JWT API 跨域验证实战 仅供参考

最新推荐文章于 2024-05-29 08:30:00 发布
最新推荐文章于 2024-05-29 08:30:00 发布
阅读量257 收藏
点赞数
文章标签: asp.net mvc 前端 开发语言 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cmmsgwcpd/article/details/126589882
版权

上一篇文章说到JWT API 跨域验证实战,这一篇从完整login 打,跨域访问带有权限的页面。

资源

SiteA

SiteB

Summery

jS:

        SiteA js postMessageToken to siteB,siteB get the Token, and send request by adding header and the Token, then redirect the page need to verify

Server:

        MVC框架

        Model

                UserInfo // 保存用户信息,和验证内容

public class UserInfo
    {
        /// <summary>
        /// name
        /// </summary>
        public string Name { get; set; }

        /// <summary>
        /// Email
        /// </summary>
        public string Email { get; set; }
        /// <summary>
        /// PassWord
        /// </summary>
        public string PassWord { get; set; }
        /// <summary>
        /// role
        /// </summary>
        public List<string> Roles { get; set; }

        /// <summary>
        /// is admin
        /// </summary>
        public bool IsAdmin { get; set; }

        /// <summary>
        /// expiry date
        /// </summary>
        public DateTime? ExpiryDateTime { get; set; }
    }

                JwtResult

                JWT加密,解密过程

                Token的创建

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using JWT;
using JWT.Algorithms;
using JWT.Serializers;
using Newtonsoft.Json;

namespace MVCWeb.Models
{
    public class JwtResult {
        public string JwtCode { get; set; }
        public string StatusCode { get; set; }
        public string Message { get; set; }
    }
    public class JwtHelper
    {
        private string m_Secret = "THC";
        public string EncodeJwt(UserInfo userInfo)
        {
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serializer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
            return encoder.Encode(userInfo, m_Secret);
        }

        public UserInfo DecodeJwt(string token)
        {
            IJsonSerializer serializer = new JsonNetSerializer();
            IDateTimeProvider provider = new UtcDateTimeProvider();
            IJwtValidator validator = new JwtValidator(serializer, provider);
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            var algorithm = new HMACSHA256Algorithm();
            IJwtDecoder decoder = new JwtDecoder(serializer, validator,urlEncoder, algorithm);
            var userInfo = decoder.DecodeToObject<UserInfo>(token, m_Secret, verify: true);//token为之前生成的字符串
            return userInfo;
        }
        public JwtResult CreateToken(string UserName, string PassWord)
        {
            if (string.IsNullOrEmpty(UserName) || string.IsNullOrEmpty(PassWord))
                throw new Exception("参数为空");

            JwtResult jwtResult;
            try
            {
                //var param = HttpContext.Request["UserName"];  
                //param = HttpContext.Request["PassWord"];
                if (!UserName.Equals("test") || !PassWord.Equals("test"))
                {
                    throw new Exception("用户密码不正确。");
                }

                UserInfo pUserLoginInfo = new UserInfo() { Name = UserName, PassWord = PassWord };
                JwtHelper pHelper = new JwtHelper();
                string sJwt = pHelper.EncodeJwt(pUserLoginInfo);
                jwtResult = new JwtResult()
                {
                    JwtCode = sJwt,
                    StatusCode = "200",
                    Message = "success"
                };
                return jwtResult;
            }
            catch (Exception ex)
            {
                jwtResult = new JwtResult()
                {
                    JwtCode = "",
                    StatusCode = "403",
                    Message = ex.Message
                };
            }

            return jwtResult;
        }
    }
}

Filter:      

  AppAuthorizeAttribute,自动验证过程,本代码支持两证验证,一是登录验证,二是头部auto验证,任何一种满足都可以拥有访问权限,需要注意点,无论哪种验证,等待验证额通过后,我都会把Token对象保存在Session中,//System.Web.HttpContext.Current.Session["tokenInfo"] = jr,目的是访问有权限的页面时候,便于通过验证

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using MVCWeb.Models;

namespace MVCWeb.Filters
{
    public class AppAuthorizeAttribute : AuthorizeAttribute
    {
        /// <summary>
        /// 验证入口
        /// </summary>
        /// <param name="filterContext"></param>
        public override void OnAuthorization(AuthorizationContext filterContext)
        {
            base.OnAuthorization(filterContext);
        }


        protected override bool AuthorizeCore(HttpContextBase httpContext)
        {
            JwtHelper pHelper = new JwtHelper();
            try
            {
                JwtResult jr = (JwtResult)GHelper.GetCurrentTokenInfo();
                //前端请求api时会将token存放在名为"auth"的请求头中
                var authHeader = httpContext.Request.Headers["auth"];
                /*
                if (authHeader == null)
                {
                    httpContext.Response.StatusCode = 403;
                    return false;
                }
                */

