JWTトークンを検証する方法

Question

JWTトークンを使用しようとしています。有効なJWTTokenStringを生成して JWTデバッガーで検証しましたが、.Netでトークンを検証することは不可能です。ここに私がこれまでに持っているコードがあります：

class Program { static string key = "401b09eab3c013d4ca54922bb802bec8fd5318192b0a75f201d8b3727429090fb337591abd3e44453b954555b7a0812e1081c39b740293f765eae731f5a65ed1"; static void Main(string[] args) { var stringToken = GenerateToken(); ValidateToken(stringToken); } private static string GenerateToken() { var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(key)); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); var header = new JwtHeader(credentials); var payload = new JwtPayload { { "some ", "hello "}, { "scope", "world"}, }; var secToken = new JwtSecurityToken(header, payload); var handler = new JwtSecurityTokenHandler(); return handler.WriteToken(secToken); } private static bool ValidateToken(string authToken) { var tokenHandler = new JwtSecurityTokenHandler(); var validationParameters = GetValidationParameters(); SecurityToken validatedToken; IPrincipal principal = tokenHandler.ValidateToken(authToken, validationParameters, out validatedToken); Thread.CurrentPrincipal = principal; return true; } private static TokenValidationParameters GetValidationParameters() { return new TokenValidationParameters() { //NOT A CLUE WHAT TO PLACE HERE }; } }

私が欲しいのは、トークンを受け取り、その有効性に基づいてtrueまたはfalseを返す関数です。調査から、人々はIssuerSigningTokenを使用して検証キーを割り当てることがわかりました。しかし、私がそれを使おうとすると、それは存在しないようです。トークンの検証について誰か教えてもらえますか？

meziantou · Accepted Answer

トークンの検証には、生成に使用したものと同じキーを使用する必要があります。また、生成するトークンにはこれらの情報がないため（またはこれらの情報を追加できるため）、有効期限、発行者、監査などの検証を無効にする必要があります。これが実際の例です：

class Program { static string key = "401b09eab3c013d4ca54922bb802bec8fd5318192b0a75f201d8b3727429090fb337591abd3e44453b954555b7a0812e1081c39b740293f765eae731f5a65ed1"; static void Main(string[] args) { var stringToken = GenerateToken(); ValidateToken(stringToken); } private static string GenerateToken() { var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(key)); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); var secToken = new JwtSecurityToken( signingCredentials: credentials, issuer: "Sample", audience: "Sample", claims: new[] { new Claim(JwtRegisteredClaimNames.Sub, "meziantou") }, expires: DateTime.UtcNow.AddDays(1)); var handler = new JwtSecurityTokenHandler(); return handler.WriteToken(secToken); } private static bool ValidateToken(string authToken) { var tokenHandler = new JwtSecurityTokenHandler(); var validationParameters = GetValidationParameters(); SecurityToken validatedToken; IPrincipal principal = tokenHandler.ValidateToken(authToken, validationParameters, out validatedToken); return true; } private static TokenValidationParameters GetValidationParameters() { return new TokenValidationParameters() { ValidateLifetime = false, // Because there is no expiration in the generated token ValidateAudience = false, // Because there is no audiance in the generated token ValidateIssuer = false, // Because there is no issuer in the generated token ValidIssuer = "Sample", ValidAudience = "Sample", IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(key)) // The same key as the one that generate the token }; } }