Почему не проходит Authorize?

Question

[pshevnin]

Добрый день, я пишу api с использованием asp .net 6, У меня возникла проблема со встроенным тегом Authorize, а именно, при использовании этого тега всегда получаю результат Unauthorized. Авторизацию я использую через jwt токены.
Токены отправляются с клиента в заголовке в формате "Bearer eyJhbGc......" Вот тут часть кода Program.cs, в которой происходит настройка аутентификации

builder.Services.AddAuthorization();

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
	.AddJwtBearer(options => {
		options.TokenValidationParameters = new TokenValidationParameters {
			
			ValidateIssuer = true,
			
			ValidIssuer = AuthOptions.ISSUER,
			
			ValidateAudience = true,
			
			ValidAudience = AuthOptions.AUDIENCE,
			
			ValidateLifetime = true,
			
			IssuerSigningKey = AuthOptions.GetSymmetricSecurityKey(),
			
			ValidateIssuerSigningKey = true,
		};
	});

WebApplication app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment()) {
	app.UseSwagger();
	app.UseSwaggerUI();
}

app.UseHttpsRedirection();

app.UseAuthentication();

app.UseAuthorization();

Вот пример контроллера, который использует тег

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using WebApi.Services;
using WebApi.Responses;
using WebApi.Models;
using WebApi.Model;
using Microsoft.EntityFrameworkCore;



namespace WebApi.Controllers {

	[ApiController]
	[Route("users")]
	public class UsersController : ControllerBase {
		private readonly ILogger<UsersController> _logger;
		private readonly ITokenService _tokenService;
		private readonly UserContext _dbContext;

		public UsersController(ILogger<UsersController> logger, ITokenService tokenService, UserContext dbContext) {
			_logger = logger;
			_tokenService = tokenService;
			_dbContext = dbContext;
		}

		[HttpGet("{id}")]
		[Authorize]
		public async Task<IActionResult> GetUserById(int id) {

			_logger.LogInformation("Users User id: " + id);

			string username = HttpContext.User.Identity.Name;

			_logger.LogDebug(username);

			User? user = await _dbContext.Users.FirstOrDefaultAsync(u => u.email == username);

			

			if (user == null) {
				return NotFound("User not found");
			}

			int userId = user.id;

			if (userId != id) {
				return Unauthorized("Unauthorized");
			}

			string newAccessToken = _tokenService.GenerateAccessToken(user.username);

			UserInfoResponse userInfo = new() {

				username = user.username,
				id = user.id,
				avatar = user.avatar,
				accessToken = newAccessToken
			};

			return Ok(userInfo);
			
		}
	}
}

Вот код файла с опциями авторизации:

using Microsoft.IdentityModel.Tokens;
using System.Text;

namespace WebApi {
	public class AuthOptions {

		//Refresh token lifetime in days
		private const int REFRESHTOKENDAYS = 7;

		// Secret key
		public const string SECRETKEY = "-------";

		public const string ISSUER = "MyAuthServer";
		public const string AUDIENCE = "MyAuthClient";


		// Lifetime of access token (in minutes)
		public const int ACCESSTOKENLIFETIME = 30;

		// Lifetime of refreshtoken (in minutes) DAYSCOUNT * 24h * 60min
		public const int REFRESHTOKENLIFETIME = REFRESHTOKENDAYS * 24 * 60;

		public static SymmetricSecurityKey GetSymmetricSecurityKey() {
			return new SymmetricSecurityKey(Encoding.UTF8.GetBytes(SECRETKEY));
		}
	}
}

Возможно понадобится ещё какой-то код из моего проекта. Всё делал по гайдам из интернета, у некоторых пользователей там тоже была такая проблема, но все решения, которые там были представлены мне не помогли и всё, что пришло мне в голову для решения данной проблемы я уже попробовал.

Comments

[pshevnin]

public string GenerateAccessToken(string username) {

	List<Claim> claims = new() {
		new Claim(ClaimTypes.Name, username)
	};

	SymmetricSecurityKey key = new(Encoding.UTF8.GetBytes(AuthOptions.SECRETKEY));
	SigningCredentials creds = new(key, SecurityAlgorithms.HmacSha256);

	JwtSecurityToken token = new(
	issuer: AuthOptions.ISSUER,
		audience: AuthOptions.AUDIENCE,
		claims: claims,
		expires: DateTime.UtcNow.AddMinutes(AuthOptions.ACCESSTOKENLIFETIME),
		signingCredentials: creds
	);

	return new JwtSecurityTokenHandler().WriteToken(token);

}

Вот код генерации токена

[Andrei SunnyPh]

Посмотри вот этот плейлист. Здесь про авторизацию для приложений на ASP.NET MVC + Web API, версия .NET 7.

