I problemi di sicurezza: Secondo https://auth0.com/blog/2015/03/31/critical-vulnerabilities-in-json-web-token-libraries/ molte librerie JWT utilizzano il token stesso per determinare l'algoritmo per la firma.Token Web JSON sicuro in Web API/MVC 6
Questo è il nostro caso d'uso: Vogliamo creare un meccanismo di accesso che convalida un utente con le credenziali rigide (nome utente/password) e quindi restituire un token JWT con ad es. 3 giorni di vita. Il token deve contenere il nome utente e una firma dovrebbe garantire che il token non possa essere "falsificato".
Quale libreria è possibile utilizzare in Web API/MVC 6? È importante che l'algoritmo della firma possa essere specificato sulla decodifica per evitare la vulnerabilità.
Se possibile, evitiamo di integrare componenti OAuth complessi.
Dopo appena po 'di googling ho trovato due cose interessanti: progetto open source su GitHub - JWT-dotnet: h ttps: //github.com/jwt-dotnet/jwt e JSON Web Token Handler per Microsoft .NET Framework 4.5 su NuGet: https://www.nuget.org/packages/System.IdentityModel.Tokens.Jwt/ Sembra come se entrambi potessero offrire generazione e validazione di token JWT, tuttavia non li ho usati, – jjczopek
li ho visti. Non so se offrono lo spec.of algo sulla convalida. – Matthias