JWT的简单使用—扩展(菜鸡随笔)

已于 2023-04-18 22:40:47 修改
阅读量263 收藏
点赞数
分类专栏: .Net(C#) JWT 文章标签: asp.net c#
于 2023-04-18 21:49:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kusse/article/details/130232147
版权

JWT的简单使用—扩展(菜鸡随笔)

除了基本的身份认证和授权方案,ASP.NET Core还提供了更高级、更全面的身份认证和授权方案,例如自定义身份认证和授权、多因素身份认证、声明式策略等。在本篇文章中,我们将介绍这些高级身份认证和授权方案的实现。

声明式策略

声明式策略是一种比较灵活的授权方案,它允许用户根据声明信息

对API端点或控制器进行访问控制。在ASP.NET Core中,可以使用策略(Policy)和声明(Claim)来实现声明式策略。

配置策略

要配置策略,需要在Startup.cs文件中的ConfigureServices方法中调用AddAuthorization方法,并使用AddPolicy方法添加策略。例如:

services.AddAuthorization(options => {
    options.AddPolicy("MyPolicy", policy => {
        policy.RequireClaim(ClaimTypes.Role, "Admin");
    });
});

在上面的代码中,我们首先使用AddAuthorization方法添加授权方案。然后,在AddPolicy方法中添加名为“MyPolicy”的策略,该策略要求用户必须具有Role声明并且值为“Admin”。

应用策略

要应用策略,可以在需要进行鉴权的API端点或控制器上,使用Authorize属性来应用策略。例如:

[HttpGet("my-action")]
[Authorize(Policy = "MyPolicy")]
public IActionResult MyAction() {
    return Ok("Hello World");
}

这样,只有满足“MyPolicy”策略的用户才能访问MyAction方法。

多因素身份认证

多因素身份认证是一种比较安全的身份认证方式,它需要用户提供多个验证因素来证明其身份。常见的验证因素包括密码、短信验证码、指纹等。

在ASP.NET Core中,可以使用AddAuthentication方法的AddScheme方法来实现多因素身份认证。例如:

// 添加身份验证服务
services.AddAuthentication(options =>
{
    options.DefaultScheme = MultiFactorDefaults.AuthenticationScheme;
}).AddScheme<MultiFactorOptions, MultiFactorHandler>(MultiFactorDefaults.AuthenticationScheme, configureOptions =>
{
    // 配置多因素身份认证选项
    configureOptions.Secret = Configuration["MultiFactor:Secret"];
    configureOptions.Issuer = Configuration["MultiFactor:Issuer"];
    configureOptions.Audience = Configuration["MultiFactor:Audience"];
});

// 添加授权策略服务
services.AddAuthorization(options =>
{
options.AddPolicy("AdminOnly", policy =>
{
    policy.Requirements.Add(new RoleRequirement());
});

options.AddPolicy("TwoFactorEnabled", policy => { // 添加自定义的身份验证需求类 policy.Requirements.Add(new TwoFactorRequirement()); }); });services.AddSingleton<IAuthorizationHandler, RoleHandler>();
    services.AddSingleton<IAuthorizationHandler, TwoFactorHandler>();

    // 注册UserService服务
    services.AddScoped<IUserService, UserService>();

    // 注册HttpContextAccessor服务
    services.AddHttpContextAccessor();

    // 注册MVC服务
    services.AddControllersWithViews();
}

在上面的代码中,我们使用AddAuthentication方法添加认证方案,并指定默认的身份验证和挑战方案。

然后,在AddScheme方法中添加多因素身份认证方案,需要指定多因素身份认证方案的名称、多因素身份认证逻辑处理器、以及任何自定义参数。

在Controller或Action上应用授权策略

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;

[Authorize(Policy = "TwoFactorEnabled")]
public class HomeController : Controller
{
    private readonly IUserService _userService;
    public HomeController(IUserService userService)
    {
        _userService = userService;
    }

    public IActionResult Index()
    {
        var user = _userService.GetUser(User.Identity.Name);
        return View(user);
    }
}

