三、JWT(JSON Web Tokens)令牌(token)

已于 2022-09-19 09:47:44 修改
阅读量3.7k 收藏 6
点赞数
分类专栏: .NET CORE API 文章标签: json
于 2022-03-18 17:34:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37894611/article/details/123575644
版权

一、什么是JWT

根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。它是一种用于双方之间传递安全信息的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的、自包含的方法,从而使通信双方实现以JSON对象的形式安全的传递信息。

二、在appsettings.json中配置jwt参数的值

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "AppSettings": {
    //数据库连接字符串
    "ConnectionStrings": "Server=127.0.0.1;User Id=id;Password=pwd;Database=dbname;",
    //jwt参数配置
    "JwtSetting": {
      "Issuer": "jwtIssuer", //颁发者
      "Audience": "jwtAudience", //可以给哪些客户端使用
      "SecretKey": "jwtsecretkeysixteen" //加密的Key,大于16位的字符串
    }
  }
}

 三、新建用户信息类TokenModel.cs

namespace Model
{
    /// <summary>
    /// 令牌
    /// </summary>
    public class TokenModel
    {
        /// <summary>
        /// ID
        /// </summary>
        public string? Uid { get; set; }
        /// <summary>
        /// 角色
        /// </summary>
        public string? Role { get; set; }
    }
}

四、新建JwtHelper.cs辅助类,并在Nuget添加包

IdentityModel,

Microsoft.AspNetCore.Authentication.JwtBearer,

Microsoft.AspNetCore.Authorization

using Microsoft.IdentityModel.Tokens;
using Model;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

namespace Common
{
    public class JwtHelper
    {
        /// <summary>
        /// 颁发JWT字符串
        /// </summary>
        /// <param name="tokenModel"></param>
        /// <returns></returns>
        public static string IssueJwt(TokenModel tokenModel)
        {
            //获Appsetting 
            //文章地址:https://blog.csdn.net/m0_37894611/article/details/123526554?spm=1001.2014.3001.5501            
            string iss = AppSetting.app(new string[] { "AppSettings", "JwtSetting", "Issuer" });//颁发者
            string aud = AppSetting.app(new string[] { "AppSettings", "JwtSetting", "Audience" });//可以给哪些客户端使用
            string secret = AppSetting.app(new string[] { "AppSettings", "JwtSetting", "SecretKey" });//加密的Key

            //定义需要使用的Claim
            var claims = new List<Claim>
            {
                new Claim(JwtRegisteredClaimNames.Jti, $"{tokenModel.Uid}"),
                new Claim(JwtRegisteredClaimNames.Iat, $"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}"),
                new Claim(JwtRegisteredClaimNames.Nbf,$"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}"),
                //这个就是过期时间,目前是过期180秒,可自定义,注意JWT有自己的缓冲过期时间
                new Claim (JwtRegisteredClaimNames.Exp,$"{new DateTimeOffset(DateTime.Now.AddSeconds(180)).ToUnixTimeSeconds()}"),
                new Claim(ClaimTypes.Expiration, DateTime.Now.AddSeconds(180).ToString()),
                new Claim(JwtRegisteredClaimNames.Iss,iss),
                new Claim(JwtRegisteredClaimNames.Aud,aud),
            };

            // 可以将一个用户的多个角色全部赋予;
            #pragma warning disable CS8602 // 解引用可能出现空引用。
            claims.AddRange(tokenModel.Role.Split(',').Select(s => new Claim(ClaimTypes.Role, s)));
            #pragma warning restore CS8602 // 解引用可能出现空引用。

            //秘钥 (SymmetricSecurityKey 对安全性的要求,密钥的长度太短会报出异常)
            var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret));
            var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

            var jwt = new JwtSecurityToken(
                issuer: iss,
                claims: claims,
                signingCredentials: creds);

            var jwtHandler = new JwtSecurityTokenHandler();
            var encodedJwt = jwtHandler.WriteToken(jwt);

            return encodedJwt;
        }

        /// <summary>
        /// 解析
        /// </summary>
        /// <param name="jwtStr"></param>
        /// <returns></returns>
        public static TokenModel SerializeJwt(string jwtStr)
        {
            var jwtHandler = new JwtSecurityTokenHandler();
            JwtSecurityToken jwtToken = jwtHandler.ReadJwtToken(jwtStr);
            object role;
            try
            {
#pragma warning disable CS8600 // 将 null 字面量或可能为 null 的值转换为非 null 类型。
                jwtToken.Payload.TryGetValue(ClaimTypes.Role, out role);
#pragma warning restore CS8600 // 将 null 字面量或可能为 null 的值转换为非 null 类型。
            }
            catch (Exception e)
            {
                Console.WriteLine(e);
                throw;
            }
            var tm = new TokenModel
            {
                Uid = jwtToken.Id.ToString(),
                Role = role != null ? role.ToString() : "",
            };
            return tm;
        }
    }
}

