Blazor Json Web Token 身份验证与授权

最新推荐文章于 2024-06-19 13:07:35 发布
最新推荐文章于 2024-06-19 13:07:35 发布
阅读量4.7k 收藏 26
点赞数 3
分类专栏: Blazor
原文链接:https://zhuanlan.zhihu.com/p/356233449
版权

Blazor 身份验证与授权

身份验证

Blazor Server应用和 Blazor WebAssembly 应用的安全方案有所不同。

  • Blazor WebAssembly

Blazor WebAssembly 应用在客户端上运行。 由于用户可绕过客户端检查,因为用户可修改所有客户端代码, 因此授权仅用于确定要显示的 UI 选项,所有客户端应用程序技术都是如此。

  • Blazor Server

Blazor Server应用通过使用 SignalR 创建的实时连接运行。 建立连接后,将处理基于 SignalR 的应用的身份验证。 可基于 cookie 或一些其他持有者令牌进行身份验证。

授权

AuthorizeView 组件根据用户是否获得授权来选择性地显示 UI 内容。 如果只需要为用户显示数据,而不需要在过程逻辑中使用用户的标识,那么此方法很有用。

<AuthorizeView>
    <Authorized>
<!--验证通过显示-->
    </Authorized>
    <NotAuthorized>
<!--验证不通过显示-->
    </NotAuthorized>
</AuthorizeView>

Blazor 中使用Token

在Blazor WebAssembly模式下, 因为应用都在客户端运行,所以使用Token作为身份认证的方式是一个比较好的选择。 基本的使用时序图如下

对于安全要求不高的应用采用这个方法简单、易维护,完全没有问题。

但是Token本身在安全性上存在以下两个风险:

  1. Token无法注销,所以可以在Token有效期内发送的非法请求,服务端无能为力。
  2. Token通过AES加密存储在客户端,理论上可以进行离线破解,破解后就能任意伪造Token。

因此遇到安全要求非常高的应用时,我们需要认证服务进行Token的有效性验证

改造ToDo

接着我们对之前的ToDo项目进行改造,让他支持登录功能。

ToDo.Shared

先把前后端交互所需的Dto创建了

public class LoginDto
{
    public string UserName { get; set; }
    public string Password { get; set; }
}
public class UserDto
{
    public string Name { get; set; }
    public string Token { get; set; }
}

ToDo.Server

先改造服务端,添加必要引用,编写身份认证代码等

添加引用

  • Microsoft.AspNetCore.Authentication.JwtBearer

Startup.cs

添加JwtBearer配置

public void ConfigureServices(IServiceCollection services)
{
    //......
    services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuer = true,//是否验证Issuer
                ValidateAudience = true,//是否验证Audience
                ValidateLifetime = true,//是否验证失效时间
                ValidateIssuerSigningKey = true,//是否验证SecurityKey
                ValidAudience = "guetClient",//Audience
                ValidIssuer = "guetServer",//Issuer,这两项和签发jwt的设置一致
                IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("123456789012345678901234567890123456789"))//拿到SecurityKey
            };
        });
}

此处定义了Token的密钥,规则等,实际项目时可以将这些信息放到配置中。

AuthController.cs

行政验证控制器,用于验证用户身份,创建Token等。

[ApiController]
[Route("api/[controller]/[action]")]
public class AuthController : ControllerBase
{
    //登录
    [HttpPost]
    public UserDto Login(LoginDto dto)
    {
        //模拟获得Token
        var jwtToken = GetToken(dto.UserName);

        return new() { Name = dto.UserName, Token = jwtToken };
    }

    //获得用户,当页面客户端页面刷新时调用以获得用户信息
    [HttpGet]
    public UserDto GetUser()
    {
        if (User.Identity.IsAuthenticated)//如果Token有效
        {
            var name = User.Claims.First(x => x.Type == ClaimTypes.Name).Value;//从Token中拿出用户ID
            //模拟获得Token
            var jwtToken = GetToken(name);
            return new UserDto() { Name = name, Token = jwtToken };
        }
        else
        {
            return new UserDto() { Name = null, Token = null };
        }
    }

