修正: ASP.NET Core で JWT bearer なのに 401 ではなく 405 Method Not Allowed が返る
保護されたエンドポイントが 401 ではなく 405 を返すのは、ほぼ常に認証が実行される前にルーティングが HTTP 動詞を拒否したか、cookie スキームがチャレンジを横取りしたかのどちらかです。ここでは、どちらなのかを見分ける方法を解説します。
タグ: jwt
5 件
有効なトークンでも ASP.NET Core の JWT が 401 を返す理由
有効なトークンなのに 401 になる場合、ほぼ確実に bearer ハンドラーが実行されなかったか、間違ったスキームの下で実行されています。ミドルウェアの順序、既定のスキーム、スキーム名、そしてヘッダーがそもそもハンドラーに届いたかを確認しましょう。
ASP.NET Core 11 で JWT の発行者、対象者、有効期限を検証する方法
ASP.NET Core 11 における TokenValidationParameters の完全ガイド: ValidateIssuer、ValidateAudience、ValidateLifetime の動作、実際のデフォルト値、なぜ Authority が発行者と署名キーを自動構成するのか、5 分間の ClockSkew の罠、そして一見有効なトークンが拒否されたときに IDX エラーコードを読む方法を解説します。
ASP.NET Core 11 で JWT 保護された API の CORS を設定する方法
ASP.NET Core 11 における bearer トークン API の CORS 完全ガイド。認証に対する UseCors の正しい順序、Authorization ヘッダーの bearer トークンが CORS の資格情報ではない理由、AllowAnyHeader は機能するのに手書きのワイルドカードが Authorization を含めない理由、そして preflight を失敗させない方法を解説します。
ASP.NET Core Identity でリフレッシュトークンを実装する方法
.NET 11 における 2 つの実用的な選択肢: MapIdentityApi に組み込まれた /refresh エンドポイントと、JWT、リフレッシュトークンのローテーション、ファミリー追跡、再利用検出を備えたカスタム実装。