ASP.NET Core JWT Bearer Tokenカスタム検証

Question

たくさん読んだ後、カスタムJWTベアラトークンバリデータを実装する方法を以下に示しました。

Starup.csコード：

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IApplicationLifetime appLifetime) { loggerFactory.AddConsole(Configuration.GetSection("Logging")); loggerFactory.AddDebug(); app.UseStaticFiles(); app.UseIdentity(); ConfigureAuth(app); app.UseMvcWithDefaultRoute(); } private void ConfigureAuth(IApplicationBuilder app) { var signingKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Configuration.GetSection("TokenAuthentication:SecretKey").Value)); var tokenValidationParameters = new TokenValidationParameters { // The signing key must match! ValidateIssuerSigningKey = true, IssuerSigningKey = signingKey, // Validate the JWT Issuer (iss) claim ValidateIssuer = true, ValidIssuer = Configuration.GetSection("TokenAuthentication:Issuer").Value, // Validate the JWT Audience (aud) claim ValidateAudience = true, ValidAudience = Configuration.GetSection("TokenAuthentication:Audience").Value, // Validate the token expiry ValidateLifetime = true, // If you want to allow a certain amount of clock drift, set that here: ClockSkew = TimeSpan.Zero }; var jwtBearerOptions = new JwtBearerOptions(); jwtBearerOptions.AutomaticAuthenticate = true; jwtBearerOptions.AutomaticChallenge = true; jwtBearerOptions.TokenValidationParameters = tokenValidationParameters; jwtBearerOptions.SecurityTokenValidators.Clear(); //below line adds the custom validator class jwtBearerOptions.SecurityTokenValidators.Add(new CustomJwtSecurityTokenHandler()); app.UseJwtBearerAuthentication(jwtBearerOptions); var tokenProviderOptions = new TokenProviderOptions { Path = Configuration.GetSection("TokenAuthentication:TokenPath").Value, Audience = Configuration.GetSection("TokenAuthentication:Audience").Value, Issuer = Configuration.GetSection("TokenAuthentication:Issuer").Value, SigningCredentials = new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256) }; app.UseMiddleware<TokenProviderMiddleware>(Options.Create(tokenProviderOptions)); }

カスタムバリデータクラスは次のとおりです。

public class CustomJwtSecurityTokenHandler : ISecurityTokenValidator { private int _maxTokenSizeInBytes = TokenValidationParameters.DefaultMaximumTokenSizeInBytes; private JwtSecurityTokenHandler _tokenHandler; public CustomJwtSecurityTokenHandler() { _tokenHandler = new JwtSecurityTokenHandler(); } public bool CanValidateToken { get { return true; } } public int MaximumTokenSizeInBytes { get { return _maxTokenSizeInBytes; } set { _maxTokenSizeInBytes = value; } } public bool CanReadToken(string securityToken) { return _tokenHandler.CanReadToken(securityToken); } public ClaimsPrincipal ValidateToken(string securityToken, TokenValidationParameters validationParameters, out SecurityToken validatedToken) { //How to access HttpContext/IP address from here? var principal = _tokenHandler.ValidateToken(securityToken, validationParameters, out validatedToken); return principal; } }

トークンが盗まれた場合、トークンを生成した同じクライアントからリクエストが来ていることを検証するために、セキュリティのレイヤーを追加したいと思います。

質問：

現在のクライアント/リクエスターに基づいてカスタム検証を追加できるように、HttpContextクラス内のCustomJwtSecurityTokenHandlerにアクセスする方法はありますか？
そのようなメソッド/ミドルウェアを使用して、リクエスターの信頼性を検証できる他の方法はありますか？

Set · Accepted Answer

ASP.NET Coreでは、HttpContextサービスを使用してIHttpContextAccessorを取得できます。 DIを使用してIHttpContextAccessorインスタンスをハンドラーに渡し、IHttpContextAccessor.HttpContextプロパティの値を取得します。

IHttpContextAccessorサービスはdefaulによって登録されていないため、最初にStartup.ConfigureServicesメソッドに次を追加する必要があります。

services.TryAddSingleton<IHttpContextAccessor, HttpContextAccessor>();

次に、CustomJwtSecurityTokenHandlerクラスを変更します。

private readonly IHttpContextAccessor _httpContextAccessor; public CustomJwtSecurityTokenHandler(IHttpContextAccessor httpContextAccessor) { _httpContextAccessor = httpContextAccessor; _tokenHandler = new JwtSecurityTokenHandler(); } ... public ClaimsPrincipal ValidateToken(string securityToken, TokenValidationParameters validationParameters, out SecurityToken validatedToken) { var httpContext = _httpContextAccessor.HttpContext; }

JwtSecurityTokenHandlerインスタンス化にはDIテクニックも使用する必要があります。これらすべてに慣れていない場合は、 Dependency Injection ドキュメントをご覧ください。

更新：依存関係を手動で解決する方法（詳細こちら）

IServiceProvider serviceProviderを使用するようにConfigureメソッドを変更します。

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory, IApplicationLifetime appLifetime, IServiceProvider serviceProvider) { ... var httpContextAccessor = serviceProvider.GetService<IHttpContextAccessor>(); // and extend ConfigureAuth ConfigureAuth(app, httpContextAccessor); ... }

Patrick · Answer

カスタムJWTバリデーター用に、IOAuthBearerAuthenticationProviderに継承されるJWTCosumerProviderクラスを作成しました。 ValidateIdentity（）メソッドを実装して、最初にクライアントIPアドレスを保存したIDクレームを確認し、その後の現在のリクエストIDアドレスと比較します。

public Task ValidateIdentity(OAuthValidateIdentityContext context) { var requestIPAddress = context.Ticket.Identity.FindFirst(ClaimTypes.Dns)?.Value; if (requestIPAddress == null) context.SetError("Token Invalid", "The IP Address not right"); string clientAddress = JWTHelper.GetClientIPAddress(); if (!requestIPAddress.Equals(clientAddress)) context.SetError("Token Invalid", "The IP Address not right"); return Task.FromResult<object>(null); }

JWTHelper.GetClientIPAddress（）

internal static string GetClientIPAddress() { System.Web.HttpContext context = System.Web.HttpContext.Current; string ipAddress = context.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; if (!string.IsNullOrEmpty(ipAddress)) { string[] addresses = ipAddress.Split(','); if (addresses.Length != 0) { return addresses[0]; } } return context.Request.ServerVariables["REMOTE_ADDR"]; }

この助けを願っています！

Sang Suantak · Answer

どこにも答えが見つからなかったため、HttpContextに関係する検証のロジックをActionFilterに移動しました。

ただし、ソリューションが散在します。