.net core JwtBearer 认证

最新推荐文章于 2024-09-24 08:26:23 发布
最新推荐文章于 2024-09-24 08:26:23 发布
阅读量1.5k 收藏
点赞数
分类专栏: .net core 高级教程
原文链接:https://www.cnblogs.com/RainingNight/p/jwtbearer-authentication-in-asp-net-core.html
版权

原文地址:https://www.cnblogs.com/RainingNight/p/jwtbearer-authentication-in-asp-net-core.html

在现代Web应用程序中,通常会使用Web, WebApp, NativeApp等多种呈现方式,而后端也由以前的Razor渲染HTML,转变为Stateless的RESTFulAPI,因此,我们需要一种标准的,通用的,无状态的,与语言无关的认证方式,也就是本文要介绍的JwtBearer认证。

JwtBearer是一种认证方式

Bearer认证

在这里插入图片描述

在HTTP标准验证方案中,我们比较熟悉的是"Basic"和"Digest",前者将用户名密码使用BASE64编码后作为验证凭证,后者是Basic的升级版,更加安全。

本文要介绍的Bearer验证也属于HTTP协议标准验证,它随着OAuth协议而开始流行,详细定义见: RFC 6570。
Bearer验证中的凭证称为BEARER_TOKEN,或者是access_token,Bearer验证的标准请求方式如下:
Authorization: Bearer [BEARER_TOKEN]

JWT(JSON WEB TOKEN)

上面介绍的Bearer认证,其核心便是BEARER_TOKEN,而最流行的Token编码方式便是:JSON WEB TOKEN(JWT)。
JWT是由.分割的如下三部分组成:

头部(Header)
Header 一般由两个部分组成:
alg是是所使用的hash算法,如:HMAC SHA256或RSA
typ是Token的类型,在这里就是:JWT。
{
“alg”: “HS256”,
“typ”: “JWT”
}
然后使用Base64Url编码成第一部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.<second part>.<third part>

载荷(Payload)
这一部分是JWT主要的信息存储部分,其中包含了许多种的声明(claims)。
一个简单的Pyload可以是这样子的:
{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}
这部分同样使用Base64Url编码成第二部分:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.

签名(Signature)
Signature是用来验证发送者的JWT的同时也能确保在期间不被篡改。
在创建该部分时候你应该已经有了编码后的Header和Payload,然后使用保存在服务端的秘钥对其签名,一个完整的JWT如下:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

示例

模拟Token
ASP.NET Core 内置的JwtBearer验证,并不包含Token的发放,我们先模拟一个简单的实现:

[HttpPost("authenticate")]
public IActionResult Authenticate([FromBody]UserDto userDto)
{
    var user = _store.FindUser(userDto.UserName, userDto.Password);
	if (user == null) return Unauthorized();

    var tokenHandler = new JwtSecurityTokenHandler();
    var key = Encoding.ASCII.GetBytes(Consts.Secret);
    var authTime = DateTime.UtcNow;
    var expiresAt = authTime.AddDays(7);
    var tokenDescriptor = new SecurityTokenDescriptor
    {
        Subject = new ClaimsIdentity(new Claim[]
        {
            new Claim(JwtClaimTypes.Audience,"api"),
            new Claim(JwtClaimTypes.Issuer,"http://localhost:5200"),
            new Claim(JwtClaimTypes.Id, user.Id.ToString()),
            new Claim(JwtClaimTypes.Name, user.Name),
            new Claim(JwtClaimTypes.Email, user.Email),
            new Claim(JwtClaimTypes.PhoneNumber, user.PhoneNumber)
        }),
        Expires = expiresAt,
        SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
	};

    var token = tokenHandler.CreateToken(tokenDescriptor);
	var tokenString = tokenHandler.WriteToken(token);

    return Ok(new
    {
        access_token = tokenString,
        token_type = "Bearer",
        profile = new
        {
            sid = user.Id,
            name = user.Name,
            auth_time = new DateTimeOffset(authTime).ToUnixTimeSeconds(),
            expires_at = new DateTimeOffset(expiresAt).ToUnixTimeSeconds()
        }
    });
}

如上,使用微软提供的Microsoft.IdentityModel.Tokens帮助类(源码地址:azure-activedirectory-identitymodel-extensions-for-dotnet),可以很容易的创建出JwtToen,就不再多说。

注册JwtBearer认证
首先添加JwtBearer包引用:
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 2.0.0

然后在Startup类中添加如下配置:

public void ConfigureServices(IServiceCollection services){
    services.AddAuthentication(x =>
    {
        x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    })
    .AddJwtBearer(o =>
    {
        o.TokenValidationParameters = new TokenValidationParameters
        {
            NameClaimType = JwtClaimTypes.Name,
            RoleClaimType = JwtClaimTypes.Role, 

