API鉴权及JWT详细分析

最新推荐文章于 2024-06-24 15:20:08 发布
最新推荐文章于 2024-06-24 15:20:08 发布
阅读量1.3k 收藏 2
点赞数
文章标签: c# 后端 前端 ViewUI
原文链接:https://my.oschina.net/u/4034553/blog/3063980
版权

Web API常见的鉴权方法,即WebAPI中保障请求合法性的常见方法:

(1)、API Key + API Secret

(2)、cookie-session认证

这是比较老牌的鉴权方式了,这种鉴权方式有一下特点:

A、为了使后台应用能识别是那个用户发出的请求,只能在后台服务器存储一份用户登陆信息,这份信息也会在相应前端请求时返回给浏览器,前端将其保存为cookie.

B、下次请求时前端发送给后端应用,后端应用就可以识别这个请求是来自那个用户了。

C、cookie内仅包含一个session标识符而诸如用户信息、授权列表等都保存在服务端的session中。

优点:

A、老牌,资料多,语言支持完善。

B、较易于扩展,外部存储session存储方案一斤非常成熟了。(比如:redis)

缺点:

1)性能相于较低:每一个用户经过后端应用认证之后,后端应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

2)与REST风格不匹配。因为它在一个无状态协议里注入了状态。

3)CSRF攻击:因为基于cookie来进行用户识别, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。有兴趣可以看下http://www.uml.org.cn/Test/201508124.asp 。

4)很难跨平台:在移动应用上 session 和 cookie 很难行通,你无法与移动终端共享服务器创建的 session 和 cookie。

(3)、OAuth

(4)、token

简述:token通过一次登陆验证,得到一个鉴权字符串,然后带着这个鉴权字符串进行后续的操作,这样就可以解决每次请求都要带着用户名和密码的问题,而且不用反复使用用户名和密码。

A、Token的优势

token相对于Cookie+Session的有带你,主要有下面两个:

1.1CSTF攻击

1.2、适合移动应用

移动端不支持Cookie,而token只要客户端能够进行存储就能够使用,因此Token在移动端上也具有优势。

1.3、Token的种类

一般来说Token主要有三种:

A、自定义Token:开发者根据业务逻辑自定义的Token

B、JWT:Json Web Token,定义在RFC 7519中的一种Token规范。

C、Oauth2.0:定义在RFC 6750中的一种授权规范,但这其实不是一种Token,只是其中也有用到Token。

(4)、JWT (JSON Web Tokens),是一种规范化的token,

4.1、组成:一个JWT token 是一个字符串,它由三部分组成,头部、载荷与签名,中间用 . 分隔,例如xxxxx.yyyyy.zzzzz

4.1.1头部(header):由两部分组成,令牌和类型(即JWT)和正在使用的签名算法(如RSA).

4.1.2、载荷:公有的载荷,私有的载荷

4.1.3、签名

4.2、使用

JWT的使用有两种方式:

A、加到url中:?token=你token

B、加到Hearder中,建议用这种,因为在https情况下更安全:Authorization:Bearer 你的token

JWT在客户端有三种存储方式:

A、LocalStorage

B、SessionStorage

C、Cookie[不能设置HttpPonly]

4.3、相对于一般的token的优点

无状态

A、JWT常常被用作保护服务端的资源(resource).

B、客户端通常将JWT通过HTTP的Authorization header发送给服务端。

C、服务端使用自己保存的key计算、验证签名以判断该JWT是否可信。

D、在web应用中,别再把JWT当作session使用,绝大多数情况下,传统的cookie-session机制工作的更好。

E、JWT适合一次性的命令认证,颁发一个有效期机端的JWT,即使暴露危险也很小。

F、由于每次操作都会生成新的JWT,因此也没有必要保存JWT,真正实现无状态。

 