    public string GetToken(string name)
    {
        //此处加入账号密码验证代码

        var claims = new Claim[]
        {
            new Claim(ClaimTypes.Name,name),
            new Claim(ClaimTypes.Role,"Admin"),
        };

        var key = new SymmetricSecurityKey(System.Text.Encoding.UTF8.GetBytes("123456789012345678901234567890123456789"));
        var expires = DateTime.Now.AddDays(30);
        var token = new JwtSecurityToken(
            issuer: "guetServer",
            audience: "guetClient",
            claims: claims,
            notBefore: DateTime.Now,
            expires: expires,
            signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256));

        return new JwtSecurityTokenHandler().WriteToken(token);
    }
}

ToDo.Client

改造客户端,让客户端支持身份认证

添加引用

  • Microsoft.AspNetCore.Components.Authorization

AuthenticationStateProvider

AuthenticationStateProvider 是 AuthorizeView 组件和 CascadingAuthenticationState 组件用于获取身份验证状态的基础服务。 通常不直接使用 AuthenticationStateProvider,直接使用主要缺点是,如果基础身份验证状态数据发生更改,不会自动通知组件。其次是项目中总会有一些自定义的认证逻辑。 所以我们通常写一个类继承他,并重写一些我们自己的逻辑。

//AuthProvider.cs
public class AuthProvider : AuthenticationStateProvider
{
    private readonly HttpClient HttpClient;
    public string UserName { get; set; }

    public AuthProvider(HttpClient httpClient)
    {
        HttpClient = httpClient;
    }

    public async override Task<AuthenticationState> GetAuthenticationStateAsync()
    {
        //这里获得用户登录状态
        var result = await HttpClient.GetFromJsonAsync<UserDto>($"api/Auth/GetUser");

        if (result?.Name == null)
        {
            MarkUserAsLoggedOut();
            return new AuthenticationState(new ClaimsPrincipal());
        }
        else
        {
            var claims = new List<Claim>();
            claims.Add(new Claim(ClaimTypes.Name, result.Name));
            var authenticatedUser = new ClaimsPrincipal(new ClaimsIdentity(claims, "apiauth"));
            return new AuthenticationState(authenticatedUser);
        }
    }

    /// <summary>
    /// 标记授权
    /// </summary>
    /// <param name="loginModel"></param>
    /// <returns></returns>
    public void MarkUserAsAuthenticated(UserDto userDto)
    {
        HttpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("bearer", userDto.Token);
        UserName = userDto.Name;

        //此处应该根据服务器的返回的内容进行配置本地策略,作为演示,默认添加了“Admin”
        var claims = new List<Claim>();
        claims.Add(new Claim(ClaimTypes.Name, userDto.Name));
        claims.Add(new Claim("Admin", "Admin"));

        var authenticatedUser = new ClaimsPrincipal(new ClaimsIdentity(claims, "apiauth"));
        var authState = Task.FromResult(new AuthenticationState(authenticatedUser));
        NotifyAuthenticationStateChanged(authState);

        //慈湖可以可以将Token存储在本地存储中,实现页面刷新无需登录
    }

    /// <summary>
    /// 标记注销
    /// </summary>
    public void MarkUserAsLoggedOut()
    {
        HttpClient.DefaultRequestHeaders.Authorization = null;
        UserName = null;

        var anonymousUser = new ClaimsPrincipal(new ClaimsIdentity());
        var authState = Task.FromResult(new AuthenticationState(anonymousUser));
        NotifyAuthenticationStateChanged(authState);
    }
}

NotifyAuthenticationStateChanged方法会通知身份验证状态数据(例如 AuthorizeView)使用者使用新数据重新呈现。 HttpClient.DefaultRequestHeaders.Authorization = new AuthenticationHeaderValue("bearer", userDto.Token);将HTTP请求头中加入Token,这样之后所有的请求都会带上Token。

Program中注入AuthProvider服务,以便于其他地方使用

//Program.cs
builder.Services.AddScoped<AuthenticationStateProvider, AuthProvider>();

