温馨提示:本文翻译自stackoverflow.com,查看原文请点击:c# - ASP.Net Core 2.0 mixed authentication of JWT and Windows Authentication doesn't accept credentials
asp.net-core-2.0 authorization c# authorize-attribute

c# - JWT和Windows身份验证的ASP.Net Core 2.0混合身份验证不接受凭据

发布于 2020-04-23 10:39:49

我已经在asp.net core 2.0中使用混合模式身份验证创建了API。对于某些控制器JWT和某些使用Windows身份验证的控制器。

我对使用JWT授权的控制器没有任何问题。但是对于要使用Windows身份验证的控制器,我会无限期地提示我使用chrome的用户名和密码对话框。

这是我要使用Windows身份验证而不是JWT的示例控制器代码。

[Route("api/[controller]")]
[Authorize(AuthenticationSchemes = "Windows")]
public class TestController : Controller
{
    [HttpPost("processUpload")]
    public async Task<IActionResult> ProcessUploadAsync(UploadFileModel uploadFileModel)
    {

    }
}

我的配置服务代码 

public void ConfigureServices(IServiceCollection services)
{
     services.AddAuthentication(options =>
     {
        options.DefaultAuthenticateScheme = IISDefaults.AuthenticationScheme;
        options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
     })
     .AddJwtBearer("Bearer", options =>
     {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateAudience = false,       
            ValidateIssuer = false,  
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("blahblahKey")),
            ValidateLifetime = true, //validate the expiration and not before values in the token
            ClockSkew = TimeSpan.FromMinutes(5) //5 minute tolerance for the expiration date
        };
     });

     // let only my api users to be able to call 
     services.AddAuthorization(auth =>
     {
        auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
            .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme‌​)
            .RequireClaim(ClaimTypes.Name, "MyApiUser").Build());
     });

     services.AddMvc();
}

我的配置方法。

public void Configure(IApplicationBuilder app, IHostingEnvironment env)
{
    app.UseCors("CorsPolicy");

    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }

    app.UseAuthentication(); //needs to be up in the pipeline, before MVC
    app.UseMvc();
}

感谢您的建议并为此提供帮助。

更新:到目前为止,我一直在chrome上调试我的代码。但是,当我使用IE 11时,上面的代码正在运行,没有任何问题。

这可以是Chrome的CORS问题,而在飞行前问题呢?

谢谢

查看更多

提问者
coolcake
被浏览
9
分享
vasily.sib 2018-06-27 13:27

您需要确保在尝试使用Windows Auth时设置Authorization: Bearer <JWT_token>HTTP标头。这里的关键是“ Windows Auth”的实际工作方式。让我们看看它如何与浏览器一起工作。

我们称其为“正常流程”:

  1. http://example.com/api/resource在浏览器中导航到
  2. 您的浏览器目前发送HTTP GET请求而http://example.com/api/resource没有任何AuthorizationHTTP标头(匿名请求);
  3. Web服务器(或WebAPI本身)接收到请求,发现没有Authorization头,并设置了HTTP 头,并以401 Not Authorized状态代码响应WWW-Authenticate: NTLM,Negotiate“走开,没有匿名访问。只欢迎'NTLM'或'Negotiate'家伙! ”);
  4. 浏览器收到401响应,发现请求是匿名的,查找WWW-Authenticate标头并立即重复请求,现在使用Authorization: NTLM <NTLM_token>HTTP标头(“好,请放心,Web服务器先生!这是我的NTLM令牌。”);
  5. 服务器收到第二个请求,在Authorization标头中找到NTLM令牌,对其进行验证并执行请求(“好,您可以通过。这是您的资源。”)。

当您最初将Authorizationheader 设置为某个值时,情况会有所不同

  1. 您的JS需要http://example.com/api/resource具有JWT授权;
  2. 您的浏览器发送一个HTTP GET请求,http://example.com/api/resourceAuthorization: Bearer <JWT_token>现在的HTTP头;
  3. Web服务器(或WebAPI本身)接收到请求,发现存在Authorization带有“ Bearer”身份验证方案的标头,并再次使用已设置的HTTP标头401 Not Authorized状态代码进行响应WWW-Authenticate: NTLM,Negotiate“走开,我们不知道这个'Bearer是谁。 “伙计们,但我们不喜欢他们。只欢迎“ NTLM”或“谈判”伙计!”);
  4. 浏览器收到401响应,发现请求已被授权,并确定此令牌是错误的。但是,当您实际设置Authorization标头时,这意味着您实际上具有一些凭据。因此,它会要求您通过此对话框提供此凭据。
coolcake 2018-06-28 09:11:07

很好的解释,感谢您的宝贵时间。做得好。

热门帖子

1
内蒙古联通双拨没了 好遗憾 毕竟我这里之前双拨能叠加网速
2
有人拼Surge for ios 车吗
3
Surge ios 新开车,空余两个车位
4
出一个 surge mac 授权
5
总是感觉到 Apple Silicon 让双系统变得很难办
6
万界星空科技MES管理系统与其他系统的集成
7
使用 clash 上网时应对 dns 泄露的心得
8
facetime 诈骗电话怎么办?
9
大龄码农被裁员,笔记本求推荐
10
兄弟们帮我看一下拿到的一个国外全职远程是不是坑?

