ASP.NET Core的JWT的实现(中间件).md

最新推荐文章于 2024-01-10 18:04:15 发布
最新推荐文章于 2024-01-10 18:04:15 发布
阅读量403 收藏
点赞数
文章标签: json javascript ViewUI
原文链接:http://www.cnblogs.com/xuhuale/p/10507241.html
版权

既然选择了远方,便只顾风雨兼程 __ HANS许

 

 

引言:挺久没更新了,之前做了Vue的系列,后面想做做服务端的系列,上下衔接,我们就讲讲WebApi(网络应用程序接口),接口免不了用户认证,所以接下来我们的主题系列文章便是“基于ASP.NET Core的用户认证”,分为市面上流行的JWT(JSON WebToken)与OAuth2(开放授权)

JWT(JSON Web Token)

  • 什么叫JWT
    JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。

    一般来说,互联网用户认证是这样子的。

    1、用户向服务器发送用户名和密码。
    2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。
    3、服务器向用户返回一个 session_id,写入用户的 Cookie。
    4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。
    5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。

    服务器需要保存session,做持久化,这种模式没有分布式架构,无法支持横向扩展,如果真的要的话就必须采用分布式缓存来进行管理Seesion。那JWT相反,它保存的是在客户端,每次请求都将JWT代入服务器,进行签名,权限验证。JWT由客户端请求,服务端生成,客户端保存,服务端验证。

  • JWT的原理与格式

    1. 原理
      在上面,我们也讲过了,简单的来说,我们将服务器需要验证我们的条件(账户,密码等等),发给服务器,服务器认证通过,生成一个JSON对象返回给我们,例如下面。当然,为了防止被篡改,所以我们会将对象加密,再次请求服务器,需要将jwt放在请求头部,传递给服务器,来判断权限等等。

      2. "姓名": "张三"
      3. "角色": "管理员"
      4. "到期时间": "2018年7月1日0点0分" 

    2. 格式

      • 实际格式
      1. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9. 
      2. eyJBIjoiQUFBQSIsIkIiOiJCQkJCIiwiQyI6IkNDQ0MiLCJ1ZXIiOiJ4dWh1YWxlIiwib3BlbmlkIjoiNTE1NjEzMTM1MTYzMjEiLCJmZiI6ImRmc2RzZGZzZGZzZHMiLCJuYmYiOjE1NTIyMTE4NjAsImV4cCI6MTU1MjIxMzY2MH0. 
      3. 16m57YnnIcgIth25dwphQKPYuIq42BVmZV6LIBO7KDg 

      它是一个很长的字符串,中间用点(.)分隔成三个部分。注意,JWT内部是没有换行的,这里只是为了便于展示,将它写成了几行。JWT 的三个部分依次如下。

      • Header(头部)
      • Payload(负载)
      • Signature(签名)

      简单讲下,Header描述加密算法与token类型,Payload描述的是实际需要传递的数据,如失效时间,签发人等等,Signature描述的是一段对于前面两部部分的签名,当然秘钥只有服务器才知道。

简单的介绍下JWT,更多的话,可以这边文章看看。我们着重讲下实现。

ASP.NET Core 的Middleware实现

  1. 创建JWT
    首先我们要先创建token,毕竟这个是最重要的。Core自带JWT帮助类,所以我们按照帮助类的意思来写个方法创建token。

    1. public string CreateJsonWebToken(Dictionary<string, string> payLoad) 
    3. if (string.IsNullOrWhiteSpace(setting.SecurityKey)) 
    5. throw new ArgumentNullException("JsonWebTokenSetting.securityKey"
    6. "securityKey为NULL或空字符串。请在\"appsettings.json\"配置\"JsonWebToken\"节点及其子节点\"securityKey\""); 
    8. var now = DateTime.UtcNow; 
    9.  
    10. // Specifically add the jti (random nonce), iat (issued timestamp), and sub (subject/user) claims. 
    11. // You can add other claims here, if you want: 
    12. var claims = new List<Claim>(); 
    13. foreach (var key in payLoad.Keys) 
    15. var tempClaim = new Claim(key, payLoad[key]?.ToString()); 
    16. claims.Add(tempClaim); 
    18.  
    19. // Create the JWT and write it to a string 
    20. var jwt = new JwtSecurityToken( 
    21. issuer: null
    22. audience: null
    23. claims: claims, 
    24. notBefore: now, 
    25. expires: now.Add(TimeSpan.FromMinutes(setting.ExpiresMinute)), 
    26. signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(setting.SecurityKey)), SecurityAlgorithms.HmacSha256)); 
    27. var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt); 
    28. return encodedJwt; 

