问题描述
我目前遇到一个使用公共密钥解密jwts的问题。当我将RSA类与using声明一起使用时(为了安全起见,我也尝试使用较旧的语法),每次都得到401s。删除using关键字可以解决此问题,但是我敢肯定这是不正确的做法,因为RSA是Idisposable。关于如何正确执行此工作的任何想法?
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(opt =>
{
var publicKey = tokenSettings.PublicKey.ToByteArray();
// removing "using" makes it work
using var rsa = RSA.Create();
rsa.ImportSubjectPublicKeyInfo(publicKey,out _);
var key = new RsaSecurityKey(rsa);
opt.TokenValidationParameters = new TokenValidationParameters
{
IssuerSigningKey = key,ValidAudience = tokenSettings.TargetAud,Validissuers = new[] { tokenSettings.Issuer },RequireSignedTokens = true,RequireExpirationTime = true,ValidateLifetime = true,ValidateAudience = true,ValidateIssuer = true,ClockSkew = TimeSpan.Zero,};
});
我确实在RSA Disposed Object Error - every other test处找到了自我答案,但不是没有“错误地”使用Idisposable对象吗?
我还将注意到,这与缓存问题不同,在缓存问题中,它一次返回200,然后返回401。该代码当前每次返回401。
解决方法
如何在大括号中设置使用子句,以免在下一条指令之后将其丢弃?
services.AddAuthentication(Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(opt =>
{
System.ReadOnlySpan<byte> publicKey = tokenSettings.PublicKey.ToByteArray();
// removing "using" makes it work
using (System.Security.Cryptography.RSA rsa = System.Security.Cryptography.RSA.Create())
{
rsa.ImportSubjectPublicKeyInfo(publicKey,out _);
Microsoft.IdentityModel.Tokens.RsaSecurityKey key = new Microsoft.IdentityModel.Tokens.RsaSecurityKey(rsa);
opt.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
{
IssuerSigningKey = key,ValidAudience = "tokenSettings.TargetAud",ValidIssuers = new[] { "tokenSettings.Issuer" },RequireSignedTokens = true,RequireExpirationTime = true,ValidateLifetime = true,ValidateAudience = true,ValidateIssuer = true,ClockSkew = System.TimeSpan.Zero,};
}
});
但是最有可能的原因是,RsaSecurityKey包含了RSA-Provider的实例,并使用该实例来加密和解密JWT-Bearer。如果RSA实例被处置,那将是一个问题...
//
// Zusammenfassung:
// Represents a Rsa security key.
public class RsaSecurityKey : AsymmetricSecurityKey
{
public RsaSecurityKey(RSAParameters rsaParameters);
public RsaSecurityKey(RSA rsa);
[Obsolete("HasPrivateKey method is deprecated,please use PrivateKeyStatus.")]
public override bool HasPrivateKey { get; }
public override PrivateKeyStatus PrivateKeyStatus { get; }
public RSA Rsa { get; }
}
只需删除使用,RSA提供程序就可能具有应用程序生存期范围。但是,这适用于MultiThreading ...
,using var rsa = RSA.Create();
rsa.ImportSubjectPublicKeyInfo(publicKey,out _);
var key = new RsaSecurityKey(rsa.exportParameters(false));
来源:https://www.reddit.com/r/dotnet/comments/ihno7b/-/g31aze8
,当您确定不再需要Dispose对象时,便会使用它们。
在这里,您可能在应用程序运行时随时发行令牌。因此Dispose在仍然配置应用程序的同时对对象进行错误操作。
在这里,我建议您不要Dispose对象。您唯一真正知道它不再需要的时间是在应用程序关闭时-但是在这种情况下,您知道过程中的所有内容都将被破坏-只是为了整理一下内容就不会耽误时间了没有人会从中受益。