在这个示例中,我们首先在ConfigureServices方法中添加了身份验证服务和授权策略服务。

在身份验证服务中,我们调用AddAuthentication方法来添加一个自定义的身份验证方案,并设置其为默认方案。

然后,使用AddScheme方法将MultiFactorOptions和MultiFactorHandler类型注册到服务容器中,以便在需要时能够进行注入。

在授权策略服务中,我们添加了"AdminOnly"和"TwoFactorEnabled"两个授权策略,分别表示只有具备"Admin"角色和启用了多因素身份认证的用户才能通过授权。

接着,我们使用AddSingleton方法将RoleHandler和TwoFactorHandler注册为授权处理程序,以便在授权过程中使用。

最后,在HomeController类中,我们将Authorize属性标记为需要"TwoFactorEnabled"授权策略才能访问。当用户尝试访问该Action时,它们必须满足TwoFactorRequirement,即必须启用了多因素身份认证才能通过授权。

配置自定义认证选项

配置自定义认证选项可以帮助我们更好地控制应用程序中的身份认证流程。例如,我们可以配置JWT Token的过期时间、签名密钥、颁发者等参数。

要配置自定义认证选项,需要创建一个类,并继承AuthenticationSchemeOptions

自定义身份认证和授权

在某些情况下,基本的身份认证和授权方案无法满足需求,需要自定义身份认证和授权方案。

在ASP.NET Core中,可以通过实现自定义认证处理程序(Authentication Handler)来实现自定义身份认证和授权方案。

实现自定义认证处理程序

using Azure.Core;
using Microsoft.AspNetCore.Authentication;
using Microsoft.Extensions.Logging;
using Microsoft.Extensions.Options;
using System.Security.Claims;
using System.Text.Encodings.Web;
public class MyAuthenticationHandler : AuthenticationHandler<MyAuthenticationOptions>
{
    private readonly IUserService _userService;

    public MyAuthenticationHandler(IOptionsMonitor<MyAuthenticationOptions> options, ILoggerFactory logger, UrlEncoder encoder, ISystemClock clock, IUserService userService) : base(options, logger, encoder, clock)
    {
        _userService = userService;
    }

    protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
    {
        // 获取请求头中的Authorization信息,这里假设Authorization信息为“Bearer {Token}”
        string authorization = Request.Headers["Authorization"];

        if (string.IsNullOrEmpty(authorization) || !authorization.StartsWith("Bearer "))
        {
            return AuthenticateResult.Fail("Invalid Authorization header");
        }

        string token = authorization.Substring("Bearer ".Length).Trim();

        try
        {
            // 根据Token验证用户身份
            var user = await _userService.ValidateToken(token);

            if (user == null)
            {
                return AuthenticateResult.Fail("Invalid token");
            }

            // 创建ClaimsIdentity对象,并添加用户的声明信息
            var claims = new List<Claim> {
                new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()),
                new Claim(ClaimTypes.Name, user.Username),
                new Claim(ClaimTypes.Role, user.Role)
            };

            var identity = new ClaimsIdentity(claims, Scheme.Name);

            // 返回AuthenticateResult对象
            var principal = new ClaimsPrincipal(identity);
            var ticket = new AuthenticationTicket(principal, Scheme.Name);

            return AuthenticateResult.Success(ticket);
        }
        catch (Exception ex)
        {
            Logger.LogError(ex, "Failed to authenticate user");
            return AuthenticateResult.Fail("Authentication failed");
        }
    }
}


public static class MyAuthenticationDefaults
{
    public const string AuthenticationScheme = "MyAuthentication";
    public const string DisplayName = null;
    public const string ChallengeScheme = null;
}
public class MyAuthenticationOptions : AuthenticationSchemeOptions
{
    public string Secret { get; set; }
    public string Issuer { get; set; }
    public string Audience { get; set; }
    public bool RequireHttpsMetadata { get; set; } = true;
    public int ClockSkewMinutes { get; set; } = 5;

    public MyAuthenticationOptions()
    {
        // 设置默认值
        AuthenticationScheme = MyAuthenticationDefaults.AuthenticationScheme;
        AutomaticAuthenticate = true;
        AutomaticChallenge = true;
    }
}