五、UserController新建Login接口,用来获取token

using Common;
using Microsoft.AspNetCore.Mvc;
using Model;

namespace MainProject.Controllers
{
    /// <summary>
    /// 用户控制器
    /// </summary>
    [Route("[controller]/[action]")]
    [ApiController]
    public class UserController : ControllerBase
    {
        /// <summary>
        /// 登录验证
        /// </summary>
        /// <param name="role">用户角色,通常是通过账号密码验证后获取,这里测试直接当做参数</param>
        /// <returns></returns>
        [HttpGet]
        public IActionResult Login(string role)
        {
            string jwtStr = string.Empty;
            bool suc = false;

            if (role != null)
            {
                // 将用户id和角色名,作为单独的自定义变量封装进 token 字符串中。
                TokenModel tokenModel = new TokenModel { Uid = "123", Role = role };
                jwtStr = JwtHelper.IssueJwt(tokenModel);//获取到一定规则的 Token 令牌
                suc = true;
            }
            else
            {
                jwtStr = "login fail!!!";
            }

            return Ok(new
            {
                success = suc,
                token = jwtStr
            });
        }
    }
}

运行项目。使用swagger调用Login接口成功得到token,如下图

 六、得到token字符串后,我们在调用业务接口就必定要输入token令牌,平时我们只需要在Header中添加Authorization属性,但在Swagger作为接口文档时,我们需要在Program.cs添加以下代码。


builder.Services.AddSwaggerGen(options =>
{
#region 在接口中添加token
        options.OperationFilter<SecurityRequirementsOperationFilter>();
        //Token绑定到ConfigureServices
        options.AddSecurityDefinition("oauth2", new OpenApiSecurityScheme
        {
            Description = "JWT授权(数据将在请求头中进行传输) 直接在下框中输入Bearer {token}(注意两者之间是一个空格)\"",
            Name = "Authorization",//jwt默认的参数名称
            In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
            Type = SecuritySchemeType.ApiKey
        });
}
//jwt授权验证
builder.Services.AddAuthorizationSetup();

//注意中间件的顺序,UseRouting放在最前边,UseAuthentication在UseAuthorization前边
app.UseRouting();

app.UseAuthentication();

app.UseAuthorization();

运行,就可以在 swagger/index.html 页面里看到这个Token入口了:

 七、JWT授权认证,新建AuthorizationSetup.cs,新建注册服务方法

using Common;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;

namespace MainProject.Setup
{
    /// <summary>
    /// 注册JWT服务方法
    /// </summary>
    public static class AuthorizationSetup
    {
        /// <summary>
        /// 
        /// </summary>
        /// <param name="services"></param>
        /// <exception cref="ArgumentNullException"></exception>
        public static void AddAuthorizationSetup(this IServiceCollection services)
        {
            if (services == null) throw new ArgumentNullException(nameof(services));

            // 1【授权】、这个和上边的异曲同工,好处就是不用在controller中,写多个 roles 。
            // 然后这么写 [Authorize(Policy = "Admin")]
            //services.AddAuthorization(options =>
            //{
            //    options.AddPolicy("User", policy => policy.RequireRole("User").Build());
            //    options.AddPolicy("SystemOrAdmin", policy => policy.RequireRole("Admin", "System"));
            //});

            //读取配置文件
            var symmetricKeyAsBase64 = AppSetting.app(new string[] { "AppSettings", "JwtSetting", "SecretKey" });
            var keyByteArray = Encoding.ASCII.GetBytes(symmetricKeyAsBase64);
            var signingKey = new SymmetricSecurityKey(keyByteArray);
            var Issuer = AppSetting.app(new string[] { "AppSettings", "JwtSetting", "Issuer" });
            var Audience = AppSetting.app(new string[] { "AppSettings", "JwtSetting", "Audience" });