Program中配置支持的策略

builder.Services.AddAuthorizationCore(option =>
{
    option.AddPolicy("Admin", policy => policy.RequireClaim("Admin"));
});

登录界面

添加Login.razor组件,代码如下

<div style="margin:100px">
    <Spin Spinning="isLoading">
        @if (model != null)
        {
            <Form OnFinish="OnSave" Model="@model" LabelCol="new ColLayoutParam() {Span = 6 }">
                <FormItem Label="用户名">
                    <Input @bind-Value="context.UserName" />
                </FormItem>
                <FormItem Label="密码">
                    <Input @bind-Value="context.Password" Type="password" />
                </FormItem>
                <FormItem  WrapperColOffset="6">
                    <Button Type="@ButtonType.Primary" HtmlType="submit">登录</Button>
                </FormItem>
            </Form>
        }
    </Spin>
</div>
public partial class Login
{
    [Inject] public HttpClient Http { get; set; }
    [Inject] public MessageService MsgSvr { get; set; }
    [Inject] public AuthenticationStateProvider AuthProvider { get; set; }

    LoginDto model = new LoginDto();
    bool isLoading;

    async void OnLogin()
    {
        isLoading = true;

        var httpResponse = await Http.PostAsJsonAsync<LoginDto>($"api/Auth/Login", model);
        UserDto result = await httpResponse.Content.ReadFromJsonAsync<UserDto>();

        if (string.IsNullOrWhiteSpace(result?.Token) == false )
        {
            MsgSvr.Success($"登录成功");
            ((AuthProvider)AuthProvider).MarkUserAsAuthenticated(result);
        }
        else
        {
            MsgSvr.Error($"用户名或密码错误");
        }
        isLoading = false;
       InvokeAsync( StateHasChanged);
    }
}

登录界面代码很简单,就是向api/Auth/Login请求,根据返回的结果判断是否登入成功。 ((AuthProvider)AuthProvider).MarkUserAsAuthenticated(result);标记身份认证状态已经修改。

修改布局

修改MainLayout.razor文件

<CascadingAuthenticationState>
    <AuthorizeView>
        <Authorized>
            <Layout>
                <Sider Style="overflow: auto;height: 100vh;position: fixed;left: 0;">
                    <div class="logo">
                        进击吧!Blazor!
                    </div>
                    <Menu Theme="MenuTheme.Dark" Mode=@MenuMode.Inline>
                        <MenuItem RouterLink="/">
                            主页
                        </MenuItem>
                        <MenuItem RouterLink="/today" RouterMatch="NavLinkMatch.Prefix">
                            我的一天
                        </MenuItem>
                        <MenuItem RouterLink="/star" RouterMatch="NavLinkMatch.Prefix">
                            重要任务
                        </MenuItem>
                        <MenuItem RouterLink="/search" RouterMatch="NavLinkMatch.Prefix">
                            全部
                        </MenuItem>
                    </Menu>
                </Sider>
                <Layout Class="site-layout">
                    @Body
                </Layout>
            </Layout>
        </Authorized>
        <NotAuthorized>
            <ToDo.Client.Pages.Login></ToDo.Client.Pages.Login>
        </NotAuthorized>
    </AuthorizeView>
</CascadingAuthenticationState>

当授权通过后显示<AuthorizeView><Authorized>的菜单及主页,反之显示<NotAuthorized>Login组件内容。 当需要根据权限显示不同内容,可以使用<AuthorizeView>Policy属性实现,具体是在AuthenticationStateProvider中通过配置策略,比如示例中claims.Add(new Claim("Admin", "Admin"));就添加了Admin策略,在页面上只需<AuthorizeView Policy="Admin">就可以控制只有Admin策略的账户显示其内容了。 CascadingAuthenticationState级联身份状态,它采用了Balzor组件中级联机制,这样我们可以在任意层级的组件中使用AuthorizeView来控制UI了 AuthorizeView 组件根据用户是否获得授权来选择性地显示 UI 内容。 Authorized组件中的内容只有在获得授权时显示。 NotAuthorized组件中的内容只有在未经授权时显示。