在构造函数中,我们注入了IUserService服务,用于验证用户的Token。HandleAuthenticateAsync方法首先从请求头中获取Authorization信息,并提取出Token部分。然后,使用_userService服务验证Token,并获取到对应的用户信息。如果验证失败或者用户不存在,则返回AuthenticateResult.Fail结果。

如果验证成功,则创建一个新的ClaimsIdentity对象并添加用户的声明信息,这些声明信息包括用户的ID、用户名和角色等。然后,使用AuthenticationTicket对象创建一个新的认证票据,并将其作为AuthenticateResult.Success结果返回。

MyAuthenticationDefaults类是一个静态类,其中包含了自定义身份验证方案的默认值,包括身份验证方案名称、显示名称和授权方案名称等。

MyAuthenticationOptions类是一个自定义选项的容器类,它包含了一些常见的选项,比如JWT的Secret、Issuer和Audience等,以及其他一些控制身份验证处理程序行为的选项。在构造函数中,我们设置了默认值,以确保这些选项在应用程序中始终存在并且可用。

注册自定义认证处理程序

要注册自定义认证处理程序,需要在Startup.cs文件中的ConfigureServices方法中调用AddAuthentication方法,并使用AddScheme方法添加自定义认证方案。例如:

services.AddAuthentication(options => {
    options.DefaultScheme = MyAuthenticationDefaults.AuthenticationScheme;
}).AddScheme<MyAuthenticationOptions, MyAuthenticationHandler>(MyAuthenticationDefaults.AuthenticationScheme, o => {
    o.TokenValidationParameters.ValidateIssuerSigningKey = true;
    o.TokenValidationParameters.IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Secret"]));
    o.TokenValidationParameters.ValidateIssuer = true;
    o.TokenValidationParameters.ValidIssuer = Configuration["Jwt:Issuer"];
    o.TokenValidationParameters.ValidateAudience = true;
    o.TokenValidationParameters.ValidAudience = Configuration["Jwt:Audience"];
    o.TokenValidationParameters.ClockSkew = TimeSpan.Zero;
});

在上面的代码中,我们通过o参数来设置自定义认证选项。具体来说,我们配置了TokenValidationParameters对象,用于验证JWT Token的签名、颁发者、接收者等信息。

其中,ValidateIssuerSigningKey、IssuerSigningKey、ValidateIssuer、ValidIssuer、ValidateAudience、ValidAudience和ClockSkew属性分别对应于TokenValidationParameters类中的相应属性,可以根据具体需求进行设置。

最后,在Configure方法中调用UseAuthentication方法启用身份验证中间件:

app.UseAuthentication();

这样,我们就可以使用自定义认证处理程序进行身份验证了。

自定义授权处理程序

添加一个自定义的身份验证需求类RoleRequirement和一个对应的授权处理程序RoleHandler。

public class RoleRequirement : IAuthorizationRequirement { }

public class RoleHandler : AuthorizationHandler<RoleRequirement> {
    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, RoleRequirement requirement) {
        if (!context.User.HasClaim(c => c.Type == ClaimTypes.Role)) {
            return Task.CompletedTask;
        }
        
        var roles = context.User.FindAll(c => c.Type == ClaimTypes.Role).Select(c => c.Value);
        
        if (roles.Any(r => r == "Admin")) {
            context.Succeed(requirement);
        }
        
        return Task.CompletedTask;
    }
}

RoleRequirement类实现了IAuthorizationRequirement接口,这个接口是所有身份验证需求类必须实现的。在这个类中,我们没有添加任何属性或方法,因为它只是一个标识性的类,表示需要具备特定角色的用户才能通过授权。

