Cosa fare con JWT client_id su backend JavaScript con API Web ASP.NET

Question

Sto tentando di implementare l'autorizzazione JWT in un progetto. Tuttavia, per ottenere correttamente il token devo passare client_id dal frontend di AngularJS al backend API Web di ASP.NET e per quanto ne so non è affatto sicuro. Quindi qualcuno potrebbe darmi un suggerimento su cosa dovrei fare nella mia situazione.

Sul lato JS -

var data = 'grant_type=password&username=' 
        + loginData.Email + '&password=' + loginData.Password + '&client_id=' + client_id; 
$http.post('/oauth2/token', data); //Code omitted 

sto usando questo guide per la creazione di un'autorizzazione Jwt, per la maggior parte. Tranne Ho un app su un dominio, ecco quello che il mio Startup.cs assomiglia -

public void Configuration(IAppBuilder app) 
     { 
      var config = new HttpConfiguration();    
      config.MapHttpAttributeRoutes();  
      ConfigureOAuth(app);  
      ConfigureValidationOAuth(app); 
     } 

private static void ConfigureOAuth(IAppBuilder app) 
     { 
      var oAuthServerOptions = new OAuthAuthorizationServerOptions 
      { 
       AllowInsecureHttp = true, 
       TokenEndpointPath = new PathString("/oauth2/token"), 
       AccessTokenExpireTimeSpan = TimeSpan.FromMinutes(30), 
       Provider = new CustomOAuthProvider(), 
       AccessTokenFormat = new CustomJwtFormat(ConfigurationManager.AppSettings["owin:issuer"]) 
      }; 

      app.UseOAuthAuthorizationServer(oAuthServerOptions); 
     } 

private static void ConfigureValidationOAuth(IAppBuilder app) 
    { 
     var issuer = ConfigurationManager.AppSettings["owin:issuer"]; 
     var audience = ConfigurationManager.AppSettings["owin:audience"]; 
     var secret = TextEncodings.Base64Url.Decode(ConfigurationManager.AppSettings["owin:secret"]); 

     //Api controllers with [Authorize] attribute will be validated with Jwt 
     app.UseJwtBearerAuthentication(
      new JwtBearerAuthenticationOptions 
      { 
       AuthenticationMode = AuthenticationMode.Active, 
       AllowedAudiences = new[] {audience}, 
       IssuerSecurityTokenProviders = new IIssuerSecurityTokenProvider[] 
       { 
        new SymmetricKeyIssuerSecurityTokenProvider(issuer, secret) 
       } 
      }); 
    } 

Answer 1

l'autenticazione e l'autorizzazione JWT dovrebbe funzionare in questo modo:

1. passaggio username e passare al server

2. server controlla i dati dell'utente e genera il token JWT che dovrebbe essere in questo formato: (check-out JWT.io per ulteriori informazioni)

   e yJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

3. il token JWT deve essere conservato lato client in una memoria locale

4. per rendere la vita più facile che si dovrebbe creare una richiesta HTTP intercettore angolare che aggiunge automaticamente il token JWT salvato al richiesta intestazioni. Qualcosa di simile a questo:

myApp.factory('jwt-interceptor', ['$q', '$window', function($q, $window) { return { request: function(request) { request.headers['Authorization'] = 'Bearer ' + $window.localStorage.token; return request; }, responseError: function(response) {
return $q.reject(response); } }; }]).config(['$httpProvider', function($httpProvider) { $httpProvider.interceptors.push('jwt-interceptor'); }]);

5. server dovrebbe leggere l'intestazione di nome param Authorization, decompilare il token e verificare se il carico utile:

   a. è stato decompilato correttamente e il carico utile è intatto

   b. controlla se il timestamp di scadenza nel payload è maggiore del timestamp attuale

   c. altri controlli relativi al permesso dell'utente (se necessario)