NetCore3.1简单使用JWT

最新推荐文章于 2024-08-16 09:54:22 发布
最新推荐文章于 2024-08-16 09:54:22 发布
阅读量813 收藏 2
点赞数
分类专栏: .netcore 文章标签: .netcore
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/deeeelete/article/details/124164473
版权

一:简介

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。



二:安装依赖

首先要安装对应的nuget包,名为JwtBearer
在这里插入图片描述



三:编写配置

这里我们将需要用到的配置项单独抽离出来,当然也可以从json配置中读取,这里我选择新建名为StaticConfig的类

    //公共配置类
    public static class StaticConfig
    {   

        //jwt颁发者
        public static string issuer = "core775";

        //jwt密钥
        public static string secret = "789124791277681664122";

        //jwt受众
        public static string audience = "Audience";
    }



四:测试获取加密token

随便找一个Controller,这里参考关关长语的博客,将加密的过程抄过来


    [ApiController]
    [Route("Api")]
    public class ApiController : Controller

    {

        [HttpGet]
        [Route("jwt")]
        public object Get()
        {
            //秘钥
            byte[] secret = System.Text.Encoding.UTF8.GetBytes(StaticConfig.secret);
            //生成秘钥
            var key = new SymmetricSecurityKey(secret);
            //生成数字签名的签名密钥、签名密钥标识符和安全算法
            var credential = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
            //构建JwtSecurityToken类实例
            var token = new JwtSecurityToken(
                //添加颁发者
                issuer: StaticConfig.issuer,
                //添加受众
                audience: StaticConfig.audience,
                //添加其他需要加密的信息
                new List<Claim> {
                new Claim(ClaimTypes.Name,"zhangsan"),
                new Claim(ClaimTypes.Role,"admin")
                },
                //自定义过期时间
                expires: DateTime.UtcNow.AddHours(32)
                , signingCredentials: credential);
            //签发token
            return Ok(new
            {
                access_token = new JwtSecurityTokenHandler().WriteToken(token)
            });
        }

	}

ApiFox中测试请求
在这里插入图片描述


五:测试解密token

已知我们先前的加密是使用的JwtSecurityTokenHandler()的WriteToken方法,于是我们进Handler的源码中看一看是否存在解密的方法,如果有的话大概率也叫什么什么Token,于是在距离WriteToken的不远处找到了ReadToken
在这里插入图片描述它的返回值是一个JwtSecurityToken,于是我们解密的步骤大致可以写成如下

	string token = "13asdasd";      
	
	JwtSecurityToken tj = new JwtSecurityTokenHandler().ReadJwtToken(token);

但是我们不知道JwtSecurityToken如何获取我们想要的数据,譬如颁布者,我们封装的Claim信息等,于是进入JwtSecurityToken的源码,然后发现该类中包含着很多属性,比如Issuer

        //
        // 摘要:
        //     Gets the 'value' of the 'issuer' claim { iss, 'value' }.
        //
        // 言论:
        //     If the 'issuer' claim is not found, an empty string is returned.
        public override string Issuer { get; }

在这里插入图片描述这样一来,调用该属性就能获取到颁布者的信息

	string issuer = tj.Issuer;//获取颁发者

但我们还想要获取Claim中加密的Name或者Role信息,于是去调它的IEnumerable<Claim> Claims 属性

        //
        // 摘要:
        //     Gets the System.Security.Claims.Claim(s) for this token. If this is a JWE token,
        //     this property only returns the encrypted claims; the unencrypted claims should
        //     be read from the header seperately.
        //
        // 言论:
        //     System.Security.Claims.Claim(s) returned will NOT have the System.Security.Claims.Claim.Type
        //     translated according to System.IdentityModel.Tokens.Jwt.JwtSecurityTokenHandler.InboundClaimTypeMap
        public IEnumerable<Claim> Claims { get; }

获取到一个IEnumerable,参考我们先前加密时候的配置,可以知道我们的在封装Claim的时候,是使用了ClaimTypes类中的一些固定类型,因此这里就可以反过来照着它对应的key来取出Value

                //添加其他声明
                new List<Claim> {
                new Claim(ClaimTypes.Name,"zhangsan"),
                new Claim(ClaimTypes.Role,"admin")
                },

获取zhangsan的接口

        [HttpGet]
        [Route("decodeJWT")]
        public object decodeJWT(string token) {

            JwtSecurityToken tj = new JwtSecurityTokenHandler().ReadJwtToken(token);
            获取Claim 相关数据
            IEnumerable<Claim> j = new JwtSecurityTokenHandler().ReadJwtToken(token).Claims;
            //查找类型为ClaimTypes.Name的数据,可以通过Value获取内容
            var result = from s in j
                         where s.Type == ClaimTypes.Name
                         select s;

