.NET6使用jwt进行权限验证

已于 2024-01-04 18:50:15 修改
阅读量984 收藏 10
点赞数 9
文章标签: .net 开发语言
于 2024-01-04 18:39:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HwangShinYee/article/details/135393402
版权

在当今的软件开发中,安全性是至关重要的。为了确保应用程序的资源受到保护,并只对经过身份验证和授权的用户开放,我们经常使用JSON Web Token (JWT)来进行权限验证。在.NET 6中,实现这样的系统变得更加简单和直接。

一、JWT简介

JWT是一种开放标准,它定义了一种紧凑的、自包含的方式来在各方之间传递信息。它经常被用于身份验证和授权,因为它提供了一种在不需要中心化身份验证系统的情况下,在客户端和服务器之间安全地传输用户信息的方法。

二、在.NET 6中实现JWT验证

在.NET 6项目中实现基于JWT的权限验证通常涉及以下步骤:

  1. 创建JWT认证服务:这个服务将负责生成和验证JWT。它需要一个密钥,该密钥用于签名令牌,以便之后可以验证它。
  2. 用户管理:创建一个服务来处理用户管理任务,例如创建、查询和验证用户凭据。这通常是与数据库交互的代码。
  3. 配置依赖注入:如果使用如ASP.NET Core的依赖注入框架,需要将认证服务和其他相关组件注册到容器中,以便在整个应用程序中重用它们。
  4. 使用权限验证服务:在控制器或动作方法上使用[Authorize]属性来要求JWT验证。如果令牌无效或过期,用户将被拒绝访问受保护的资源。

三、注意事项

  • 密钥管理:确保密钥的安全存储和更新。如果密钥泄露,任何人都可以生成有效的JWT,可能导致安全风险。
  • 令牌过期时间:合理设置令牌的过期时间,以平衡用户便利性和安全性。
  • 错误处理:当验证失败时,提供适当的错误响应,帮助客户端理解发生了什么。
  • 测试和调试:确保对整个流程进行彻底的测试,以确保没有安全漏洞或问题。

四、结论

使用JWT进行权限验证是保护.NET 6应用程序的一种有效方法。通过遵循最佳实践和密切关注安全更新,可以确保应用程序的安全性。

正好在最近需要写一个使用jwt鉴权的功能,下面是代码。

先新建一个配置类,用于接收和传递jwt对象:

public class JwtOpt
{
    public string Audience { get; set; } = string.Empty;

    public string Issuer { get; set; } = string.Empty;

    public string SecurityKey { get; set; } = string.Empty;
}

在appsettings.json文件存储相关信息:

"JwtOpt": {
  "Audience": "***",
  "Issuer": "***",
  "SecurityKey": "************************************"
}

写一个JwtMiddleware作为中间件:

public class JwtMiddleware
{
    private readonly RequestDelegate _next;
    private readonly JwtOpt _authOptions;

    public JwtMiddleware(RequestDelegate next, IConfiguration configuration)
    {
        _next = next;
        _authOptions = configuration.GetSection("JwtOpt").Get<JwtOpt>();
    }

    public async Task Invoke(HttpContext context)
    {
        var token = context.Request.Headers["Authorization"].FirstOrDefault()?.Split(" ").Last()
                    ?? context.Request.Headers["token"].FirstOrDefault()
                    ?? context.Request.Query["Token"].FirstOrDefault()
                    ?? context.Request.Cookies["Token"];
        if (token != null)
            AttachUserToContext(context, token);
        await _next(context);
    }

    private void AttachUserToContext(HttpContext context, string token)
    {
        try
        {
            var tokenHandler = new JwtSecurityTokenHandler();
            byte[]? key = Encoding.ASCII.GetBytes(_authOptions.SecurityKey);
            tokenHandler.ValidateToken(token, new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = new SymmetricSecurityKey(key),
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidateLifetime = true,
                ValidIssuer = _authOptions.Issuer,
                ValidAudience = _authOptions.Audience,
                ClockSkew = TimeSpan.Zero
            }, out SecurityToken validatedToken);
            var jwtToken = (JwtSecurityToken)validatedToken;
            var user = jwtToken.Claims.First(x => x.Type == "User").Value;
            var claimsIdentity = new ClaimsIdentity(new Claim[] { new Claim("User", jwtToken.Claims.First(x => x.Type == "User").Value) });
            Thread.CurrentPrincipal = new ClaimsPrincipal(claimsIdentity);
            context.Items["User"] = user;
        }
        catch
        {