Вот работающий код, для генерации токена, после успешной авторизации в API:

public async Task<LoginResponseDTO> Login(LoginRequestDTO loginRequestDTO)
        {
            var user = _db.LocalUsers.FirstOrDefault(u => u.UserName.ToLower() == loginRequestDTO.UserName.ToLower()
            && u.Password == loginRequestDTO.Password);

            if (user == null)
            {
                return null;
            }

            //if user was found generate JWT Token

            var tokenHandler = new JwtSecurityTokenHandler();
            var key = Encoding.ASCII.GetBytes(secretKey);

            var tokenDescriptor = new SecurityTokenDescriptor
            {
                Subject = new ClaimsIdentity(new Claim[]
                {
                    new Claim(ClaimTypes.Name, user.Id.ToString()),
                    new Claim(ClaimTypes.Role, user.Role)
                }),
                Expires = DateTime.UtcNow.AddDays(7),
                SigningCredentials = new(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
            };

            var token = tokenHandler.CreateToken(tokenDescriptor);
            LoginResponseDTO loginResponseDTO = new LoginResponseDTO()
            {
                Token = tokenHandler.WriteToken(token),
                User = user
            };
            return loginResponseDTO;
        }

Вот код контроллера идентификации на уровне WEB приложения ASP.NET MVC, с сохранением токена в текущей сессии.

public class AuthController : Controller
    {
        private readonly IAuthService _authService;
        public AuthController(IAuthService authService)
        {
            _authService = authService;
        }

        [HttpGet]
        public IActionResult Login()
        {
            LoginRequestDTO obj = new();
            return View(obj);
        }

        [HttpPost]
        [ValidateAntiForgeryToken]
        public async Task<IActionResult> Login(LoginRequestDTO obj)
        {
            APIResponse response = await _authService.LoginAsync<APIResponse>(obj);
            if (response != null && response.IsSuccess)
            { 
                LoginResponseDTO model = JsonConvert.DeserializeObject<LoginResponseDTO>(Convert.ToString(response.Result));

                var handler = new JwtSecurityTokenHandler();
                var jwt = handler.ReadJwtToken(model.Token);

                var identity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);
                identity.AddClaim(new Claim(ClaimTypes.Name, jwt.Claims.FirstOrDefault(u => u.Type == "name").Value));
                identity.AddClaim(new Claim(ClaimTypes.Role, jwt.Claims.FirstOrDefault(u=>u.Type=="role").Value));
                var principal = new ClaimsPrincipal(identity);
                await HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme, principal);


                HttpContext.Session.SetString(SD.SessionToken, model.Token);
                return RedirectToAction("Index","Home");
            }
            else
            {
                ModelState.AddModelError("CustomError", response.ErrorMessages.FirstOrDefault());
                return View(obj);
            }
        }

        [HttpGet]
        public IActionResult Register()
        {
            return View();
        }


        [HttpPost]
        [ValidateAntiForgeryToken]
        public async Task<IActionResult> Register(RegisterationRequestDTO obj)
        {
            APIResponse result =  await _authService.RegisterAsync<APIResponse>(obj);
            if (result != null && result.IsSuccess)
            {
                return RedirectToAction("Login");
            }
            return View();
        }


        public async Task<IActionResult> Logout()
        {
            await HttpContext.SignOutAsync();
            HttpContext.Session.SetString(SD.SessionToken, "");
            return RedirectToAction("Index","Home");
        }

        public IActionResult AccessDenied()
        {
            return View();
        }
    }

Answer 1

[OwDafuq]

Токены отправляются с клиента в заголовке в формате "Bearer eyJhbGc......"

Неправильно передаете токен в заголовке, так генерирует Swagger:

Comments

[pshevnin]

Если вам интересно, проблема была в том, что я не заметил кавычек в Postman при отправке токена. В своё оправдание скажу что скрипт или конфиг для Postman писал не я, но всё равно чувствую себя невнимательным идиотом

[OwDafuq]

pshevnin, поэтому иногда лучше использовать swagger :)

Answer 2

[Сергей Соловьев]

Надо указывать схему авторизации.
В атрибут Authorize добавить надо строчку схемы авторизации.

[Authorize(JwtBearerDefaults.AuthenticationScheme)]

Comments

[pshevnin]

Можно ли, и как, если можно добавить эту настройку внутри файла Program.cs, чтобы не указывать каждый раз в контроллерах?