            ValidIssuer = "http://localhost:5200",
            ValidAudience = "api",
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Consts.Secret))

            /***********************************TokenValidationParameters的参数默认值***********************************/
            // RequireSignedTokens = true,
            // SaveSigninToken = false,
            // ValidateActor = false,
            // 将下面两个参数设置为false,可以不验证Issuer和Audience,但是不建议这样做。
            // ValidateAudience = true,
            // ValidateIssuer = true, 
            // ValidateIssuerSigningKey = false,
            // 是否要求Token的Claims中必须包含Expires
            // RequireExpirationTime = true,
            // 允许的服务器时间偏移量
            // ClockSkew = TimeSpan.FromSeconds(300),
            // 是否验证Token有效期,使用当前时间与Token的Claims中的NotBefore和Expires对比
            // ValidateLifetime = true
        };
    });
}
public void Configure(IApplicationBuilder app){
    app.UseAuthentication();
}

在JwtBearerOptions的配置中,通常IssuerSigningKey(签名秘钥), ValidIssuer(Token颁发机构), ValidAudience(颁发给谁) 三个参数是必须的,后两者用于与TokenClaims中的Issuer和Audience进行对比,不一致则验证失败(与上面发放Token中的Claims对应)。

而NameClaimType和RoleClaimType需与Token中的ClaimType一致,在IdentityServer中也是使用的JwtClaimTypes,否则会造成User.Identity.Name为空等问题。

添加受保护资源
创建一个需要授权的控制器,直接使用Authorize即可:

[Authorize]
[Route("api/[controller]")]
public class SampleDataController : Controller
{
    [HttpGet("[action]")]
    public IEnumerable<WeatherForecast> WeatherForecasts()
    {
        return ...
    }
}

运行
最后运行,直接访问/api/SampleData/WeatherForecasts,将返回一个401:
HTTP/1.1 401 Unauthorized
Server: Kestrel
Content-Length: 0
WWW-Authenticate: Bearer

让我们调用api/oauth/authenticate,获取一个JWT:
请求:

POST http://localhost:5200/api/oauth/authenticate HTTP/1.1
content-type: application/json
{
  "username": "alice",
  "password": "alice"
}

响应:

HTTP/1.1 200 OK
{
"access_token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjEiLCJuYW1lIjoiYWxpY2UiLCJlbWFpbCI6ImFsaWNlQGdtYWlsLmNvbSIsInBob25lX251bWJlciI6IjE4ODAwMDAwMDAxIiwibmJmIjoxNTA5NDY0MzQwLCJleHAiOjE1MTAwNjkxNDAsImlhdCI6MTUwOTQ2NDM0MH0.Y1TDz8KjLRh_vjQ_3iYP4oJw-fmhoboiAGPqIZ-ooNc",
"token_type":"Bearer",
"profile":{"sid":1,"name":"alice","auth_time":1509464340,"expires_at":1510069140}
}

最后使用该Token,再次调用受保护资源:
GET http://localhost:5200/api/SampleData/WeatherForecasts HTTP/1.1
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZCI6IjEiLCJuYW1lIjoiYWxpY2UiLCJlbWFpbCI6ImFsaWNlQGdtYWlsLmNvbSIsInBob25lX251bWJlciI6IjE4ODAwMDAwMDAxIiwibmJmIjoxNTA5NDY0MzQwLCJleHAiOjE1MTAwNjkxNDAsImlhdCI6MTUwOTQ2NDM0MH0.Y1TDz8KjLRh_vjQ_3iYP4oJw-fmhoboiAGPqIZ-ooNc

授权成功,返回了预期的数据:
HTTP/1.1 200 OK
Content-Type: application/json; charset=utf-8

[{“dateFormatted”:“2017/11/3”,“temperatureC”:35,“summary”:“Chilly”,“temperatureF”:94}]

扩展

自定义Token获取方式
JwtBearer认证中,默认是通过Http的Authorization头来获取的,这也是最推荐的做法,但是在某些场景下,我们可能会使用Url或者是Cookie来传递Token,那要怎么来实现呢?