                if (authHeader != null)
                {
                    jr = new JwtResult();
                    jr.JwtCode = authHeader;
                }
                else if (jr != null)
                {
                }
                else {
                    httpContext.Response.StatusCode = 403;
                    return false;
                }


                var userinfo = pHelper.DecodeJwt(jr.JwtCode);
                if (userinfo != null)
                {

                    jr.Message = "success";
                    jr.StatusCode = "200";
                    System.Web.HttpContext.Current.Session["tokenInfo"] = jr;
                    return true;
                }

                httpContext.Response.StatusCode = 403;
                return false;
            }
            catch
            {
                httpContext.Response.StatusCode = 403;
                return false;
            }
        }

        /// <summary>
        /// 验证失败处理
        /// </summary>
        /// <param name="filterContext"></param>
        protected override void HandleUnauthorizedRequest(AuthorizationContext filterContext)
        {
            System.Web.HttpContext.Current.Session.Clear();
            base.HandleUnauthorizedRequest(filterContext);
            if (filterContext.HttpContext.Response.StatusCode == 403)
            {
                //filterContext.Result = new RedirectResult("/Error");
                filterContext.HttpContext.Response.Redirect("/account/login");
            }
        }
    }
}

        Controls:

AccountController

登录后保存token到sesssion

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using MVCWeb.Models;

namespace MVCWeb.Controllers
{
    public class AccountController : Controller
    {
        // GET: Account
        public ActionResult Index()
        {
            return View();
        }

        [HttpGet]   //返回页面,展示登录页面
        public ActionResult Login()
        {
            return View();
        }


        [HttpPost]    //提交登录,开始登录时执行业务逻辑
        public ActionResult Login(UserInfo user)
        {
            /*
            if (ModelState.IsValid)     //触发实体验证,如果返回true,则通过验证登录成功
            {
                if (user.Name == "test" && user.PassWord == "test")
                {
                    return base.Redirect("/Home/Index");
                }
                else {
                    return Content("用户名或密码有误!");
                }
            }
            return base.Redirect("Home/Index");
            */
            if (ModelState.IsValid)
            {
                JwtHelper jh = new JwtHelper();
                JwtResult jr = jh.CreateToken(user.Name, user.PassWord);
                System.Web.HttpContext.Current.Session["tokenInfo"] = jr;
                if (jr.Message == "success")
                {
                    //return RedirectToAction("index", "Home", jr);   //url后有参数
                    return base.Redirect("/Home/Index");
                }
                else
                {
                    return Content("用户名或密码有误!");
                }
            }
            return Content("fail to login!");
        }
    }
}

HomeController

将被访问带有权限的页面  [AppAuthorize],首先需要通过验证,才能访问

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using MVCWeb.Filters;
using MVCWeb.Models;

namespace MVCWeb.Controllers
{
    [AppAuthorize]
    public class HomeController : Controller
    {
        // GET: Home
        public ActionResult Index()
        {
            //to do....
            JwtResult jr = (JwtResult)GHelper.GetCurrentTokenInfo();
            //解析token  =>  jr
            //...

            UserInfo pUser = new UserInfo()
            {
                Name = "Test",
                PassWord = "Test"
            };
            //ViewBag.Token = jr.JwtCode;
            //ViewBag.Message = jr.Message;
            //ViewBag.Status = jr.StatusCode;
            
            return View(pUser);
        }
        public string test() {
            return "test";
        }
    }
}

       THCController

未经过授权的页面,目的是仅供跨域者使用,是一个空页面,或者中转页面

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Mvc;
using MVCWeb.Filters;
using MVCWeb.Models;

namespace MVCWeb.Controllers
{
    //[AppAuthorize]
    public class THCController : Controller
    {
        // GET: THC
        public ActionResult Index()
        {
            return View();
        }
    }
}