RoleHandler类继承自AuthorizationHandler类,并实现了HandleRequirementAsync方法来处理授权需求。在这个方法中,我们首先检查用户是否具有ClaimTypes.Role声明。如果没有,则返回Task.CompletedTask,表示授权失败。

如果用户具有ClaimTypes.Role声明,则从context.User对象中获取到所有的角色信息,并使用LINQ查询语句筛选出其中是否有"Admin"角色。如果有,则表示授权成功,可以调用context.Succeed(requirement)方法。

最后,无论授权成功或失败,都要返回Task.CompletedTask表示授权结果已经处理完毕。

使用方式
services.AddAuthentication(MyAuthenticationDefaults.AuthenticationScheme)
    .AddMyAuthentication(options => Configuration.GetSection("MyAuthentication").Bind(options));

services.AddAuthorization(options =>
{
    options.AddPolicy("AdminOnly", policy =>
    {
        policy.Requirements.Add(new RoleRequirement());
    });
});

services.AddSingleton<IAuthorizationHandler, RoleHandler>();

首先调用AddAuthentication方法添加自定义的身份验证方案,并将其作为默认的身份验证方案。然后,使用AddMyAuthentication方法来配置自定义选项,具体实现可以参考我的另一个回答。

接着,调用AddAuthorization方法添加授权策略服务,并创建一个名为"AdminOnly"的授权策略。在这个策略中,我们添加了一个RoleRequirement,表示需要具备特定角色的用户才能通过授权。

最后,我们使用AddSingleton方法将RoleHandler注册为授权处理程序,以便在授权过程中使用。

在某个Controller或Action上应用授权策略:

[Authorize(Policy = "AdminOnly")]
public class AdminController : Controller
{
    // ...
}

在这个示例中,我们将AdminController类标记为需要"AdminOnly"授权策略才能访问。当用户尝试访问该Controller时,它们必须满足RoleRequirement,即必须具备"Admin"角色才能通过授权。

这就是使用RoleHandler进行授权的基本步骤。当用户的角色信息发生变化时,授权策略会自动重新计算,以确保授权结果的准确性。

应用自定义认证和授权

要应用自定义认证和授权,可以在需要进行鉴权的API端点或控制器上,使用Authorize属性来应用策略。例如:

[HttpGet("my-action")]
[Authorize(AuthenticationSchemes = MyAuthenticationDefaults.AuthenticationScheme)]
public IActionResult MyAction() {
    return Ok("Hello World");
}

这样,只有通过自定义认证方案并获得有效身份凭证的用户才能访问MyAction方法。

完善自定义认证处理程序

在上面的代码中,我们创建了一个名为MyAuthenticationHandler的类,并重写了HandleAuthenticateAsync方法,用于验证用户身份并返回用户身份信息。为了增加可读性和可维护性,我们可以将一些散乱的逻辑片段封装到一个单独的服务中,例如IUserService服务:

using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

public interface IUserService
{
    Task<User> ValidateToken(string token);
}

public class UserService : IUserService
{
    private readonly IConfiguration _configuration;

    public UserService(IConfiguration configuration)
    {
        _configuration = configuration;
    }

    public async Task<User> ValidateToken(string token)
    {
        var secretKey = Encoding.UTF8.GetBytes(_configuration["Jwt:Secret"]);
        var issuer = _configuration["Jwt:Issuer"];
        var audience = _configuration["Jwt:Audience"];

        var tokenHandler = new JwtSecurityTokenHandler();

        try
        {
            tokenHandler.ValidateToken(token, new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = new SymmetricSecurityKey(secretKey),
                ValidateIssuer = true,
                ValidIssuer = issuer,
                ValidateAudience = true,
                ValidAudience = audience,
                ClockSkew = TimeSpan.Zero
            }, out SecurityToken validatedToken);