转载于:https://my.oschina.net/u/4034553/blog/3063980

chengkegou8534
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
API签名鉴权设计
后面牵个人的博客
12-26 2860
API鉴权的作用:识别调用方身份,控制API的访问权限,进而保护平台数据的安全。
Web API接口鉴权方式
人间世
02-28 5859
介绍web API接口鉴权方式
接口鉴权方案 jwt
最新发布
qq_36428598的博客
06-24 712
setExpiration(new Date(currentTimeMillis + TOKEN_EXPIRE_MILLIS)) // 设置过期时间。.setIssuedAt(new Date(currentTimeMillis)) // 设置签发时间。.setSigningKey(generateKey()) // 设置签名密钥。@return 0 验证成功,1、2、3、4、5 验证失败。key(按照签名算法的字节长度设置key)5.使用注解在接口上。
Open API 授权&鉴权机制设计
竹林幽深
04-15 466
基于 OAuth2 建设 Open API 平台授权机制,通过安全标准的方式授权给外部,保证部门应用数据的安全性。OAuth2 定义了4种授权方式,但目前只需要供客户端在后台调用即可,所以仅考虑凭证式授权方式。oauth2_registered_client:spring-security-oauth2-authorization-server 组件依赖的表,记录已注册了的客户端凭证。
webapi JWT 认证
weixin_30347335的博客
04-23 221
第一步 使用ng安装JWT组件 第二步 编写登录和生成token代码 byte[] key = Encoding.UTF8.GetBytes("123456789aaaaaaa"); IJwtAlgorithm algorithm = new HMACSHA256Algorithm();//加密方式 IJsonSe...
【.Net Core学习笔记】API JWT授权认证
linzai专栏
11-16 1213
通常我们在调用第三方API的时候都需要一个Token作为凭证,调用方自行根据第三方Token生成规则来生成Token,并作为参数传入。现在作为API提供方,我们需要一套认证机制来确保API和数据的安全,仅被授权的调用方所使用。
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
标题中的".NET6平台开发WebApi-使用JWT进行用户鉴权"指的是在最新的.NET框架版本中创建Web API服务,并利用JWT进行用户的身份验证。这涉及到以下几个关键步骤: 1. **创建WebApi项目**:首先,我们需要使用.NET6 ...
koa2服务端使用jwt进行鉴权及路由权限分发的流程分析
10-16
总的来说,Koa2结合JWT提供了一种强大的鉴权机制,能够保护敏感的API免受未经授权的访问。同时,通过路由权限分发,我们可以实现细粒度的访问控制,确保用户只能访问其被授权的资源。这种机制在现代Web应用程序中是...
JWT授权鉴权--相当nice
08-14
在现代Web应用中,JWT被广泛用于用户身份验证和授权,特别是在API的场景下。 标题“JWT授权鉴权--相当nice”暗示了JWT在授权和鉴权过程中的高效和便利性。JWT提供了一种轻量级的身份验证机制,使得客户端可以在获得...
.net core webapi jwt 更为清爽的认证详解
10-16
在.NET Core WebAPI中实现JWT认证是构建安全API服务的重要环节。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。它通常用于身份验证和信息交换。 首先,介绍JWT的两部分...
Java中使用JWT生成Token进行接口鉴权实现方法
08-25
通过本文,读者可以了解到使用JWT生成Token进行接口鉴权的详细实现方法。 什么是JWTJWT(JSON Web Token)是一种基于Token的身份验证方法。它可以在服务器和客户端之间安全地传输信息。JWT由三部分组成:头部、...
.net6 Web Api使用JWT-从后端前端全部过程
故里2130
01-13 3851
然后在具体的方法上面,增加角色,也就是只有admin才能访问这个方法,其他用户不能访问,就是200,其他用户访问就是401,当然这是在postman里面操作的。也可以把Token的值放在Headers中,增加Authorization,还需要加bearer,后面加空格。当我们把字符串复制到JWT官网,就可以是明文的,所以千万不要写账号和密码,如果要写,就再加密一层。7.关键时刻,此时建立一个User类,再建立一个Login方法增加,并且增加[Authorize]。实际项目肯定不能直接写死。
Laravel——API认证JWT(二)
qq_42217708的博客
01-17 722
在返回响应之前,大多数API需要通过某种形式的身份验证。 有时,经过和未经过身份验证的请求,响应的内容会有所不同。也就是登录之后的用户看到页面和没有登录看到页面是不一样的。 JSON Web Tokens (JWT) tymon/jwt-auth是使用第三方来集成JWT身份验证的软件包。 ...
HTTP API 认证技术详解(三):JWT Authentication
路多辛的所思所想
01-15 1278
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的格式,用于实现网络应用程序中的身份验证和授权机制。
jwt https://mp.weixin.qq.com/s/8FdzMq4msyhqE9Rrhgwqjw
weixin_30276935的博客
09-21 7674
使用JWT来实现对API的授权访问 Beginnerjava思维导图前天 什么是JWT JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各个系统之间用JSON作为对象安全地传输信息,并且可以保证所传输的信息不会被篡改。 JWT通常有两种应用场景: 授权。这是最常见的JWT使用场景。一旦用户...