            Claim jk = result.First();
            return Json(jk.Value);
        }

接口测试:
在这里插入图片描述以此类推,想要获取其他数据也都是同样的方式



六:封装工具类

把常用功能抽离出来,单独走一个JWTUtil

    /// <summary>
    /// jwt工具类,用来加工token和解析token
    /// </summary>
    public class JWTUtil
    {

        /// <summary>
        /// 获取加密token
        /// </summary>
        /// <param name="id"></param>
        /// <param name="name"></param>
        /// <param name="role"></param>
        /// <returns> object  token </returns>
        public static object getToken(string id, string name, string role) {
            if (role == null) {
                role = "user";
            }
            //秘钥
            byte[] secret = System.Text.Encoding.UTF8.GetBytes(StaticConfig.secret);
            //生成秘钥
            var key = new SymmetricSecurityKey(secret);
            //生成数字签名的签名密钥、签名密钥标识符和安全算法
            var credential = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
            //构建JwtSecurityToken类实例
            var token = new JwtSecurityToken(
                //添加颁发者
                issuer: StaticConfig.issuer,
                //添加受众
                audience: "Audience",
                //添加其他声明
                new List<Claim> {
                new Claim(ClaimTypes.Name,name),
                new Claim(ClaimTypes.Sid,id),
                new Claim(ClaimTypes.Role,role)
                },
                //过期时间是一天
                expires: DateTime.UtcNow.AddHours(32)
                , signingCredentials: credential);
            //签发token
            return new
            {
                token = new JwtSecurityTokenHandler().WriteToken(token)
            };
        }


        /// <summary>
        /// 返回当前token状态,0是通过校验,1是颁布者不一致,2是过期了
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>
        public static int check(string token) {
            if (JWTUtil.getIssuer(token).Equals(StaticConfig.issuer)) {
                //颁布者不一致,存在伪造token的危险
                return 1;
            }
            if (!JWTUtil.checkTokenDate(token)) {
                //token过期
                return 2;
            }
            return 0;
        }

        /// <summary>
        /// 检查当前token有没有过期,如果返回true说明没有过期,返回false是已经过期
        /// </summary>
        /// <param name="token"></param>
        /// <returns> bool </returns>
        public static bool checkTokenDate(string token) {
            //获取token
            JwtSecurityToken tj = new JwtSecurityTokenHandler().ReadJwtToken(token);
            //当前时间
            DateTime now = DateTime.Now;
            //判断tj.ValidTo是不是比now大,也就是验证token有没有过期
            return DateTime.Compare(tj.ValidTo, now) >= 0;
        }



        /// <summary>
        /// 获取当前token中的用户名
        /// </summary>
        /// <param name="token"></param>
        /// <returns> 获取Claim</returns>
        public static string getName(string token) {
            JwtSecurityToken tj = new JwtSecurityTokenHandler().ReadJwtToken(token);
            //获取Claim 相关数据
            IEnumerable<Claim> j = new JwtSecurityTokenHandler().ReadJwtToken(token).Claims;
            //查找类型为ClaimTypes.Name的数据,可以通过Value获取内容
            var result = from s in j
                         where s.Type == ClaimTypes.Name
                         select s;
            Claim claim = result.First();
            return claim.Value;
        }


        /// <summary>
        /// 获取当前token中的ID
        /// </summary>
        /// <param name="token"></param>
        /// <returns> 获取Claim</returns>
        public static string getId(string token)
        {
            JwtSecurityToken tj = new JwtSecurityTokenHandler().ReadJwtToken(token);
            //获取Claim 相关数据
            IEnumerable<Claim> j = new JwtSecurityTokenHandler().ReadJwtToken(token).Claims;
            //查找类型为ClaimTypes.Sid的数据
            var result = from s in j
                         where s.Type == ClaimTypes.Sid
                         select s;
            Claim claim = result.First();
            return claim.Value;
        }


        /// <summary>
        /// 获取当前token中的role角色
        /// </summary>
        /// <param name="token"></param>
        /// <returns> 获取Claim</returns>
        public static string getRole(string token)
        {
            JwtSecurityToken tj = new JwtSecurityTokenHandler().ReadJwtToken(token);
            //获取Claim 相关数据
            IEnumerable<Claim> j = new JwtSecurityTokenHandler().ReadJwtToken(token).Claims;
            //查找类型为ClaimTypes.Role的数据
            var result = from s in j
                         where s.Type == ClaimTypes.Role
                         select s;
            Claim claim = result.First();
            return claim.Value;
        }