.AddJwtBearer(o =>
{
    o.Events = new JwtBearerEvents()
    {
        OnMessageReceived = context =>
        {
            context.Token = context.Request.Query["access_token"];
            return Task.CompletedTask;
        }
    };
    o.TokenValidationParameters = new TokenValidationParameters
    {
        ...
    };

然后在Url中添加access_token=[token],直接在浏览器中访问:
在这里插入图片描述

同样的,我们也可以很容易的在Cookie中读取Token,就不再演示。
除了OnMessageReceived外,还提供了如下几个事件:
TokenValidated:在Token验证通过后调用。
AuthenticationFailed: 认证失败时调用。
Challenge: 未授权时调用。

dabusidede
关注
专栏目录
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
详解ASP.NET Core Token认证
10-20
3. **启用JWTBearer认证**:通过`UseJwtBearerAuthentication`中间件,将上述验证参数应用到受保护的API或MVC路由。 ```csharp app.UseJwtBearerAuthentication(new JwtBearerOptions{ AutomaticAuthenticate = ...
.net Core 2.1 JWT Bearer 认证
風情
04-18 211
通过在请求的 Header 中添加如下 Header(注意 Bearer 后必须跟一个空格)Authorization:Bearer [Access_Token]添加JWT配置修改 appsettings.json,添加如下节点,这里配置好了密钥用于JWT Token 的第三部分签名"JWT":{ "SecurityKey":"ABCDEFGHIJKLMNOPQRSTUVWXYZ145678...
Blog.Core & Blog.Admin:构建现代化博客系统的利器
最新发布
gitblog_00019的博客
09-24 227
Blog.Core & Blog.Admin:构建现代化博客系统的利器 Blog.Vue ☘ 一个vue的个人博客项目,配合.net core api教程,打造前后端分离 项目地址: https://gitcode.com...
.net core 3.1 使用 AddJwtBearer 提示未包含AddJwtBearer定义,并找不到扩展方法AddJwtBearer的问题
weixin_53370274的博客
12-29 473
.net core 3.1 使用 AddJwtBearer 提示未包含AddJwtBearer定义,并找不到扩展方法AddJwtBearer的问题 services.AddAuthentication(…). AddJwtBearer(…) nuget install-package Microsoft.AspNetCore.Authentication.JwtBearer .net core 3.1可安装3.0.22版本,更高版本不兼容 ...
.NET 6】使用JWT Bearer 颁发 TOKEN 做用户权限验证 超级详细教程(附代码)
qq_43600448的博客
12-18 4717
注:本文章使用的版本是.net6 (本文易错点,将会用此颜色字体标出) 什么是JWT,什么是JWT Bearer就不累述了。 第一步:对应项目安装Microsoft.AspNetCore.Authentication.JwtBearer 第二步:appsettings.json中,添加JWT的配置,参考代码如下,注意SecretKey不能设置太过简单,否则会报错。 { "Logging": { "LogLevel": { "Default": "Trace",
解决ASP.NET Core 3.0 中 使用 AddJwtBearer 提示未包含AddJwtBearer定义,并找不到扩展方法AddJwtBearer的问题
VoldemortChi的博客
09-27 7185
解决ASP.NET Core 3.0 中 使用 AddJwtBearer 提示未包含AddJwtBearer定义,并找不到扩展方法AddJwtBearer的问题 ASP.NET Core 项目升级到3.0版本后,在StartUp配置文件中,使用AddJwtBearer扩展方法时: services.AddAuthentication(...). AddJwtBearer(...); 提示错误:“...
ASP.NET Core 3.1中使用JWT权限认证
CoffeMilk的博客
10-13 1594
一、如何给接口实现权限认证 1.1、JSON Web Token介绍 ①JSON Web令牌(JWT)的原理,流程和数据结构 ②JSON Web Token - Wikipedia ③rfc7519 (ietf.org) ④JWT是一种标准化的数据传输规范。故在系统之间需要传输简短但却需要一定安全等级的数据时,都可以使用JWT规范来传输。规范是不因平台而受限制的,这也是JWT做为授权验证可以跨平台的原因。 ⑤JSON是一种轻量级的数据交换格式,是一种数据层次结构规范。它并不是只用来给接口传递数据
.net Core 2022 使用JwtBearer 6个步骤完成鉴权授权
08-05
.NET Core 2022中,JWT(JSON Web Tokens)Bearer令牌的使用已经成为实现安全认证和授权的常见方法。JWTBearer提供了一种轻量级的身份验证机制,它允许服务在客户端之间安全地传递信息。以下六个步骤将指导你如何...
ASP.NET Core Authentication认证实现方法
10-14
