AuthenticationMode = AuthenticationMode.Active, AllowedAudiences = new[] { audienceId }, IssuerSecurityTokenProviders = new IIssuerSecurityTokenProvider[] { new SymmetricKeyIssuerSecurityTokenProvider(issuer, audienceSecret) } }); } } } 

您会注意到我将发行者，audienceId和audienceSecret放在我的Web.config文件中。 （这些值应与资源服务器上的值匹配）。 此外，您可能希望确保运行更新的System.IdentityModel.Tokens.Jwt：

 Update-package System.IdentityModel.Tokens.Jwt 

使用这些设置，您可以使用[Authorize]属性修饰控制器Action并播放球。

玩球当然意味着从你的javascript到你的受保护的控制器动作你的请求：

 //assuming you placed the token in a sessionStorage variable called tokenKey when it came back from your Authorization Server var token = sessionStorage.getItem(tokenKey); var headers = {}; if (token) { headers.Authorization = 'Bearer ' + token; } $.ajax({ type: 'GET', url: 'CONTROLLER/ACTION', headers: headers }).done(function (data) { self.result(data); }).fail(showError); 

UPDATE顺便说一下，如果你想在你的web.config文件中添加这些值，就像我上面那样检索它们; 只需在AppSettings下添加它们：

…当然用你自己的“价值”取而代之

我不知道你是否解决了这个问题，但我遇到了类似的问题，并决定使用FormsAuthentication存储令牌，我可以加密令牌，并在每次请求时将cookie传回，然后我可以将其解密为获取JWT，然后从中获取角色/声明，然后使用这些角色创建和Identity Principal，这将允许我使用[Authorize（Role =“blah，blah”）]来装饰我的控制器方法。

以下是一些示例代码。

从登录后的api获取JSON Web令牌后，您可以使用以下内容：

 var returnedToken = (TokenResponse)result.ReturnedObject; var ticket = new FormsAuthenticationTicket(1, model.Email, DateTime.Now, ConvertUnitToDateTime(returnedToken.expires_in), true, returnedToken.access_token); string encryptedTicket = FormsAuthentication.Encrypt(ticket); var cookie = new HttpCookie(FormsAuthentication.FormsCookieName, encryptedTicket); cookie.HttpOnly = true; Response.Cookies.Add(cookie) 

我有一些自己创建的类和方法，但它会让你大致了解在FormsAuthentication cookie中存储JWT访问令牌以及到期日期。

然后cookie随每个请求一起传递，在Global.asax文件中，您可以使用一种方法来validation请求：

 protected void Application_AuthenticateRequest(Object sender, EventArgs e) { HttpCookie authCookie = Request.Cookies[FormsAuthentication.FormsCookieName]; if (authCookie != null) { //Extract the forms authentication cookie FormsAuthenticationTicket authTicket = FormsAuthentication.Decrypt(authCookie.Value); JwtSecurityToken jwTok = TokenHelper.GetJWTokenFromCookie(authCookie); // Create the IIdentity instance IIdentity id = new FormsIdentity(authTicket); // Create the IPrinciple instance IPrincipal principal = new GenericPrincipal(id, TokenHelper.GetRolesFromToken(jwTok).ToArray()); // Set the context user Context.User = principal; } } 

因此，您可以解密cookie以获取JWT访问令牌，然后使用Microsoft的System.IdentityModel.Tokens.Jwt库进行解码，然后获取这些角色和ID，并为创建您的用户生成主体和身份具有角色的用户。

然后可以针对[Authorize]属性validation这些角色。