            var jwtToken = (JwtSecurityToken)validatedToken;

            return new User
            {
                Id = int.Parse(jwtToken.Claims.FirstOrDefault(x => x.Type == ClaimTypes.NameIdentifier)?.Value),
                Username = jwtToken.Claims.FirstOrDefault(x => x.Type == ClaimTypes.Name)?.Value,
                Role = jwtToken.Claims.FirstOrDefault(x => x.Type == ClaimTypes.Role)?.Value
            };
        }
        catch (Exception)
        {
            return null;
        }
    }
}

然后,在ConfigureServices方法中注册IUserService服务:

services.AddScoped<IUserService, UserService>();

在上面的代码中,我们创建了名为UserService的服务,并实现了ValidateToken方法,用于验证JWT Token并返回用户身份信息。

然后,在MyAuthenticationHandler中注入IUserService服务,并修改HandleAuthenticateAsync方法,使用IUserService服务来验证Token并返回用户身份信息:

结论

小小的补充,如有不足请多多指教,友善发言谢谢。

初秋的最后一道暖阳
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Lumen之JWT扩展
欢迎交流PHP和前端知识QQ:634487911
09-28 767
个人站点 :http://oldchen.iwulai.com/  JWT定义及其组成 官网链接:https://jwt.io/ JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私...
jwt扩展
weixin_30670965的博客
06-21 275
1、新建扩展类 package com.ireciting.uaaservice.config; import com.ireciting.uaaservice.pojo.TUser; import org.springframework.security.oauth2.common.DefaultOAuth2AccessToken; import org.springframew...
JWT 拓展
dengqiu2187的博客
12-03 91
JWT适用场景 https://www.jianshu.com/p/af8360b83a9f 适用于一次性操作的认证,颁布一个很短过期时间的JWT给浏览器。 无状态的JWT无法实现精确的在线人数统计。 建议使用https协议,因开销问题取决于公司。 利用cookie存储token需要注意 1、cookie有大小限制(通常为4k); 2、和浏览器有cookie数量...
php traint扩展,JWT 扩展具体实现详解
weixin_36478866的博客
03-12 299
2018/10/4:主要更新了中间件的区别那一部分,推荐使用 jwt.auth 中间件,虽然官网用的是 auth:api ,但是 jwt.auth 有着更加丰富的返回信息。tymon/jwt-auth 扩展是 Laravel 下能够很方便的实现 JWT token 的一个扩展使用和配置都很简单,但是网上的文档新版本的、旧版本的掺杂在一起,看起来十分混乱,因此我仔细比对源码整理了一个比较完整的安装...
关于jwt-auth扩展
weixin_34221775的博客
03-06 126
关于作者 程序开发人员,不拘泥于语言与技术,目前主要从事PHP和前端开发,使用Laravel和VueJs,App端使用Apicloud混合式开发。合适和够用是最完美的追求。 个人网站:http://www.linganmin.cn 最近刚写了一个手机在线播放的H5电影站:http://www.ifilm.ltd 介绍及官方文档 jwt...
基于JWT.NET的使用(详解)
08-28
"基于JWT.NET的使用详解" 1. 什么是JWTJWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于...
Django rest framework jwt使用方法详解
09-18
总结来说,Django Rest Framework JWT 提供了一套完整的解决方案,使开发者能够轻松地在 Django 项目中集成 JWT 认证,确保 REST API 的安全性和可扩展性。通过理解和正确配置 JWT,可以创建高效且安全的身份验证...