    从方法我们看到,我们传入的是负载这个片段,而失效时间与秘钥我们是放在了appsettings.json来进行配置的。使用DI来获取配置文件中的节点值。

  2. 编写中间件
    我们都知道,中间件是Core的管道模型组成部分,所以我们在中间件做验证,来判断每次请求用户是有有权限是有该WebApi或者其他API。

    1. 中间件
      1. public JwtCustomerAuthorizeMiddleware(RequestDelegate next, IOptions<JsonWebTokenSetting> options, IJsonWebTokenValidate jsonWebTokenValidate, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad, List<string> anonymousPathList) 
      3. this._next = next; 
      4. this._setting = options.Value; 
      5. this._jsonWebTokenValidate = jsonWebTokenValidate; 
      6. this._validatePayLoad = validatePayLoad; 
      7. this._anonymousPathList = anonymousPathList; 
      9.  
      10. public async Task Invoke(HttpContext context) 
      12. //JsonWebTokenValidate 
      13. //若是路径可以匿名访问,直接跳过 
      14. if (_anonymousPathList.Contains(context.Request.Path.Value)) 
      16. //还未验证 
      17. await _next(context); 
      18. return
      20. var result = context.Request.Headers.TryGetValue("Authorization", out StringValues authStr); 
      21. if (!result || string.IsNullOrEmpty(authStr.ToString())) 
      23. throw new UnauthorizedAccessException("未授权,请传递Header头的Authorization参数。"); 
      25.  
      26. //进行验证与自定义验证 
      27. result = _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim() 
      28. , _setting, _validatePayLoad); 
      29. if (!result) 
      31. throw new UnauthorizedAccessException("验证失败,请查看传递的参数是否正确或是否有权限访问该地址。"); 
      33.  
      34. await _next(context); 

    从代码来看,anonymousPathList是URL路径,若是在这个List内的URL,便可直接跳过验证,
    接着将authStrtoken代入验证函数,validatePayLoad却是我们自代入的委托函数,用于服务器自定义验证。

    1. 验证
      验证方法,我只是做了签名验证与时间验证。并没有定得死死的,让用户自由度的去进行验证。
      1. public bool Validate(string encodeJwt, JsonWebTokenSetting setting, Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad) 
      3. if (string.IsNullOrWhiteSpace(setting.SecurityKey)) 
      5. throw new ArgumentNullException("JsonWebTokenSetting.securityKey"
      6. "securityKey为NULL或空字符串。请在\"appsettings.json\"配置\"JsonWebToken\"节点及其子节点\"securityKey\""); 
      8.  
      9. var success = true
      10. var jwtArr = encodeJwt.Split('.'); 
      11. var header = JsonConvert.DeserializeObject<Dictionary<string, string>>(Base64UrlEncoder.Decode(jwtArr[0])); 
      12. var payLoad = JsonConvert.DeserializeObject<Dictionary<string, string>>(Base64UrlEncoder.Decode(jwtArr[1])); 
      13.  
      14. var hs256 = new HMACSHA256(Encoding.ASCII.GetBytes(setting.SecurityKey)); 
      15. //首先验证签名是否正确(必须的) 
      16. success = success && string.Equals(jwtArr[2], Base64UrlEncoder.Encode(hs256.ComputeHash(Encoding.UTF8.GetBytes(string.Concat(jwtArr[0], ".", jwtArr[1]))))); 
      17. if (!success) 
      19. return success;//签名不正确直接返回 
      21. //其次验证是否在有效期内(也应该必须) 
      22. var now = ToUnixEpochDate(DateTime.UtcNow); 
      23. success = success && (now >= long.Parse(payLoad["nbf"].ToString()) && now < long.Parse(payLoad["exp"].ToString())); 
      24.  
      25. //再其次 进行自定义的验证 
      26. success = success && validatePayLoad(payLoad, setting); 
      27.  
      28. return success; 