        /// <summary>
        /// 获取当前token的颁布者
        /// </summary>
        /// <param name="token"></param>
        /// <returns> string颁布者 </returns>
        public static string getIssuer(string token)
        {
            JwtSecurityToken tj = new JwtSecurityTokenHandler().ReadJwtToken(token);
            return tj.Issuer;
        }


    }

因此,接下来在Controller中我们就可以直接调工具类去加密解密

    [ApiController]
    [Route("Api")]
    public class ApiController : Controller
    {

        
        [HttpGet]
        [Route("jwt")]
        public object Get()
        {
            return JWTUtil.getToken("878712371922131", "jackone","admin");
        }


        [HttpGet]
        [Route("decodeJWT")]
        public string decodeJWT(string token) {
            return JWTUtil.getName(token);
        }
        
	}
Deeeelete
关注
专栏目录
ASP.Net Core 3.1使用JWT认证(笔记)
Kilven
05-01 4721
一、JWT原理: 1、传统的登录方式:浏览器输入用户名密码,服务器端检验通过后,根据用户信息生成一个token,将token和userID存到数据库或者session中,并将token返回给前端存入cookie。之后客户端访问时会带上cookie中的信息,服务端根据客户端提供的信息对比来验证登录的客户有效性。 存在弊端:问题1:如果出现XSS(Cross-Site Scripting)跨站请求...
ASP.NET Core 3.1 JWT token实现与应用
04-25
**ASP.NET Core 3.1 JWT Token实现与应用** ASP.NET Core 3.1 是一个高性能、跨平台的开源框架,用于构建现代化的云就绪应用程序。JWT(JSON Web Token)是安全领域广泛采用的一种轻量级身份验证机制,常用于实现...
.net core 3.1 WepApi 前后分离身份验证及webapi调试demo ,jwt+swagger
04-14
.netcore3.1添加swagger及JWT Authorize 验证 JWT 的优缺点 相比于传统的 cookie-session 认证机制,优点有: 更适用分布式和水平扩展 在cookie-session方案中,cookie内仅包含一个session标识符,而诸如用户信息、授权列表等都保存在服务端的session中。如果把session中的认证信息都保存在JWT中,在服务端就没有session存在的必要了。当服务端水平扩展的时候,就不用处理session复制(session replication)/ session黏连(sticky session)或是引入外部session存储了。 适用于多客户端(特别是移动端)的前后端解决方案 移动端使用的往往不是网页技术,使用Cookie验证并不是一个好主意,因为你得和Cookie容器打交道,而使用Bearer验证则简单的多。 无状态化 JWT 是无状态化的,更适用于 RESTful 风格的接口验证。 它的缺点也很明显: 更多的空间占用 JWT 由于Payload里面包含了附件信息,占用空间往往比SESSION ID大,在HTTP传输中会造成性能影响。所以在设计时候需要注意不要在JWT中存储太多的claim,以避免发生巨大的,过度膨胀的请求。 无法作废已颁布的令牌 所有的认证信息都在JWT中,由于在服务端没有状态,即使你知道了某个JWT被盗取了,你也没有办法将其作废。在JWT过期之前(你绝对应该设置过期时间),你无能为力。
Net Core 3.1使用JWT认证
wo4641771的博客
08-13 1865
JWT认证简单介绍 关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。 JWT主要由三部分组成,如下: HEADER.PAYLOAD.SIGNATURE HEADER包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了 加密的对象类型是JWT,加密算法是HMAC SHA-256 {"alg":"HS256","typ":"JWT"} 然后需要通过BASE64编码后存入token中 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpX
.NET Core 中的 JWT 认证与授权
最新发布
hy_4377的博客
08-16 1047
JWT 是一种基于 JSON 的开放标准(RFC 7519),用于在网络应用环境中传递声明信息。JWT 由三部分组成:Header(头部)、Payload(载荷)、Signature(签名)。这三部分通过点号(.)连接,形成一个 JWT 字符串。包含令牌的类型和使用的加密算法。包含声明信息,可以是用户信息,也可以是其他元数据。使用 Header 中指定的算法和一个密钥对 Header 和 Payload 进行签名,确保令牌的完整性和安全性。
net coreJWT
qq_43826626的博客
03-28 1709
在开发程序中需要,通常需要对程序进行身份验证和授权,JWT是一种安全传输标准,各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。通常的办法是使用session来实现,用户登陆后,生成唯一session保存在服务器内存中,当浏览器再次访问时,http中携带了session,服务器根据该id取到信息实现缺点:用户过多占用服务器资源 每次响应都要向服务器获取一次session。