        }
    }
}

写一个ApiAuthorizeAttribute用于验证:

public class ApiAuthorizeAttribute : Attribute, IAuthorizationFilter
{
    public void OnAuthorization(AuthorizationFilterContext context)
    {
        var user = context.HttpContext.Items["User"];
        if (HasAllowAnonymous(context) == false && user == null)
        {
            context.Result = new JsonResult(new { msg = "你无权做这些", code = 401 })
                { StatusCode = StatusCodes.Status401Unauthorized };
        }
    }

    private static bool HasAllowAnonymous(AuthorizationFilterContext context)
    {
        var filters = context.Filters;
        if (filters.OfType<IAllowAnonymousFilter>().Any())
        {
            return true;
        }
        var endpoint = context.HttpContext.GetEndpoint();
        return endpoint?.Metadata?.GetMetadata<IAllowAnonymous>() != null;
    }
}

在Program.cs中加入代码:

builder.Services.AddControllers()
    .AddInject().AddJsonOptions(options =>
    {
        options.JsonSerializerOptions.Encoder = JavaScriptEncoder.Create(UnicodeRanges.All);
    }).AddMvcOptions((opt) => { opt.Filters.Add<ApiAuthorizeAttribute>(); });

 app.UseMiddleware<JwtMiddleware>();

在登录认证成功后生成token并返回:


 IConfiguration _configuration;
 private AutoDingContext _ctx;

 public TestController( IConfiguration configuration)
 {
     _configuration = configuration;
 } 
//以上是依赖注入



var jwtOpt = _configuration.GetSection("JwtOpt").Get<JwtOpt>(); //获取配置文件里JwtOpt的信息

var claims = new[]
 {
     new Claim(ClaimTypes.Name, username),
     new Claim("User",username)
 };

 var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtOpt.SecurityKey));
 var signMethod = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
 var tokenOpt = new JwtSecurityToken(
     issuer: jwtOpt.Issuer,
     audience: jwtOpt.Audience,
     claims: claims,
     expires: DateTime.Now.AddDays(7),
     signingCredentials: signMethod
 );

 var tokenStr = new JwtSecurityTokenHandler().WriteToken(tokenOpt); //生成的token

这样功能就完成了,下面是测试返回的结果:

未进行token认证时:

登录获取token:

在请求时加上token:

测试完美通过。使用JWT进行权限验证是保护.NET 6应用程序的一种有效方法。通过遵循最佳实践和密切关注安全更新,可以确保应用程序的安全性。

最后向大家介绍一下在开发中我使用的后端框架----Fruion,让 .NET 开发更简单,更通用,更流行。官网地址如下:

让 .NET 开发更简单,更通用,更流行。 Furion | Furion

是一个非常不错的框架,上手快速,对新手也很友好,官方文档也很详细,使.net开发更加方便快捷。可惜有一部分文档需要收费了,大家可以支持一下开源作者。

心宇逆熵
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 3775
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
.Net Core官方JWT授权验证的全过程
01-19
什么是JWT? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。当使用公钥/私钥对对令牌进行签名时,签名还证明只有持有私钥的一方才是对其进行签名的一方。由于缺乏安全性,所以不能把如密码等敏感信息放在
.Net6使用JWT认证和授权
黄瓜炒鸡蛋的博客
03-07 1407
.NetCore6.0 实现JWT认证授权鉴权
.net6 webapi 添加认证token
weixin_44535079的博客
04-17 682
Authentication(认证) 和 Authorization(授权)傻傻分不清楚。
如何在.net6webapi中配置Jwt实现鉴权验证
Gefangenes的博客
06-10 2027
jwt是一种用于身份验证的开放标准,他可以在网络之间传递信息,jwt由三部分组成:头部,载荷,签名。头部包含了令牌的类型和加密算法,载荷包含了用户的信息,签名则是对头部和载荷的加密结果。jwt鉴权验证是指在用户登录成功后,服务器生成一个jwt令牌并返回给客户端,客户端在后续的请求中携带该令牌,服务通过令牌的签名来确定用户的身份和权限。这种方式可以避免在每个请求中都需要进行身份验证,提高了系统的性能和安全性。
Jwt创建身份验证 Web API测试验证
努力努力再努力Joanna
04-22 1874
1、创建JWT 环境:.Net Framework 4.7.2 通过程序包管理控制台添加包 install-package Microsoft.Owin.Security.Jwt 添加JWT方法 private string CreateToken() { //发行日期 DateTime issuedAt = DateTime.Utc...
.NET6 JWT(生成Token令牌)
weixin_45516547的博客
12-30 2131
.NET6 JWT(生成Token令牌)
.net6 基本使用JWT生成Token,模拟用户登录,启动api授权,需要登录携带token才能请求数据,基本给用户添加权限管理
热门推荐
weixin_44442366的博客
04-07 1万+
1. 创建好项目,添加一个控制器,新建用户登录api接口和接收用户登录信息类Dto Dto就包含两个字段,账号和密码 2. 安装NuGet包,搜索JWT,安装图下这个包 3. 在appsettings.json添加JWT加密需要的私钥,发布者等相关配置信息,私钥用户可以自定义。 私钥:SecretKey 发布者:Issuer 接收者:Audience "Authentication": { "SecretKey": "nadjhfgkadshgoihfkajhkjdhsfaidkuahfh
.Net Core2.1使用jwt生成Token做身份认证
qq_40347722的博客
07-22 3338
.Net core 使用jwt获取Token认证登录
基于.NET6平台开发WebApi(十一)—— 使用JWT进行用户鉴权
昨夜丶雨疏风骤的博客
01-18 5643
至此我们的项目已经可以正常运行了,但是聪明的你可能发现了一个问题,那就是我们在第九章中将控制器基类中的[Authorize]标记注释掉了,而且我们添加了一个CurrentUserId属性,没错,它就是为了用户鉴权使用的。用户登录可以说是WebApi必不可少的功能,本篇我们就来详细说说如何进行用户鉴权。 1、对于小型项目或者个人项目来说,可能规模比较小,而且不需要单点登录这样的功能,也就没有必要去单独建设一个IdentityServer服务器来实现鉴权,此处我们可以直接使用.NET自带的功能来实现JWT签发
Asp.net core Webapi 6.0 用户登录 JWT 认证
精通电脑科技的博客
10-08 2538
1. NuGet 添加 IdentityServer4.AccessTokenValidation 包。2.添加证书类 TokenParameter。5.启用跨域、认证、授权。1.允许异步IO操作。3.添加获取Token的控制器。5. 需要认证的控制器上添加。6.需要跨域的控制器上添加。
基于JWT.NET使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
ASP.NET Core使用JWT认证授权的方法
01-19
token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , 服务端更容易水平扩展, 由于无状态, 又会导致它最大缺点 , 很难注销 2、 支持跨域访问 Cookie是不允许垮域访问的,token支持 3、...
.NET Core 生成JWT令牌源码
最新发布
04-27
.NET Core JWT(JSON Web Token)是一种用于身份验证和授权的开放标准。它是一种轻量级的安全令牌,用于在不同的应用程序或服务之间传递身份验证信息。 JWT由三部分组成:头部(Header)、载荷(Payload)和签名...
asp.net core集成JWT的步骤记录
01-01
JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 【什么时候应该使用JSON Web令牌?】 授权:这是使用JWT的最常见方案。一旦用户登录...
Vue3+.net6实战之完成JWT的配置
zhmen的博客
01-17 889
JWT的应用
.NET 6 WebApi Swagger 配置 JWT token+Authorize认证
qq_61325957的博客
05-03 3406
所以读者姥爷如果只是单纯返回token的时候,记得在控制器右上角的Authorize里 先写Bearer+空格+你的token。然后 我们还要启用验证,还是在program.cs下,注意顺序,不能乱,一定要先认证、再授权 ,否则会验证失败。我这里下载的是6.0版本的 下载自信版提示报错和自己的版本不搭配,大家看自己core的版本而定吧。在这里稍稍提醒一下各位读者,在token接口里,我返回token串是写的。好了,今天的分享到这里,希望能够帮助到你,我们下期见。然后再去点击刚才的控制器。
.Net6中通过自定义Token进行鉴权授权
weixin_38819951的博客
04-16 2535
1、注册自定义token鉴权方案 #region 使用自定义token鉴权方案,进行鉴权 builder.Services.AddAuthentication(config => { config.AddScheme<CtmTokenAuthenticationHandler>("token", "ctmToken"); config.DefaultAuthenticateScheme = "token";//默认鉴权方案改成token config.Defau
.net6 jwt用户
07-27
.NET 6中实现JWT用户认证可以通过以下步骤完成: 1. 创建用户模型:根据引用\[1\]中的示例,创建一个用户模型类,包含Id、Username、Password、Email和RefreshToken等属性。 2. 实现用户登录验证:根据引用\[3\]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值