在与Autofac集成时,如何使用JWT识别租户?
我正在尝试构建一个多租户ASP.NET Core 2.1 WebApi。 我想从jwt令牌中选择租户,而不是从url或端口。 因此,当用户请求令牌时,我将其租户id放入令牌中。 但当我试图解决Autofac多租户策略(ITenantIdentificationsStrategy)中的租户时,如下所示:在与Autofac集成时,如何使用JWT识别租户?,jwt,autofac,multi-tenant,asp.net-core-webapi,Jwt,Autofac,Multi Tenant,Asp.net Core Webapi,我正在尝试构建一个多租户ASP.NET Core 2.1 WebApi。 我想从jwt令牌中选择租户,而不是从url或端口。 因此,当用户请求令牌时,我将其租户id放入令牌中。 但当我试图解决Autofac多租户策略(ITenantIdentificationsStrategy)中的租户时,如下所示: public bool TryIdentifyTenant(out object tenantId) { _logger.LogInformation("*********
public bool TryIdentifyTenant(out object tenantId)
{
_logger.LogInformation("***********************************TryIdentify");
tenantId = null;
try
{
var context = _httpContextAccessor()?.HttpContext;
if(context != null && context.Request != null)
{
var id = context.User.FindFirst("tenantId")?.Value;
if (id != null)
{
tenantId = id;
}
}
}
catch(Exception)
{
// Happens at app startup in IIS 7.0
}
return tenantId != null;
}
如何做到这一点?这个简短版本是你不能免费做到这一点。这就是为什么最好使用你可以信任但不需要额外支持的东西(比如请求中的主机名) 如果您只能信任令牌,那么我已经看到了大致做到这一点的解决方案(在伪代码-that-looks-like-C#中): 这样做的风险在于,您可能会受到攻击,其中有人发送了一个格式错误的令牌,该令牌的寿命仅足以通过您请求管道的初始部分。令牌将无法通过验证,因此常规安全性应该处理它,但在运行之前,租户值没有经过正式验证。如果你有管道逻辑,例如。。。第一次提出要求或诸如此类的要求时,自动提供新租户?。。。那你可能有麻烦了。有人可能会随机生成数以百万计的租户名称并杀死您的数据库。在这种情况下,您有时可以使用主机名等其他内容
或者,您可以在
ManuallyLookAtToken()if(context.Items["tenant"] == null && context.User == null)
{
// no tenant has been identified before and
// token validation hasn't happened so manually
// get the tenant from the token knowing you are
// potentially getting an untrusted value.
context.Items["tenant"] = ManuallyLookAtToken();
}
else if(context.Items["tenant_trusted"] == null && context.User != null)
{
// a "trusted" tenant ID hasn't been read from the user
// principal so let's update.
context.Items["tenant"] = GetTenantFrom(context.User);
context.Items["tenant_trusted"] = true;
}
return context.Items["tenant"];