Autoryzacja tokenów Jwt nie działa

Question

Próbuję utworzyć autoryzację tokena Jwt. W tym celu muszę emitenta część z kodem tak:

public override Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context) 
{ 
    context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] {"*"}); 
    Users user; 
    using (var db = new UserStore()) 
    { 
     user = Task.Run(()=> db.FindUser(context.UserName, context.Password, context.ClientId)).Result; 
    } 
    if (user == null) 
    { 
     context.SetError("invalid_grant", "The user name or password is incorrect"); 
     return Task.FromResult<object>(null); 
    } 
    var identity = new ClaimsIdentity("JWT"); 
    identity.AddClaim(new Claim(ClaimTypes.Name, user.Email)); 
    identity.AddClaim(new Claim("sub", context.UserName)); 
    identity.AddClaim(new Claim(ClaimTypes.Role, user.Roles.Name)); 

    var props = new AuthenticationProperties(new Dictionary<string, string> 
    { 
     { 
      "audience", context.ClientId ?? string.Empty 
     } 
    }); 
    var ticket = new AuthenticationTicket(identity, props); 
    context.Validated(ticket); 
    return Task.FromResult<object>(null); 
} 

i „zasobów” część, która powinna przyjąć okaziciela Token:

public void ConfigureOAuth(IAppBuilder app) 
{ 
    var issuer = SiteGlobal.Issuer; 
    var audience = SiteGlobal.Audience; 
    var secret = TextEncodings.Base64Url.Decode(SiteGlobal.Secret); 
    app.UseJwtBearerAuthentication(
    new JwtBearerAuthenticationOptions 
    { 
     AuthenticationMode = AuthenticationMode.Active, 
     AllowedAudiences = new[] { audience }, 
     IssuerSecurityTokenProviders = new IIssuerSecurityTokenProvider[] 
     { 
      new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret) 
     } 
    }); 
} 

O ile widzę wydany żeton są ważne (I czy sprawdzanie poprawności na jwt.io), więc problem jest trochę inny. Kiedy wysyłam tokenowi w Postmanie z wywołaniem kontrolera chronionym atrybutem [Authorize], zawsze zwraca on kod 401. Czy możesz doradzić, jak to naprawić?

P.S. W ten sposób zaimplementowałem niestandardową fortecę Jwt:

public string Protect(AuthenticationTicket data) 
{ 
    if (data == null) 
    { 
     throw new ArgumentNullException("data"); 
    } 
    string audienceId = data.Properties.Dictionary.ContainsKey(AudiencePropertyKey) ? data.Properties.Dictionary[AudiencePropertyKey] : null; 
    if (string.IsNullOrWhiteSpace(audienceId)) throw new InvalidOperationException("AuthenticationTicket.Properties does not include audience"); 
    Audience audience; 
    using (var store = new AudienceStore()) 
    { 
     audience = Task.Run(()=> store.FindAudience(audienceId)).Result; 
    } 
    var symmetricKeyAsBase64 = audience.Base64Secret; 
    var signingKey = new InMemorySymmetricSecurityKey(Encoding.UTF8.GetBytes(symmetricKeyAsBase64)); 
    var signingCredentials = new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256Signature, SecurityAlgorithms.Sha256Digest); 
    var issued = data.Properties.IssuedUtc; 
    var expires = data.Properties.ExpiresUtc; 
    var token = new JwtSecurityToken(_issuer, audienceId, data.Identity.Claims, issued.Value.UtcDateTime, expires.Value.UtcDateTime, signingCredentials); 
    var handler = new JwtSecurityTokenHandler(); 
    var jwt = handler.WriteToken(token); 
    return jwt; 
} 

P.S. Faceci, bardzo mi przykro, ale zapomniałem wytłumaczyć, że "emitent" jest częścią kodu, który jest samodzielną aplikacją, a tymczasem "publiczność" jest chroniona przez web api. To dwie różne aplikacje działające niezależnie.

Answer 1

W Postman zapewnić wysyłania nagłówek autoryzacji za pomocą następującego wzoru:

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ 

, należy zostawić kartę pozwolenia wyznaczonych do Type: No Auth.

Jeśli nadal występują problemy, ustaw punkt przerwania w swoim GrantResourceOwnerCredentials i sprawdź, czy doszło do tego punktu. Zastanów się również nad przesłonięciem metody ValidateClientAuthentication z OAuthAuthorizationServerProvider, która powinna zostać wywołana przed GrantResourceOwnerCredentials, jeśli chcesz debugować wcześniej w łańcuchu zdarzeń.

Answer 2

Po prostu próbowałem uruchomić demo project wymienione w SON Web Token in ASP.NET Web API 2 using Owin i wszystkie działały zgodnie z oczekiwaniami.

Zauważyłem, że twoja implementacja metody Protect różni się nieco. Proponuję porównać swoją implementację z przykładem podanym w artykule. Spróbuj najpierw wykonać tę pracę.

Upewnij się także, że wydawca, odbiorca i sekret są takie same na obu serwerach.

Jeśli podasz pełny kod źródłowy, mogę spróbować dowiedzieć się więcej.