  3. 加载中间件

    1. 使用扩展方法,来封装中间件
    1. public static IApplicationBuilder UseJwtCustomerAuthorize(this IApplicationBuilder app, Action<IJwtCustomerAuthorezeOption> action) 
    3. var _JwtCustomerAuthorezeOption = app.ApplicationServices.GetService<IJwtCustomerAuthorezeOption>() as JwtCustomerAuthorezeOption; //new JwtCustomerAuthorezeOption(); 
    4. action(_JwtCustomerAuthorezeOption); 
    5. return app.UseMiddleware<JwtCustomerAuthorizeMiddleware>(_JwtCustomerAuthorezeOption.validatePayLoad, _JwtCustomerAuthorezeOption.anonymousPath); 
    1. Startup.cs使用
    • 注册服务
      1. public void ConfigureServices(IServiceCollection services)
      2. services.AddJwt(Configuration);} 
    • 使用中间件
      1. public void Configure(IApplicationBuilder app, IHostingEnvironment env) 
      3. app.UseJwtCustomerAuthorize(option => 
      5. //设置不会被验证的url,可以使用链式调用一直添加 
      6. option.SetAnonymousPaths(new System.Collections.Generic.List<string>() 
      8. // "/", 
      9. "/Home/Privacy"
      10. "/Home/CreateJsonToken" 
      11. }); 
      12. // 自定义验证函数,playLoad为带过来的参数字典,setting为失效时间与秘钥 
      13. option.SetValidateFunc((playLoad, sertting) => 
      15. return true
      16. }); 
      17. }); 
      18. }  

总结下,通过上面,就完成了JWT在ASP.NET Core使用中间件的方式的实现。简单来说就是用自带方法创建token,验证则使用中间件的形式,每次请求都需要进行验证当然你可以设置特殊URL。在下篇文章我们来讲讲使用策略模式的JWT实现。

 

 