            // 令牌验证参数
            var tokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,
                IssuerSigningKey = signingKey,
                ValidateIssuer = true,
                ValidIssuer = Issuer,//发行人
                ValidateAudience = true,
                ValidAudience = Audience,//订阅人
                ValidateLifetime = true,
                ClockSkew = TimeSpan.FromSeconds(30),
                RequireExpirationTime = true,
            };

            //2.1【认证】、core自带官方JWT认证
            // 开启Bearer认证
            services.AddAuthentication("Bearer")
             // 添加JwtBearer服务
             .AddJwtBearer(o =>
             {
                 o.TokenValidationParameters = tokenValidationParameters;
                 o.Events = new JwtBearerEvents
                 {
                     OnAuthenticationFailed = context =>
                     {
                         // 如果过期,则把<是否过期>添加到,返回头信息中
                         if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
                         {
                             context.Response.Headers.Add("Token-Expired", "true");
                         }
                         return Task.CompletedTask;
                     }
                 };
             });
        }
    }
}

在Program.cs添加以下代码,在第六点代码中已写好,取消注释即可,注意位置

 //jwt授权验证
services.AddAuthorizationSetup();
app.UseRouting();
app.UseAuthentication();

八、测试,接口

        /// <summary>
        /// 需要Admin权限
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        [Authorize(Roles = "Admin")]
        public IActionResult Admin()
        {
            return Ok("hello admin");
        }


        /// <summary>
        /// 需要System权限
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        [Authorize(Roles = "System")]
        public IActionResult System()
        {
            return Ok("hello System");
        }

F5运行项目,获取一个Admin权限的token,并放到swagger 的权限验证按钮里面

 测试可知可以成功调取Admin,而System则会失败。

加入多角色怎么处理?我们把第七点注释代码取消注释,详情看代码,自行理解。即多角色访问,的代码如下图

上一章:二、读取appsettings.json配置_XiaoGuaiSs的博客-CSDN博客_读取appsettings.json一、什么是JWT根据维基百科定义,JWT(读作 [/dʒɒt/]),即JSON Web Tokens,是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。一、创建项目,本章主要讲的是接口文档在线生成工具Swagger,需要创建WebAPI项目,点击下一步二、输入项目名称和选择项目存储位置,点击下一步三、取消勾选“配置HTTPS“项,勾选"启用OpenAPI支持"项,点击创建...一、使用Swagger(接口文档工具)_XiaoGuaiSs的博客-CSDN博客。六、运行测试结果如下。https://blog.csdn.net/m0_37894611/article/details/123526554?spm=1001.2014.3001.5501 下一章:四、仓储模式_XiaoGuaiSs的博客-CSDN博客_仓储模式一、什么是仓储(Respository)仓储(Respository)是存在于工作单元和数据库之间单独分离出来的一层,是对数据访问的封装。其优点:    1)业务层不需要知道它的具体实现,达到了分离关注点。    2)提高了对数据库访问的维护,对于仓储的改变并不会改变业务的逻辑,数据库可以用Sql Server(该系列博客使用)、MySql等。二、目录结构三、目录解析1、Common:公共层:用于封装一些常用公用方法2、Models数据层:用于...https://blog.csdn.net/m0_37894611/article/details/123636501

