Manuellement décoder OAuth porteur du jeton en c#

Dans mon Api Web 2.2 OWIN en fonction de l'application que j'ai une situation où j'ai manuellement besoin de décoder le porteur du jeton mais je ne sais pas comment faire.
C'est mon démarrage.cs 

public class Startup
{
    public static OAuthAuthorizationServerOptions OAuthServerOptions { get; private set; }
    public static UnityContainer IoC;
    public void Configuration(IAppBuilder app)
    {
        //Set Auth configuration
        ConfigureOAuth(app);

        ....and other stuff
    }

    public void ConfigureOAuth(IAppBuilder app)
    {
        OAuthServerOptions = new OAuthAuthorizationServerOptions()
        {
            AllowInsecureHttp = true,
            TokenEndpointPath = new PathString("/token"),
            AccessTokenExpireTimeSpan = TimeSpan.FromDays(1),
            Provider = new AuthProvider(IoC.Resolve<IUserService>(), IoC.Resolve<IAppSettings>())
        };

        //Token Generation
        app.UseOAuthAuthorizationServer(OAuthServerOptions);
        app.UseOAuthBearerAuthentication(new OAuthBearerAuthenticationOptions());
    }
}

Dans mon contrôleur Im envoyer le porteur du jeton comme un paramètre 

[RoutePrefix("api/EP")]
public class EPController : MasterController
{
    [HttpGet]
    [AllowAnonymous]
    [Route("DC")]
    public async Task<HttpResponseMessage> GetDC(string token)
    {
        //Get the claim identity from the token here
        //Startup.OAuthServerOptions...

        //..and other stuff
    }
}

Comment manuellement décoder et d'obtenir les revendications à partir du jeton passé en paramètre?

NOTE: je sais que je peux envoyer le jeton dans l'en-tête et d'utiliser [Autoriser] et (ClaimsIdentity)de l'Utilisateur.D'identité, etc, mais la question est de savoir comment lire le jeton lorsqu'elle n'est pas dans l'en-tête.

InformationsquelleAutor Marcus Höglund | 2016-11-25
  1. 6

    J'ai créé un exemple de projet pour la désérialisation porteur de jetons, qui sont cryptées à l'aide de la MachineKeyDataProtector.
    Vous pouvez prendre un coup d'oeil au code source.

    Porteur-Jeton-Deserializer

    InformationsquelleAutor Legends
  2. 12

    Simplement en plaçant ici pour d'autres personnes qui peuvent visiter à l'avenir. Solution trouvée à https://long2know.com/2015/05/decrypting-owin-authentication-ticket/ est plus simple.

    Juste 2 lignes :

    var secureDataFormat = new TicketDataFormat(new MachineKeyProtector());
AuthenticationTicket ticket = secureDataFormat.Unprotect(accessToken);



private class MachineKeyProtector : IDataProtector {
    private readonly string[] _purpose =
    {
        typeof(OAuthAuthorizationServerMiddleware).Namespace,
        "Access_Token",
        "v1"
    };

    public byte[] Protect(byte[] userData)
    {
        throw new NotImplementedException();
    }

    public byte[] Unprotect(byte[] protectedData)
    {
        return System.Web.Security.MachineKey.Unprotect(protectedData, _purpose);
    } }
    • Même si je n'ai pas testet cette solution, je pense qu'il est grand temps que vous prenez votre temps et de partager votre solution à une question fermée +1
    InformationsquelleAutor Osa E
  3. 0

    Vous pouvez lire JWT et de créer des Directeurs d'école et de l'Identité de l'objet en utilisant le Système.IdentityModel.Jetons.Jwt paquet - https://www.nuget.org/packages/System.IdentityModel.Tokens.Jwt/.

    Voici un petit exemple qui montre les options disponibles lors de la lecture et de la validation du jeton, 

        private ClaimsIdentity GetIdentityFromToken(string token, X509Certificate2 certificate)
    {  
        var tokenDecoder = new JwtSecurityTokenHandler();         
        var jwtSecurityToken = (JwtSecurityToken)tokenDecoder.ReadToken(token);

        SecurityToken validatedToken;

        var principal = tokenDecoder.ValidateToken(
            jwtSecurityToken.RawData,
            new TokenValidationParameters()
                {
                    ValidateActor = false,
                    ValidateIssuer = false,
                    ValidateAudience = false,
                    ValidateLifetime = false,
                    ValidateIssuerSigningKey = false,
                    RequireExpirationTime = false,
                    RequireSignedTokens = false,
                    IssuerSigningToken = new X509SecurityToken(certificate)
                },
            out validatedToken);

        return principal.Identities.FirstOrDefault();
    }
    • Le porteur du jeton dans asp.net l'identité n'est pas un jwt jeton. Un jwt jeton devrait ressembler à ça: en-tête.la charge utile.la signature. Le porteur du jeton je suis ne contient pas les points et ce n'est pas encodé en base64.
    InformationsquelleAutor Dylan Morley