转载于:https://www.cnblogs.com/xuhuale/p/10507241.html

abfrhoz161079
关注
.NET Core 集成JWT认证
阿星Plus
09-07 374
JWT(Json web token)就不用过多的介绍了,在 .NET Core 开发中使用JWT进行认证也是比较常见的,而且接入过程也比较简单,随便配置配置就好了。要想使用JWT,仅仅...
ASP.NET Core 3.1 JWT token实现与应用
04-25
**ASP.NET Core 3.1 JWT Token实现与应用** ASP.NET Core 3.1 是一个高性能、跨平台的开源框架,用于构建现代化的云就绪应用程序。JWTJSON Web Token)是安全领域广泛采用的一种轻量级身份验证机制,常用于实现...
Asp.net coreJWT 中间件
canduecho的专栏
06-05 318
此示例中间件将检查HTTP请求的Authorization标头中是否包含JWT令牌,如果存在,则从中提取并验证令牌,然后将用户ID添加到请求上下文中。其中,UseJwtMiddleware是您的中间件方法名称,该方法应该扩展IApplicationBuilder接口并添加中间件的相关操作。将此方法添加到Configure方法后,请求处理管道将包含JWT中间件,并在处理请求时执行相关逻辑。请注意,根据您的JWT中间件的具体实现和用法,UseJwtMiddleware方法的实现可能会有所不同。
.net core 关于使用中间件刷新jwt token
weixin_43632687的博客
03-10 629
using Microsoft.Extensions.Options; using Microsoft.IdentityModel.Tokens; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; namespace EFCoreJWT { public class RefrashTokenMiddle { public RequestDelegat
asp.net core swagger使用jwt认证时注意添加认证中间件和添加授权中间件的区别
荒野
04-14 311
Authentication跟Authorization的区别 这两个单词长的十分相似,而且还经常一起出现,很多时候容易搞混了 Authentication(认证) 明确是你谁,确认是不是合法用户。常用的认证方式有用户名密码认证。 Authorization(授权) 明确你是否有某个权限。当用户需要使用某个功能的时候,系统需要校验用户是否需要这个功能的权限。 所以这两个单词是不同的概念,不同层次的东西。UseAuthorization在asp.net core 2.0中是没有的。在3.0之后微软明
第7章 初识SqlSugarCoreJwt认证中间件
zhoujian_911的专栏
10-11 510
通过的Jwt认证中间件生成令牌(Token)的操作有两大部部分组成: 1、 定义在Program.cs中的依赖注入配置。 2、 用于令牌(Token)生成的自定义方法。 Jwt认证中间件通过3个参数成员或属性成员及其相对应的值来保证依赖注入配置和自定义方法所生成的于令牌(Token)是同1指定于令牌(Token),它们分别是: (自定义方法参数)secretKey --(依赖注入配置)IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetB
毕业设计:基于asp.net Core 基础权限系统 .zip
10-11
ASP.NET Core提供多种身份验证机制,如Cookie认证、JWTJSON Web Tokens)认证等,通过这些机制,系统可以验证用户凭据并创建会话或令牌来标识用户。 4. 角色管理:角色是权限分配的集合,将一组具有相同权限的...
ASP.NET Core 中使用 JWT 实现令牌认证及授权范例程序代码
07-02
ASP.NET Core中间件将自动处理这个头,验证JWT并设置`HttpContext.User`,供授权检查使用。 对于授权,ASP.NET Core支持基于角色和策略的授权。例如,要在控制器或操作上添加授权要求,可以使用`[Authorize]`或`...
ASP.NET Core 3.1中文教程.rar
07-28
ASP.NET Core 3.1内置了强大的身份验证机制,包括cookie认证、JWT令牌等,同时支持自定义策略,确保只有经过身份验证和授权的用户才能访问特定资源。 数据库集成是ASP.NET Core 3.1的另一个亮点。Entity Framework ...
asp.net core jwt
12-28
ASP.NET Core JWTJSON Web Token)是微软ASP.NET Core框架中用于实现身份验证和授权的一种安全机制。JWT是一种轻量级的身份验证标准,它允许在客户端和服务端之间安全地传递信息,无需在每次请求时携带会话信息。...
ASP.NET Core MVC 项目 创建JWT搭配WebApi和MinimalApi实现输出Token
Vin Cente
04-02 1564
一:新建WebApi项目 二:添加关键类 三:修改appsettings.json文件 四:修改Program.cs文件 五:添加控制器AuthenticationController 六:结果截图
MVC .NET CORE 学习之路三:搭建.net core权限认证的环境(IdentityServer或jwt)
m0_51159082的博客
04-30 662
1.新建ASP.NET Core Web 应用程序,程序文件如下图
ASP.NET Core高级之认证与授权(二)--JWT认证前后端完整实现
最新发布
物联网大联盟
01-10 3020
本文是一个基于JWT认证的完整的前后端实现代码案例。
.Net Core下简单的JWT黑名单中间件
sky 胡萝卜星星
08-12 1089
自从JWT认证方式在互联网上蔓延后,Session认证方式就被挤掉了一大半的生存空间,这里我们不讲JWT与Session两种方式的优缺点,我们只讲如何通过JWT的黑名单来阻止某些Token的登录。 设置黑名单,也就是说要将Token写入某个存储介质,然后考虑数据并不需要一直存在,其在有效期之后应自动释放,那这种情况下存储介质首选肯定是缓存,鉴于目前流行容器化技术,微服务概念又漫天飞的情况,缓存还得考虑支持分布式,那妥妥的必选方案就是IDistributedCache,这样究竟是单体应用MemoryCache
AspNetCore实现JWT(使用Microsoft.AspNetCore.Authentication.JwtBearer)
在这里你大概率会有所收获,欢迎指错||纠正||建议||水评+点赞&&评论&&关注&&转发
08-08 1926
AspNetCore实现Jwt比较简单,使用Microsoft.AspNetCore.Authentication.JwtBearer 库,再加几行代码即可.
.Net Core WebApi中,使用JWT身份认证与授权(使用异常处理中间件来处理认证不通过时的情况)
Ling、bug
12-12 2640
本文讲解,在.Net Core WebApi中,使用JWT来进行身份认证和授权。 一、在startup文件中配置身份认证 a.配置JWT身份认证: 这里有两种方式,我个人看来没任何差别,如果有需要指定事件之类的(如:认证成功,认证失败时,可以自己去配置它的事件) 第一种: 第二种: 创建认证参数对象的方法: b.开启JWT身份认证: 这里还额外增...
如何简单的在 ASP.NET Core 中集成 JWT 认证?
dotNET跨平台
07-31 5556
前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相...
asp.net core 集成JWT
dotNET跨平台
06-14 3823
【什么是JWT】  JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。  JWT的官网地址:https://jwt.io/  通俗地来讲,JWT是...
JWT来保护我们的ASP.NET Core Web API
weixin_34273479的博客
11-13 240
  在上一篇博客中,自己动手写了一个Middleware来处理API的授权验证,现在就采用另外一种方式来处理这个授权验证的问题,毕竟现在也 有不少开源的东西可以用,今天用的是JWT。   什么是JWT呢?JWT的全称是JSON WEB TOKENS,是一种自包含令牌格式。官方网址:https://jwt.io/,或多或少应该都有听过这个。   先来看看下面的两个图:   站点是通过R...
ASP.NET Core JWT授权认证实现与原理解析
我们将了解JWT的基础知识,并通过实例演示如何在ASP.NET Core项目中实现JWT验证功能。" 在ASP.NET Core中,JWT被广泛用于实现安全的身份验证和授权。JWT是一种轻量级的、自包含的令牌,用于在各方之间安全地传输...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值