ASP.NET Core. Защита jwt токенов
Я использую в своем проекте jwt токены. Код для создания ClaimsIdentity:
public async Task<ClaimsIdentity> GetClaimsIdentityAsync(User user)
{
var roles = await _roleService.GetUserRolesAsync(user);
var claims = new List<Claim>
{
new Claim(ClaimsIdentity.DefaultNameClaimType, user.Username),
};
foreach (var role in roles)
{
claims.Add(new Claim(ClaimsIdentity.DefaultRoleClaimType, role.Name));
}
ClaimsIdentity claimsIdentity =
new ClaimsIdentity(claims, "Token", ClaimsIdentity.DefaultNameClaimType,
ClaimsIdentity.DefaultRoleClaimType);
return claimsIdentity;
}
Код для создания токена:
public async Task<string> GetJwtToken(User user)
{
var identity = await _sinInService.GetClaimsIdentityAsync(user);
var now = DateTime.UtcNow;
var jwt = new JwtSecurityToken(
issuer: AuthOptions.ISSUER,
audience: AuthOptions.AUDIENCE,
notBefore: now,
claims: identity.Claims,
expires: now.Add(TimeSpan.FromMinutes(AuthOptions.LIFETIME)),
signingCredentials: new SigningCredentials(AuthOptions.GetSymmetricSecurityKey(), SecurityAlgorithms.HmacSha256));
return new JwtSecurityTokenHandler().WriteToken(jwt);
}
Код в классе Startup:
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.RequireHttpsMetadata = false;
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidIssuer = AuthOptions.ISSUER,
ValidateAudience = true,
ValidAudience = AuthOptions.AUDIENCE,
ValidateLifetime = true,
IssuerSigningKey = AuthOptions.GetSymmetricSecurityKey(),
ValidateIssuerSigningKey = true,
};
});
Код был взят из этой статьи: https://metanit.com/sharp/aspnet5/23.7.php
Получив строку токена можно авторизоваться с любого браузера или устройства. Как сделать так, чтобы токен был валидным только при использовании его с устройством, ip адресом и браузером, с которых была произведена авторизация?
Сервер знает о клиенте только то, что клиент прислал ему в http-запросе.
По сути, это только:
- Client IP, который может меняться.
- UserAgent, который неуникален.
Так что ответ - провалидировать привязку токена к девайсу не получится.
-
06:53
Апостиль в Лос-Анджелесе без лишних нервов и бумажной волокиты
-
20:42
-
09:21
Основные этапы разработки сайта для стоматологической клиники
-
12:26
-
10:30
-
18:43
Продвижение своими сайтами как стратегия роста и независимости
-
22:46
-
06:18
-
12:23
- Почему SERVER_ADDR имеет не тот IP 50338 visits
- Как заменить $_SERVER[REMOTE_ADDR] на IP клиента в PHP за двумя Nginx? 31948 visits
- Хочу вывести несколько строк из массива в один div, выводит только много undefined; подскажите, что делать? 26312 visits
- Как через css изменить цвет png изображения? 11767 visits
- Blob video url download 11314 visits
- Php curl запрос через прокси с авторизацией 10722 visits
- Работа с captcha vk api 9519 visits
© "hostciti.net" 26.3.2026 | 02:51