.net core 3.1 jwt刷新token
07-05
.net core 3.1 jwt刷新token
ASP.NETCore——JWT
ahao214——Dreamspace
02-05 411
ASP.NETCore——JWT
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
.NET Core 3.1中开发Web API时,JWT(JSON Web ...以上就是.NET Core 3.1 Web API使用JWT授权认证的基本步骤。通过这种方式,我们可以确保API的安全性,并且与Swagger的集成使得API的测试和文档管理变得更加便捷。
通用权限管理系统Netcore3.1 精确到按钮 jwt验证 多会员 样式美观 前端layuiAdmin
04-12
后端:netcore3.1 可垮平台部署 数据库:sqlserver 数据框架:dapper 缓存:Redis 支持多数据库,db,mysql,mssql; 采用领域驱动设计模型方式设计,精确控制到按钮层级,登录采用jwt验证。可多级别会员,用户...
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境中实现JWT认证。 首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
aspnet-core-3-jwt-authentication-api:ASP.NET Core 3.1 JWT身份验证API
01-30
aspnet-core-3-jwt-authentication-api ASP.NET Core 3.1-JWT身份验证API 有关文档和说明,请查看
net core 使用jwt
qq_51172697的博客
04-29 1689
1. 安装必要的包首先,确保你的.NET Core项目中安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
.NET CORE 3.1 集成JWT鉴权和授权
书中自有妍如玉的博客
03-28 1486
官网:JWT:全称是JSON Web Token是目前最流行的跨域身份验证、分布式登录、单点登录等解决方案。通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有访问api的权限。授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。在身份验证中,当用户使用其凭据成功登录时,将返回JSON Web令牌。由于令牌是凭证,因此必须非常小心以防止出现安全问题。
.net core 3.1 使用jwt完成登录验证
热门推荐
qq_26900081的博客
01-14 1万+
nuget安装:Microsoft.AspNetCore.Authentication.JwtBearer 3.1.0 版本 一、添加配置文件 "Authentication": { "JwtBearer": { "IsEnabled": "true", "SecurityKey": "Demo_C421AAEE0D114E9C1", "Iss...
.NET core3.0 使用Jwt保护api
爱无止
11-26 282
摘要: 本文演示如何向有效用户提供jwt,以及如何在webapi中使用该token通过JwtBearerMiddleware中间件对用户进行身份认证。 认证和授权区别? 首先我们要弄清楚认证(Authentication)和授权(Authorization)的区别,以免混淆了。认证是确认的过程中你是谁,而授权围绕是你被允许做什么,即权限。显然,在确认允许用户做什么之前,你需要知道他们是谁...
基于.NetCore3.1系列 —— 认证方案之初步认识JWT
无名指的约定
12-23 498
现在越来越多的项目或多或少会用到JWT,为什么会出现使用JWT这样的场景的呢? 假设现在有一个APP,后台是分布式系统。APP的首页模块部署在上海机房的服务器上,子页面模块部署在深圳机房的服务器上。此时你从首页登录了该APP,然后跳转到子页面模块。session在两个机房之间不能同步,用户是否需要重新登录? 传统的方式(cookie+session)需要重新登录,用户体验不好。session共享(在多台物理机之间传输和复制session)方式对网络IO的压力大,延迟太长,用户体验也不好。 ...
.net coreJWT(一)
q3230034的博客
08-02 779
前言 jwt是无状态,jwt信息只需要保存在客户端,无状态登录优势:分布式部署,jwt是通过token进行,jwt最重要部分是数字数字签名(VERIFY SIGNATURE),数字签名是通过非对称加密算法RSA,需要通过服务器私钥进行验证,如果私钥不丢失,基本上绝对安全(因为token是明文)。 JWT优缺点 优点:无状态,简单,方便,完美支持分布式部署 非对称加密,Token安全性高 缺点:1:因为是无状态,一经发布无法取消。(无解) 2:明文传递,token安全性低,知识通过base64加密 (使用ht
NETCore使用JWT
qq_40600379的博客
07-03 8682
NETCore使用JWT 什么是JWT? ​ JSON Web Token(简称JWT),是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。 JWT常用于哪些场景? ​ 授权:适用于单点登录。例:当用户登录成功时,服务器会返回一个token给当前登录用户,且用户登录后访问系统的各个模块都应携带该token进行请求,当token过期时,则不允许用户访问系统模块。 ​ 信息交换:jwt是各端(客户端、服务器端)之间安全地传输信息的好方法。因
*** Core 3.1 JWT认证实现与调用示例
资源摘要信息:"本资源是一个关于*** Core 3.1JWT认证机制的演示项目。JWT(JSON Web Tokens)是一种开放标准(RFC 7519),用于在网络应用环境间安全地传输信息。该机制为API安全提供了有效的方式,常用于Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Deeeelete

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值