Compartir a través de


Administración de tokens web JSON con el desarrollo con dotnet user-jwts

Por Rick Anderson

La herramienta de línea de comandos dotnet user-jwts puede crear y administrar tokens web JSON (JWT) locales específicos de la aplicación.

Sinopsis

dotnet user-jwts [<PROJECT>] [command]
dotnet user-jwts [command] -h|--help

Descripción

Crea y administra tokens web JSON locales específicos del proyecto.

Argumentos

PROJECT | SOLUTION

Proyecto de MSBuild en el que se va a aplicar un comando. Si no se especifica un proyecto, MSBuild busca en el directorio de trabajo actual un archivo que tenga una extensión de archivo que termine en proj y usa ese archivo.

Comandos:

Command Descripción
clear Eliminar todos los JWT emitidos para un proyecto.
create Emitir un nuevo JSON Web Token.
remove Eliminar un JWT determinado.
key Mostrar o restablecer la clave de firma usada para emitir JWT.
list Enumerar los JWT emitidos para el proyecto.
imprimir Mostrar los detalles de un JWT determinado.

Crear

Uso: dotnet user-jwts create [options]

Opción Descripción
-p | --project La ruta de acceso del proyecto sobre el que actuar. El valor predeterminado es el proyecto en el directorio actual.
--scheme Nombre del esquema que se va a usar para el token generado. El valor predeterminado es "Portador".
-n | --name Nombre del usuario para el que se va a crear el JWT. El valor predeterminado es el usuario del entorno actual.
--audience Público para el que se va a crear el JWT. El valor predeterminado son las direcciones URL configuradas en el archivo launchSettings.json del proyecto.
--issuer Emisor del JWT. El valor predeterminado es "dotnet-user-jwts".
--scope Notificación de ámbito que se va a agregar al JWT. Especificar una vez para cada ámbito.
--role Notificación de rol que se va a agregar al JWT. Especificar una vez para cada rol.
--claim Notificaciones que se van a agregar al JWT. Especificar una vez para cada notificación con el formato "name=value".
--not-before La fecha y hora UTC en la que el JWT no debe ser válido antes, debe estar en formato "aaaa-MM-dd [[HH:mm[[:ss]]]]". El valor predeterminado es la fecha y hora en la que se crea el JWT.
--expires-on La fecha y hora UTC en la que el JWT debe expirar, debe estar en el formato "aaaa-MM-dd [[[ [HH:mm]]:ss]]". El valor predeterminado es de 6 meses después de la fecha --not-before. No use esta opción junto con la opción --valid-for.
--valid-for El período tras el cual debe caducar el JWT. Especificar utilizando un número seguido de un tipo de duración como "d" para días, "h" para horas, "m" para minutos y "s" para segundos; por ejemplo: "365d". No use esta opción junto con la opción --expires-on.
-o | --output Formato que se va a usar para mostrar la salida del comando. Puede ser "default", "token" o "json".
-h | --help Mostrar información de ayuda.

Ejemplos

Ejecute los siguientes comandos para crear un proyecto web vacío y agregar el paquete NuGet Microsoft.AspNetCore.Authentication.JwtBearer:

dotnet new web -o MyJWT
cd MyJWT
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

Reemplace el contenido de Program.cs por el código siguiente:

using System.Security.Claims;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddAuthorization();
builder.Services.AddAuthentication("Bearer").AddJwtBearer();

var app = builder.Build();

app.UseAuthorization();

app.MapGet("/", () => "Hello, World!");
app.MapGet("/secret", (ClaimsPrincipal user) => $"Hello {user.Identity?.Name}. My secret")
    .RequireAuthorization();

app.Run();

En el código anterior, una solicitud GET a /secret devuelve un error 401 Unauthorized. Una aplicación de producción podría obtener el JWT de un servicio de token de seguridad (STS), quizás como respuesta al inicio de sesión mediante un conjunto de credenciales. Para trabajar con la API durante el desarrollo local, la herramienta de línea de comandos dotnet user-jwts se puede usar para crear y administrar JWT locales específicos de la aplicación.

La herramienta user-jwts es similar en concepto a la herramienta user-secrets, se puede utilizar para administrar valores para la aplicación que solo son válidos para el desarrollador en el equipo local. De hecho, la herramienta user-jwts utiliza la infraestructura de user-secrets para administrar la clave con la que se firman los JWT, garantizando que se almacena de forma segura en el perfil del usuario.

La herramienta user-jwts oculta los detalles de implementación, como dónde y cómo se almacenan los valores. La herramienta se puede usar sin conocer los detalles de implementación. Los valores se almacenan en un archivo JSON en la carpeta de perfil de usuario de la máquina local:

Ruta del sistema de archivos:

%APPDATA%\Microsoft\UserSecrets\<secrets_GUID>\user-jwts.json

Crear un JWT

El comando siguiente crea un JWT local:

dotnet user-jwts create

El comando anterior crea un JWT y actualiza el archivo appsettings.Development.json del proyecto con un JSON similar al siguiente:

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "Authentication": {
    "Schemes": {
      "Bearer": {
        "ValidAudiences": [
          "http://localhost:8401",
          "https://localhost:44308",
          "http://localhost:5182",
          "https://localhost:7076"
        ],
        "ValidIssuer": "dotnet-user-jwts"
      }
    }
  }
}

Copie el JWT y el ID creado en el comando anterior. Use una herramienta como Curl para probar el /secret:

curl -i -H "Authorization: Bearer {token}" https://localhost:{port}/secret

Donde {token} es el JWT generado anteriormente.

Mostrar información de seguridad de JWT

El siguiente comando muestra la información de seguridad de JWT, incluida la expiración, los ámbitos, los roles, el encabezado y la carga del token, y el token compacto:

dotnet user-jwts print {ID} --show-all

Crear un token para un usuario y un ámbito específicos

Consulte Crear en este tema para ver las opciones de creación admitidas.

El comando siguiente crea un JWT para un usuario denominado MyTestUser:

dotnet user-jwts create --name MyTestUser --scope "myapi:secrets"

El comando anterior tiene una salida similar a la siguiente:

New JWT saved with ID '43e0b748'.
Name: MyTestUser
Scopes: myapi:secrets

Token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.{Remaining token deleted}

El token anterior se puede usar para probar el punto de conexión de /secret2 en el código siguiente:

using System.Security.Claims;

var builder = WebApplication.CreateBuilder(args);

builder.Services.AddAuthorization();
builder.Services.AddAuthentication("Bearer").AddJwtBearer();

var app = builder.Build();

app.MapGet("/", () => "Hello, World!");
app.MapGet("/secret", (ClaimsPrincipal user) => $"Hello {user.Identity?.Name}. My secret")
    .RequireAuthorization();
app.MapGet("/secret2", () => "This is a different secret!")
    .RequireAuthorization(p => p.RequireClaim("scope", "myapi:secrets"));

app.Run();