WebApi_基于Token的身份验证——JWT
weixin_33670786的博客
05-29 323
JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为: A.B.C A由JWT头部信息header加密得到B由JWT用到的身份验证信息json数据加密得到C由A和B加密得到,是校验部分 怎样生成A? header格式为: [csharp] view plain copy print? {       "typ": "...
JWTAPI鉴权,基于拦截器的token与鉴权
苏凯的博客
01-29 3900
基于JWTAPI鉴权 基于拦截器的token与鉴权 如果我们每个方法都去写一段代码,冗余度太高,不利于维护,那如何做使我们的代码看起来更清爽呢?我们可以 将这段代码放入拦截器去实现 Spring中的拦截器 Spring为我们提供了org.springframework.web.servlet.handler.HandlerInterceptorAdap...
REST接口安全认证方式对比:API Key vs OAuth令牌 vs JWT
热门推荐
王浩的技术博客
07-23 1万+
REST(Representational State Transfer)服务最初是作为一种极其简化的Web服务方法开始的。我们可以在纯文本文件中描述REST服务,并使用我们想要的任何消息格式,例如JSON,XML等。如果通过构建可以读取,写入和删除用户数据的API调用,使得API成为产品的强大扩展,几乎肯定是需要身份验证的。 下面我们将介绍三种流行的身份验证方法:API密钥,OAuth访问令牌...
web系统api接口鉴权怎么做实现?一文带你看看我是怎么做的!
zzz
04-25 2349
后端分离开发基于api调用,或者在api系统接口开发中,api接口调用的合法性不可避免,参加高校微信小程序大赛,需要开发后台,暴露接口前端小程序,在此过程中,为了保证接口调用的合法性以及处于安全性考虑,需要对于每个api接口调用合法性进行检验。 0x00 基本思路 对于每个请求都需要进行参数校验,而每个api接口需要的参数都不一致,所以无法进行统一性校验。由此,想到拦截器,采用前置拦截器对...
net 6 webapi jwt鉴权
07-14
.NET 6 Web API中的JWT鉴权可以通过以下步骤实现: 1. 在NuGet包管理器中安装所需的包: - Microsoft.AspNetCore.Authentication.JwtBearer - System.IdentityModel.Tokens.Jwt 2. 在appsettings.json文件中添加JWT配置: ```json { "JwtSettings": { "Issuer": "your_issuer", "Audience": "your_audience", "SecretKey": "your_secret_key" } } ``` 3. 在Startup.cs文件的ConfigureServices方法中进行配置: ```csharp using Microsoft.IdentityModel.Tokens; using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.Extensions.Configuration; public void ConfigureServices(IServiceCollection services) { // 添加配置文件支持 services.AddOptions(); services.Configure<JwtSettings>(Configuration.GetSection("JwtSettings")); // 读取JWT配置 var jwtSettings = Configuration.GetSection("JwtSettings").Get<JwtSettings>(); // 添加JWT认证服务 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = jwtSettings.Issuer, ValidAudience = jwtSettings.Audience, IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings.SecretKey)) }; }); // 添加授权策略 services.AddAuthorization(); // 添加其他服务和中间件 } ``` 4. 创建一个JwtSettings类来存储JWT配置: ```csharp public class JwtSettings { public string Issuer { get; set; } public string Audience { get; set; } public string SecretKey { get; set; } } ``` 5. 在需要进行JWT鉴权的控制器或方法上添加[Authorize]特性: ```csharp using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; [ApiController] [Route("api/[controller]")] public class MyController : ControllerBase { [Authorize] [HttpGet("protected")] public IActionResult Protected() { // 受保护的路由,只有经过认证的用户才能访问 return Ok("You have accessed the protected route."); } // 其他方法和路由 } ``` 以上步骤将会在.NET 6 Web API中实现JWT鉴权。确保将"your_issuer"、"your_audience"和"your_secret_key"替换为你的实际值。通过添加[Authorize]特性到需要鉴权的控制器或方法上,只有经过认证的用户才能访问受保护的路由。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值