修改_Imports.razor文件,添加必要的引用

@using Microsoft.AspNetCore.Components.Authorization

运行查看效果

flyingdream123
关注
  • 3
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Blazor与IdentityServer4的集成(二)
六十五号腕
08-24 1138
我们在上一篇Blazor与IdentityServer4的集成(一)中完成了基本的配置和登录登出的操作。 本篇主要完成授权的操作,包括: 未登录的用户访问特定页面时自动跳到登录页面 限定页面给不同的角色访问 根据不同的角色显示页面不同的区域 基于上一篇的实例,我们假定有两个角色,分别是管理员(Admin)和普通用户(User),普通用户可以访问Counter页面,管理员除了Counter页面还可以访问Fetch data页面。 1. 配置IdentityServer 首先要做的就是给用户加上角色定义,找
tungsten:JSON Web Token 身份验证 - 使用 expressjs 中间件
06-03
JSON Web Token 身份验证 - 使用 expressjs 中间件信息包裹钨描述JSON 网络令牌认证节点版本>= 0.10用法安装 npm install tungsten --save例子钨#session 连接/expressjs 风格的中间件app.use(tungsten.session())...
推荐:使用客户端Blazor实现安全身份验证的完美示例
gitblog_00043的博客
05-26 410
推荐:使用客户端Blazor实现安全身份验证的完美示例 项目地址:https://gitcode.com/chrissainty/AuthenticationWithClientSideBlazor 1、项目介绍 在现代Web开发中,确保应用程序的安全性是至关重要的。Authentication With client-side Blazor 是一个开源项目,它展示了如何利用客户端Blazor、W...
Blazor 中基于角色的授权
技术探索驿站
06-19 787
Blazor用于使用 .NET 代码库创建交互式客户端 Web UI。Microsoft 默认在 Blazor 应用程序中提供了一个用于身份验证授权的身份框架。请注意,他们目前使用 MVC Core Razor 页面作为身份验证 UI。使用“Microsoft.AspNetCore.Identity.UI”包库来实现这一点。将来,他们可能会用 Razor 组件替换它。在这篇文章中,我们可以看到如何为 Blazor 应用程序添加身份验证授权,并使用用户角色限制页面。我将逐步解释所有这些操作。
Blazor Service 实现身份验证
時雨的博客
06-27 1297
之前用 Blazor 做了几个小应用,但是一直没有去做身份验证系统,之前也没有ASP.NET的基础,C#也是最近学的,而且重要的是,网上居然几乎没有相关的资料,于是咱就结合网上的一些信息和微软的官方文档(微软的文档是我见过最好的文档了)做了一个身份鉴权的小Demo。在 Provider 下写自定义的基础认证服务,这里使用的session的形式做鉴权认证。Blazor 是微软的新型的web开发方案,用来做全栈开发真是太爽了。然后在项目的目录下创建Auth目录存放鉴权的基础设施。一个简单的登录页面示例;
Blazor WebAssembly身份认证与授权
catshitone的专栏
08-18 5467
文章目录1.简介2. 使用OIDC进行身份验证的流程3. 授权4. 验证库的使用4.1 配置依赖注入4.2 添加命令空间和js4.3 添加组件4.3.1 配置4.3.2 `RedirectToLogin`组件4.3.3 `LoginDisplay`组件5.常见组件和服务5.1 `Authentication`组件5.2 `AuthorizeView` 组件5.3 `AuthenticationStateProvider` 服务5.3.1 自定义`AuthenticationStateProvider`服务6
Blazor WebAssembly+Duende.IdentityServer+EF Core认证授权企业级实战
catshitone的专栏
08-24 3118
本文将从0开始介绍如何搭建一个适用于Blazor WASM应用的且基于OpenID和OAuth2.0的认证授权服务。我们会从创建空白项目一步一步开始,让大家了解到整个搭建流程,没有直接使用微软给定的认证模板或者IdentityServer的UI模板。 - 前端使用的是Blazor WebAssembly最新版本(基于 .net 5.0),主要我认为相对于Blazor Server来说,这个才是Web的未来。而且可以充分开会客户机的性能。 - 认证服务使用的Duende.IdentityServer
