我已经开始使用OpenID Connect Implicit Flow实现 - 我在基于浏览器的javascript应用程序中检索了访问令牌和ID令牌,现在我需要保护我的ASP.NET Core Web API上的资源,这样它才能通过具有特定声明的用户的有效访问令牌访问 .
我使用什么中间件来验证令牌并确定用户及其声明,以便我可以允许或拒绝他们访问他们请求的资源?
我看过 OpenIdConnectAuthentication
中间件,但是我见过的唯一实现示例使用的是"Cookies"的SignInScheme,而不是我的js app提供的Bearer令牌 .
谢谢
1 回答
如果您的授权服务器发出JWT令牌,您可以使用ASP.NET团队开发的JWT承载中间件:https://github.com/aspnet/Security/tree/dev/src/Microsoft.AspNetCore.Authentication.JwtBearer .
你可以在这里找到一个样本:https://github.com/aspnet/Security/tree/dev/samples/JwtBearerSample .