[pshevnin]

Я добавил этот тэгБ и получаю ошибку: ystem.InvalidOperationException: The AuthorizationPolicy named: 'Bearer' was not found.
at Microsoft.AspNetCore.Authorization.AuthorizationPolicy.CombineAsync(IAuthorizationPolicyProvider policyProvider, IEnumerable`1 authorizeData, IEnumerable`1 policies)
at Microsoft.AspNetCore.Authorization.AuthorizationMiddleware.Invoke(HttpContext context)
at Microsoft.AspNetCore.Authentication.AuthenticationMiddleware.Invoke(HttpContext context)
at Swashbuckle.AspNetCore.SwaggerUI.SwaggerUIMiddleware.Invoke(HttpContext httpContext)
at Swashbuckle.AspNetCore.Swagger.SwaggerMiddleware.Invoke(HttpContext httpContext, ISwaggerProvider swaggerProvider)
at Microsoft.AspNetCore.Diagnostics.DeveloperExceptionPageMiddlewareImpl.Invoke(HttpContext context)

[Александр]

pshevnin, версия пакета какая?

[pshevnin]

Александр, Вот все пакеты и версии, которые у меня установлены

[OwDafuq]

pshevnin,

services.AddAuthentication(options =>
{
	options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
	options.DefaultSignInScheme = JwtBearerDefaults.AuthenticationScheme;
	options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).....

[pshevnin]

OwDafuq, Насколько я понял, у options нет таких параметров, как DefaultAuthenticateScheme, DefaultSignInScheme ... По крайней мере у меня появляется ошибка cs1061 у всех трех параметров options. Возможно я что-то не так сделал

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
	.AddJwtBearer(options => {
		options.TokenValidationParameters = new TokenValidationParameters {
			
			ValidateIssuer = true,
			
			ValidIssuer = AuthOptions.ISSUER,
			
			ValidateAudience = true,
			
			ValidAudience = AuthOptions.AUDIENCE,
			
			ValidateLifetime = true,
			
			IssuerSigningKey = AuthOptions.GetSymmetricSecurityKey(),
			
			ValidateIssuerSigningKey = true,
		};
		
		options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
		options.DefaultSignInScheme = JwtBearerDefaults.AuthenticationScheme;
		options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
	});

[Сергей Соловьев]

Это надо в AddAuthentication добавлять

[pshevnin]

AshBlade, Именно туда я и добавил

[OwDafuq]

pshevnin, а теперь еще раз внимательно смотрите на строку ниже, где у вас вызывается AddJwtBearer :)

[pshevnin]

OwDafuq,Возможно очень глупый вопрос, но это должно выглядеть так?

builder.Services.AddAuthentication(options => {
	options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
	options.DefaultSignInScheme = JwtBearerDefaults.AuthenticationScheme;
	options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
	})
	.AddJwtBearer(options => {
		options.TokenValidationParameters = new TokenValidationParameters {
			
			ValidateIssuer = true,
			
			ValidIssuer = AuthOptions.ISSUER,
			
			ValidateAudience = true,
			
			ValidAudience = AuthOptions.AUDIENCE,
			
			ValidateLifetime = true,
			
			IssuerSigningKey = AuthOptions.GetSymmetricSecurityKey(),
			
			ValidateIssuerSigningKey = true,
		};
		
		
	});

[pshevnin]

OwDafuq, Если в предыдущем моём комментарии то, как должен выглядеть этот код, то ошибка осталась та же самая

[pshevnin]

OwDafuq, Возможно это как-то поможет, но когда я убрал Authorize для тестов,

string token = HttpContext.Request.Headers["Authorization"].FirstOrDefault()?.Replace("Bearer ", "");

Токен в лог выводится, а вот username, которое я добавлял в Claim, а claims в токен при генерации, равно null

List<Claim> claims = new() {
	new Claim(ClaimTypes.Name, username)
};

То есть получается программа не может из токена вытащить даже username, но я не могу понять почему
string username = HttpContext.User.Identity.Name;

[OwDafuq]

pshevnin, пример из 1 текущего проекта:


Попробуйте так же сделать события, посмотрите из-за чего именно вас не хочет авторизовать

[OwDafuq]

pshevnin, так сложно сказать, нужно весь проект смотреть, видимо. Напишите в тг: @ow_dafuq, после 18:30 по мск буду свободен

[pshevnin]

OwDafuq, Хорошо, спасибо, до 18:30 тогда сам попытаюсь решить если не получится тогда напишу после.