27

署名に基づいて JWT トークンが有効である場合に true を返すトークン検証メソッドを作成しようとしています。トークンのすべてを本当に検証する必要はないと思いますが、ValidateToken() を呼び出した後にトークンが有効であることを実際に意味するものは何ですか? 原則の存在?外部参照トークンに特定の値が含まれていますか? このメソッドからいつ true を返すかわかりません。

public bool ValidateToken(string tokenString)
{
    var validationParameters = new TokenValidationParameters()
    {
        ValidIssuer = "My Company",
        ValidAudience = ApplicationId,
        IssuerSigningKey = JsonWebTokenSecretKey
    };

    SecurityToken token = new JwtSecurityToken();
    var tokenHandler = new JwtSecurityTokenHandler();
    var principal = tokenHandler.ValidateToken(tokenString, validationParameters, out token);

    return principal != null;
}
4

1 に答える 1

42

すべてのクレーム値を手動でチェックします。私はあなたの同じ質問に対する決定的な答えを探していましたが、私が見た唯一のことは、何かが間違っている場合に ValidateToken 関数が例外をスローすることです。キャッチ。

ただし、これはトークンを検証する際の「最初のパス」にすぎません。その後、特定の値を手動でチェックするために、もう少し手間のかかる作業を行います。たとえば、クレーム セクションの unique_name 値が実際にデータベースにユーザーとして存在すること、ユーザーが非アクティブ化されていないこと、およびその他の独自のシステムがそのようなものであることを確認します。

    public static bool VerifyToken(string token)
    {
        var validationParameters = new TokenValidationParameters()
        {
            IssuerSigningToken = new BinarySecretSecurityToken(_key),
            ValidAudience = _audience,
            ValidIssuer = _issuer,
            ValidateLifetime = true,
            ValidateAudience = true,
            ValidateIssuer = true,
            ValidateIssuerSigningKey = true
        };

        var tokenHandler = new JwtSecurityTokenHandler();
        SecurityToken validatedToken = null;
        try
        {
            tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
        }
        catch(SecurityTokenException)
        {
            return false; 
        }
        catch(Exception e)
        { 
            log(e.ToString()); //something else happened
            throw;
        }
        //... manual validations return false if anything untoward is discovered
        return validatedToken != null;
    }

最後の行はreturn validatedToken != null、純粋に私の側の迷信です。validatedToken が null になっているのを見たことがありません。

于 2015-04-16T22:01:05.133 に答える