相关问题

1
OAuth2
2
在laravel中集中用户角色验证
3
多租户ASP.NET核心
4
允许RoleBinding中的每个人都使用命名空间
5
在wso2 IS XACML策略中,如何验证角色及其权限
6
问:用于Imgur的OAuth2给我超出容量状态500的错误
7
Docker构建无法访问ADO工件
8
是否有用于Microsoft身份平台和OAuth 2.0授权的OAuth 2构建器?
9
如何在特定区域允许授权方案
10
如何从ASP.NET Core Webapi中删除重定向并返回HTTP 401?

热门github

1
Implementation of paper - YOLOv9: Learning What You Want to Learn Using Programmable Gradient Information (翻译:论文实现——YOLOv9: Learning What You Want to Learn using Programmable Gradient Information(利用可编程梯度信息学习您想学的内容))
2
A Windows and Office activator using HWID / Ohook / KMS38 / Online KMS activation methods, with a focus on open-source code and fewer antivirus detections. (翻译:使用 HWID / KMS38 / Online KMS 激活方法激活 Microsoft 产品的脚本集合,重点是开源代码、较少的防病毒检测和用户友好性。)
3
Get up and running with Llama 2, Mistral, Gemma, and other large language models. (翻译:启动并运行 Llama 2、Mistral、Gemma 和其他大型语言模型。)
4
该项目可以让你通过订阅的方式使用Cloudflare WARP+,自动获取流量。This project enables you to use Cloudflare WARP+ through subscription, automatically acquiring traffic.
5
Multi functional app to find duplicates, empty folders, similar images etc. (翻译:多功能应用程序可查找重复项、空文件夹、相似图像等。)
6
Xray panel supporting multi-protocol multi-user expire day & traffic & ip limit (Vmess & Vless & Trojan & ShadowSocks & Wireguard) (翻译:Xray面板支持多协议多用户到期日&流量&IP限制(Vmess & Vless & Trojan & ShadowSocks & Wireguard)
7
The Free Software Media System (翻译:Jellyfin 是一个免费软件媒体系统,可让您控制管理和流式传输您的媒体。它是专有 Emby 和 Plex 的替代方案,通过多个应用程序从专用服务器向最终用户设备提供媒体。)
8
lightweight, standalone C++ inference engine for Google's Gemma models. (翻译:适用于 Google Gemma 模型的轻量级独立 C++ 推理引擎。)
9
📚 Freely available programming books (翻译:📚 免费提供的编程书籍)
10
A collective list of free APIs (翻译:免费 API 的集合列表)
11
1️⃣🐝🏎️ The One Billion Row Challenge -- A fun exploration of how quickly 1B rows from a text file can be aggregated with Java (翻译:十亿行挑战 —— 使用 Java 对文本文件中的 10 亿行数据进行聚合的有趣探索)
12
🎓 Path to a free self-taught education in Computer Science! (翻译:🎓计算机科学免费自学教程!)
13
Curso para aprender el lenguaje de programación Python desde cero y para principiantes. 75 clases, 37 horas en vídeo, código, proyectos y grupo de chat. Fundamentos, frontend, backend, testing, IA... (翻译:从零开始学习 Python 编程语言的课程,适合初学者)
14
This repository contains System Design resources which are useful while preparing for interviews and learning Distributed Systems (翻译:该存储库包含系统设计资源,在准备面试和学习分布式系统时非常有用)
15
Mamba is a new state space model architecture showing promising performance on information-dense data such as language modeling, where previous subquadratic models fall short of Transformers. It is based on the line of progress on structured state space models, with an efficient hardware-aware design and implementation in the spirit of FlashAttention. (翻译:Mamba 是一种新的状态空间模型架构,在信息密集型数据(例如语言建模)上显示出良好的性能,而之前的二次模型在 Transformers 方面存在不足。它基于结构化状态空间模型的进展,并本着FlashAttention的精神进行高效的硬件感知设计和实现。)