cmmsgwcpd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT
P_YUX的博客
09-08 552
1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {“UserName”: “Chongchong”,“Role”: “Admin”,“Expire”: “20...
asp.net基于JWT的web api身份验证跨域调用实践
10-18
主要介绍了asp.net基于JWT的web api身份验证跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
C#中通用方法 JWT生成Tocken 备忘
weixin_43542114的博客
11-14 933
public static string GenerateJWTTocken(string secret, Dictionary<string, object> payload) { string str = ""; IJwtAlgorithm algorithm = new HMACSHA256Algorithm(); IJsonSerializer serializer = new JsonNetSe.
JWT——跨域认证解决方案
mmklo的博客
10-05 1946
官方定义:其大致意思就是:JWT是一个以JSON格式传输信息,且传输过程中是安全的,因为他有数字签名,所以可以做验证(其中的加密或者签名算法有RSA/CDSA)自我理解就是:通过以JSON的形式把数据封装成一个令牌,用于保证数据交互过程中的安全性(在传输过程中可以进行加密和签名)。
Springboot 开发 -- 集成 JWT 构建安全的API接口服务
最新发布
dazhong2012的专栏
05-29 2652
通过上述步骤,我们成功地在SpringBoot项目中集成了JWT,实现了API接口服务的身份验证JWT提供了一种安全、高效的方式来处理身份验证和信息交换,特别适合于微服务和分布式系统。然而,需要注意的是,JWT不适用于需要高度安全的场景,如支付系统,因为JWT一旦发出,就无法撤销,除非等到它自然过期。此外,由于JWT通常存储在客户端,因此它们容易受到跨站脚本攻击(XSS)的影响。
JWT无状态登录+跨域问题
~
01-29 2743
1.无状态登录原理 1.1.什么是有状态? 用户登录后,我们把登录者的信息保存在服务端session中,并且给用户一个cookie值,记录对应的session。然后下次请求,用户携带cookie值来,我们就能识别到对应session,从而找到用户的信息。 缺点是什么? 服务端保存大量数据,增加服务端压力 服务端保存用户状态,无法进行水平扩展 客户端请求依赖服务端,多...
thinkphp6 使用 jwt 生成 token 中间件验证token
codeFly
12-12 3980
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 1、用户向服务器发送用户名和密码。 2、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 3、服务器向用户返回一个 session_id,写入用户的 Cookie。 4、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 5、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(scalin.
c#关于JWT跨域身份验证的实现代码
08-25
本文将详细介绍C#关于JWT跨域身份验证的实现代码,通过示例代码对JWT的组成、JWT与传统session的对比、JWT的实现代码等方面进行了详细的介绍,对大家的学习或者工作具有一定的参考学习价值。 一、JWT的组成 JWT...
SpringBoot使用Jwt处理跨域认证问题的教程详解
08-19
SpringBoot使用Jwt处理跨域认证问题的教程详解 SpringBoot使用Jwt处理跨域认证问题是目前前后端开发中常见的问题,本文将详细介绍如何使用Jwt处理跨域认证问题。 首先,为什么需要用户认证呢?原因是由于HTTP协议...
12_基于JWT的Web API身份验证
10-31
基于JWT的Web API身份验证是现代Web应用中广泛采用的安全机制,主要用来验证客户端请求的合法性。JWT(Json Web Token)是一种轻量级的身份验证和授权机制,它允许API服务和客户端之间安全地传递信息,而无需在...
JWT完全跨域的实现
ybbgrain的历程
09-17 1129
概述 什么是JWTJWT全称JSON Web Token是一个开放标准。而今天要学习的是如何使用JWT来做单点登录,也就是跨域认证的实现。 认证的过程 首先用户向服务器发送用户名和密码。 然后服务器将数据保存再,session里面。 服务器向用户返回一个session_id,写入给用户的Cookie。 用户之后的每一次请求,都会将通过Cookie将session_id返回到服务器。 服务器收到了session_id,找到前期保存的数据,从而得到用户的身份。 优点:简单容易实现。..
jwt-api.zip
06-30
修改源码后的jar包 解决:The signing key's size is 1024 bits which is not secure enough for the RS256 algorithm.
JWTAPI真资源英文版
09-28
英文版 没积分的留下邮箱
SpringBoot结合JWT访问API实现Token验证
wuhongyuxuexi的博客
09-15 641
SpringBoot结合JWT实现token验证
HTTP API 认证技术详解(三):JWT Authentication
路多辛的所思所想
01-15 1265
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的格式,用于实现网络应用程序中的身份验证和授权机制。
java JWT api
吕小小布的博客
02-21 8357
(只可以做权限时使用,敏感数据不要使用) Java JWT 安装Maven <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.7.0</version> <...
如何利用JWT来实现对API的授权访问
qq_44601070的博客
11-27 317
如何利用JWT来实现对API的授权访问
使用JWT来实现对API的授权访问
weixin_34268753的博客
09-11 302
目录 什么是JWT JWT的结构 Header Payload Signature 解码后的JWT JWT是怎样工作的 在JAVA里使用JWT 引入依赖 JWT Service ...
JWT 中文官方文档
qq_35040959的博客
01-11 2933
JWT官方文档
ASP.NET编程知识】asp.net基于JWT的web api身份验证跨域调用实践.docx
05-18
"asp.net基于JWT的web api身份验证跨域调用实践" ASP.NET Web API 身份验证通常涉及确保只有经过验证的用户能够访问受保护的API资源。JSON Web Token (JWT) 是一种安全的身份验证和授权机制,适用于现代分布式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值