当请求到达时,ASP.NET Core会根据配置的默认认证方案自动尝试验证用户的身份。如果验证成功,将为请求添加一个`ClaimsPrincipal`对象,表示当前已认证的用户;如果验证失败,可能会返回401未经授权的响应。 ASP...
ASP.NET Core 中使用 JWT 实现令牌认证及授权范例程序代码
07-02
在ASP.NET Core中,我们可以使用Microsoft.AspNetCore.Authentication.JwtBearer库来处理JWT。 首先,我们需要配置JWT认证中间件。在`Startup.cs`文件的`ConfigureServices`方法中,添加以下代码: ```csharp ...
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
.netcore3.1添加swagger及JWT Authorize 验证 JWT 的优缺点 相比于传统的 cookie-session 认证机制,优点有: 更适用分布式和水平扩展 在cookie-session方案中,cookie内仅包含一个session标识符,而诸如用户信息、授权列表等都保存在服务端的session中。如果把session中的认证信息都保存在JWT中,在服务端就没有session存在的必要了。当服务端水平扩展的时候,就不用处理session复制(session replication)/ session黏连(sticky session)或是引入外部session存储了。 适用于多客户端(特别是移动端)的前后端解决方案 移动端使用的往往不是网页技术,使用Cookie验证并不是一个好主意,因为你得和Cookie容器打交道,而使用Bearer验证则简单的多。 无状态化 JWT 是无状态化的,更适用于 RESTful 风格的接口验证。 它的缺点也很明显: 更多的空间占用 JWT 由于Payload里面包含了附件信息,占用空间往往比SESSION ID大,在HTTP传输中会造成性能影响。所以在设计时候需要注意不要在JWT中存储太多的claim,以避免发生巨大的,过度膨胀的请求。 无法作废已颁布的令牌 所有的认证信息都在JWT中,由于在服务端没有状态,即使你知道了某个JWT被盗取了,你也没有办法将其作废。在JWT过期之前(你绝对应该设置过期时间),你无能为力。
掌握.NET Core 2022 JwtBearer鉴权授权的6个步骤
在Startup类的ConfigureServices方法中,需要将JwtBearer认证服务添加到服务容器中。代码如下: ```csharp public void ConfigureServices(IServiceCollection services) { // 其他服务配置... services.Add...
JwtBearerAppBuilderExtensions.UseJwtBearerAuthentication(IApplicationBuilder
weixin_30535043的博客
08-18 286
netcore从1.1升级到2.0时,出的错,因为使用的时Jwt token参考https://github.com/aspnet/Security/issues/1310#issuecomment-314842779地址下的, chris31389解答PinpointTownes提问的问题,如下: public class Startup { public void Co...
在ASP.NET Core中轻松使用JwtBeare进行身份验证
软件开发学习交流
05-15 1044
JwtBearer简介首先要搞清楚什么是JwtBearer,JwtBearer是ASP.NET Core的OAuth 2.0 JWT Bearer身份验证提供程序。它提供了对JWT令牌进行验证的功能,然后允许将令牌中包含的声明(claims)用于用户身份验证和授权控制。Json Web Token (JWT)是一种Web标准,用于在不同系统间传输数据。JWT是一种可验证的和安全的方式,用于在各种应用程序之间传递信息。JWT具有一定的安全性,因为它是通过密钥对JWT进行签名的,以确保意味着不能进行篡改或伪造。
.NetCore源码阅读笔记系列之Security (四) Authentication & AddJwtBearer
weixin_30865427的博客
11-23 1184
接下来我们在来看下AddJwtBearer,这个与AddOpenIdConnect不太一样,后者是远程发起身份认证请求是一种主动发起式的,多用于web等客户端,验证发生在身份认证服务端,而前者是一种被动接受,比如接受一个Token并根据某种规则校验,多用于服务性质的接口,而校验发生在服务本生 与前面一样,我们只关注JwtBearerHandler的处理即可 在JwtBearer中,我们可以通过...
ASP.NET Core 3.1 系列之 Web API 添加身份验证Jwt
.NET 方向项目经验分享
06-02 768
ASP.NET Core 3.1 Web API 添加身份验证Jwt详细教程
net core 使用jwt
qq_51172697的博客
04-29 1700
1. 安装必要的包首先,确保你的.NET Core项目中安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
【ASP.NET Core 认证JwtBearer认证
weixin_41120428的博客
08-03 1696
试想一下,公司内的多个业务项目都会使用该token,因此,为了让每个项目都可以进行身份认证,就需要将密钥分发给所有项目,这就产生了较大的风险。在HTTP标准验证方案中,我们比较熟悉的是"Basic"和"Digest",前者将用户名密码使用BASE64编码后作为验证凭证,后者是Basic的升级版,更加安全,因为Basic是明文传输密码信息,而Digest是加密后传输。注意,如果设置了TokenValidationParameters.AudienceValidator,则该参数无论是何值,都会执行。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值