Yonfly
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jjwt令牌(Java JSON Web Token)
weixin_44773418的博客
04-16 4833
JWT JSON Web TokenJWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。 一个JWT实际上就是一个字符串,它由部分组成,头部、载荷与签名。 头部(Header) 头部用于描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象。 {"typ":"JWT","alg":"HS256"} 在头部指明...
JSON Web Token (JWT)
m0_67476502的博客
05-16 189
1. JWT是什么 前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。3. JWT的工作原理 1. 是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户,示例如下: {"UserName": "Chongchong","Role": "Admin","Expire": "2018-08-08 20:15:56"} 2. 之后,当用户与服务器通信时,客户在请求中发回JSON对象JWT 3...
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端,后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWTToken). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
ASP.NET Core 3.1 JWT token实现与应用
04-25
Core 3.1 JWT token实现与应用
IdentityServer4实战 - JWT Issuer 详解
最新发布
wm111的专栏
06-04 62
本文为系列补坑之作,拖了许久决定先把坑填完。下文演示所用代码采用的 IdentityServer4 版本为 2.3.0,由于时间推移可能以后的版本会有一些改动,请参考查看,文末附上Demo代码。本文所诉Token如无特殊说明皆为 JWT。众所周知 JWT Token部分组成,第一部分 Header,包含 keyid、签名算法、Token类型;第二部分 Payload 包含 Token 的信息主体,如授权时间、过期时间、颁发者、身份唯一标识等等;第部分是Token的签名。
JWT令牌的介绍
快乐学习
08-22 3319
在以前用cookie认证时候,会把状态信息什么的储存在服务器里面,随着用户越来越多,这是token验证的一种令牌。叫身份验证令牌。在前后端分离的架构中常用。Cookie会造成服务器的压力。那么jwt就出来了,你什么时候来,我什么时候给你颁发一个认证授权访问的令牌就好,不会储存在服务器里面。啪,给你盖章通过认证了,你可以带着这个令牌请求去访问我们服务器的资源了。jwt令牌是无状态的,随时访问随时给令牌认证,一次性的,所以单点登录很适合。不会给服务器造成压力。
JWT令牌
qiumin的博客
07-14 3280
jwt令牌,前后端分离场景中常用于不同系统的信息交换,效率高于sesion
delphi-jose-jwt:JOSE(JSON对象签名和加密)和JWTJSON Web令牌)的Delphi实现
04-30
JWTJSON Web令牌)和JOSE(JSON对象签名和加密)规范套件的实现。 该库通过几种JOSE算法支持JWS(已计划JWE支持)紧凑序列化。 :books: 有关使用Delphi-JOSE的文章 -JWT和身份验证技术介绍(使用Delphi) -...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一个JSON对象。这个信息可以被验证和信任,因为它是数字签名的。JWT可用于身份验证、授权,以及...
web api JWT token认证
04-24
JWTJSON Web Tokens)是一种轻量级的身份验证和授权机制,它允许客户端通过在请求头中发送一个令牌来证明其身份。下面将详细解释这个主题。 1. **JWT Token简介** JSON Web Token部分组成:头部(Header)、...
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
在C#中,我们可以使用ASP.NET Core Identity或JWTJSON Web Tokens)来创建和验证这些令牌。 1. **C#中的Token验证**: - ASP.NET Core Identity:这是.NET框架提供的一个身份管理库,支持用户注册、登录、密码...
JWT--JSON-Web-Token-implementation--encryption-decryption:JSON Web令牌实现(JWT)加密解密技术
05-02
使用JWT加密和解密文本使用JWT的加密和解密技术在命令提示符下的应用程序的根目录中运行以下命令。 节点服务器您可以在控制台中看到加密的文本和解密的文本您可以使用加密技术,让我们看一下[Crypto-encryption-...
JWT介绍及JWT令牌结构详解
学亮编程手记
08-03 803
是一个开放的行业标准(RFC 7519),它定义了一种简介的、自包含的协议格式,用于在通信双方传递json对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名,防止被篡改。官网:1、jwt基于json,非常方便解析。2、可以在令牌中自定义丰富的内容,易扩展。3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。4、资源服务使用JWT可不依赖认证服务即可完成授权。1、JWT令牌较长,占存储空间比较大。
jwttoken令牌管理机制)
weixin_52361952的博客
08-02 467
jwttoken令牌管理机制)
JWT令牌技术快速入门
2301_79024228的博客
07-12 1689
JWT的组成: (JWT令牌个部分组成,个部分之间使用英文的点来分割) - 第一部分:Header(头), 记录令牌类型、签名算法等。 例如:{"alg":"HS256","type":"JWT"} - 第二部分:Payload(有效载荷),携带一些自定义信息、默认信息等。 例如:{"id":"1","username":"Tom"} - 第部分:Signature(签名),防止Token被篡改、确保安全性。将header、payload,并加入指定秘钥,通过指定签名算法计算而来。
JWT令牌技术(详解)
m0_63144319的博客
06-23 850
JWT令牌技术
JWT令牌技术
不能再留遗憾了的博客
03-10 1476
JWT令牌技术实现用户登录信息的验证
理解与应用JSON Web Tokens(JWT
JWTJSON Web Token)是一种轻量级的身份验证协议,用于在各方之间安全地传输信息。该文档提供了JWT的基本概念、实际应用场景以及详细的技术实现。 1. **JWT简介** - JSON Web Token是一种开放标准(RFC 7519),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值