如何构建基于Azure AD认证和Microsoft Graph的简单Blazor Web应用
07-29 632
作为.NET开发者,我们都听说最近Blazor比较火。Blazor是一个使用.NET构建交互式客户端Web UI的框架。我们将在本篇博客中重点介绍Blazor Server,它提供了在ASP.NET Core应用程序中在服务器托管Razor组件的支持。通过SignalR连接更新UI。本篇示例的授权认证的部分就利用Azure AD来做,并会从Microsoft Graph获取数据。 前提条件 安装.NET Core 3.1 SDK,Visual Studio 2019或其他偏好的.NET IDE,还有就是Az
JWT(一)、几种常用的认证机制、理解JWTJSON Web Token)认证及实践
走在搬砖的路上!
07-03 3610
1 几种常用的认证机制 1.1HTTPBasic Auth HTTP Basic Auth在HTTP中,基本认证是一种用来允许Web浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式,通常用户名和明码会通过HTTP头传递。 在发送之前是以用户名追加一个冒号然后串接上口令,并将得出的结果字符串再用Base64算法编码。例如,提供的用户名是Aladdin、口令是open sesame,则拼接后的结果就是Aladdin:open sesame,然后再将其用Base64编...
使用 Blazor 开发内部后台(三):登录
dotNET跨平台
07-21 5109
James: 《使用Blazor开发内部后台》系列是技术社区中一位朋友投稿的系列文章,介绍自己为公司的 WebForm 遗留系统使用 Blazor 重写前端 UI 的经历。本文为第三篇,如...
JSON Web Token (前端与后端对话密钥生成文件)
06-28
token 生成文件,用于前后端数据传输时发送的密钥(暗语)。 直接解压后引用该文件即可 -- 后端在收到第一次请求的时候调用 私有的(p开头的) -- 前端发来密钥的时候调用 公用的进行判断是否正确 你也可以自己...
djangorestframework-simplejwt:用于 Django REST 框架的 JSON Web Token 身份验证插件
07-24
Django REST Framework SimpleJWT 是一个专门针对 Django REST 框架设计的 JSON Web Token (JWT) 身份验证插件。JWT 是一种安全的身份验证机制,它允许在客户端和服务端之间传输认证信息,而无需在每次请求时发送...
Json Web Token 介绍与基本使用完整源码
02-16
Json Web TokenJWT)是一种轻量级的身份验证授权机制,广泛应用于Web应用程序,特别是单页应用(SPA)和微服务架构中。JWT通过在客户端和服务器之间传递JSON编码的信息来实现用户认证,无需在服务器端存储会话...
JWT-Json Web Token-目前最流行跨域身份验证解决方案
04-25
JWT是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,...
供应链与生产制造L1-L4级高阶流程规划框架.pptx
最新发布
08-01
供应链与生产制造L1-L4级高阶流程规划框架.pptx
蓝牙BLE 4.0开发课程
08-01
蓝牙BLE 4.0课程
chromedriver-mac-x64_127.0.6493.0.zip
08-01
chromedriver-mac-x64_127.0.6493.0.zip
静态页面仿第五人格官网(简易版)
08-01
静态页面仿第五人格官网(简易版)
json web token
05-16
JSON Web Token (JWT) 是一种用于在网络上安全地传输信息的开放标准。它是一种基于 JSON 格式的轻量级身份验证授权机制,通常用于在客户端和服务器之间传递身份信息。JWT 包含了一些被称为声明的信息,这些声明可以用于验证身份和授权访问特定资源。JWT 通常包含三个部分:头部、载荷和签名。头部包含了令牌的元数据,载荷包含了用户身份信息,签名则用于验证令牌的真实性。JWT 通常与 OAuth2 和 OpenID Connect 等身份认证和授权协议一起使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值