在SpringBoot中使用JWT的实现方法
08-26
SpringBoot 中使用 JWT 的实现方法 在本文中,我们将详细介绍如何在 SpringBoot 中使用 JSON Web Token(JWT)进行身份验证和授权。 什么是 JWT? JSON Web Token(JWT)是一种用于身份验证和授权的 token。它是...
详解JWT token心得与使用实例
10-16
- **可扩展性**:由于无状态,JWT适用于分布式系统或服务器集群,用户可以向任何节点发起请求,而不依赖特定服务器上的Session。 - **跨域支持**:由于基于HTTP标头传输,JWT易于实现跨域认证。 7. **Java 实例**...
Django项目中使用JWT的实现代码
09-18
在Django项目中集成JSON Web Token (JWT) 可以为用户提供无状态的身份验证,而无需使用传统的会话管理。JWT是一种轻量级的身份验证机制,适用于前后端分离的应用。以下是如何在Django项目中使用JWT的详细步骤: 1. ...
【Spring Security OAuth】--- JWT生成源码解读 + JWT扩展
nrsc
10-26 986
文章目录1 JWT生成源码解读1.1 spring security oauth生成token核心源码1.2 JWT生成的核心源码1.3 JWT自包含+密签源码2 JWT扩展 --- 往JWT里加入附加信息2.1 代码开发2.2 测试3 JWT扩展 --- 后端从JWT里取出附加信息4 JWT三大特点再理解5 refresh - token的使用 1 JWT生成源码解读 1.1 spring s...
05.扩展jwt
最新发布
refrain6666的博客
12-04 17
因为JwtAccessTokenConverter也是一个TokenEnhancer,他会从map中取出值,然后生成token。如果自定义的tokenEnhancer放在了JwtAccessTokenConverter的后面,那token已经生成了,所以就无效了。//配置扩展信息,一定要将自定义的TokenEnhancer放在前面,否则无效。
ASP.NET CORE 第十篇 JWT完美实现权限与接口的动态分配
雨中深巷的油纸伞
12-30 3601
原文作者:老张的哲学 一、JWT授权验证,我们经历了哪些 看过我写的这个第一个系列《前后端分离》的小伙伴都知道,我用到了JWT来实现的权限验证,目前已经达到什么程度的验证了呢,这里我经历了三个步骤: 这里强调下,如果你是第一次看这个文章,除非是有一定的基础,或者是一直跟着我的代码的,不然的话,会有点儿懵,如果不满足上边两个条件,请先看我之前的两篇文章,基础: 1、五 || Swagger...
JWT(详解)
weixin_44736637的博客
04-07 3万+
JWT
Jwt复杂策略认证 注意项
u012511100的博客
11-15 518
public static void AddAuthorizationSetup(this IServiceCollection services) { if (services == null) { throw new ArgumentNullException(nameof(services)); } var permissionRequirement = n.
搞懂 JWT 这个知识点
程序员成长指北
09-22 650
什么是 JWT概念JSON Web Token(简称 JWT)是目前最流行的跨域认证解决方案。JWT 原理JWT 组成JWT 由三部分组成:Header,Payload,Signatur...
JWT全面解读、使用步骤
热门推荐
陈袁的博客
06-27 8万+
JWT全面解读 JWT全面解读 前言 JWT基本使用 在pom.xml引入java-jwt 示例如下 概念介绍 JWT消息构成 头部 playload 标准中注册的声明 (建议但不强制使用) 自定义数据 签名signature JJWT 引入 使用方法 生成token 解析token 前言 JWT是json web token缩写。它将用户信息加密到toke...
认证授权方案之授权初识
dotNET跨平台
07-08 832
1.前言回顾:认证授权方案之JwtBearer认证 在上一篇中,我们通过JwtBearer的方式认证,了解在认证时,都是基于Cl...
JWT权限验证
qq_42832611的博客
03-16 1129
DotnetCore使用Jwt在awagger中进行权限验证
JWT Handbook: 安全使用与实践应用解析
手册还涵盖了JSON Web Encryption (JWE)、JSON Web Keys (JWK)和JSON Web Algorithms (JWA)等相关主题,以及最佳实践,旨在帮助读者深入理解JWT的工作原理和使用方法,以便在实际项目中安全有效地实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值