编写自己的asp.net Jwt身份认证

已于 2023-12-20 17:42:18 修改
阅读量600 收藏 5
点赞数 12
文章标签: asp.net 后端 web app
于 2023-12-20 17:38:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37946533/article/details/135111694
版权
本文详细介绍了JWT的身份认证原理,包括jwttoken的格式、生成过程,以及如何在ASP.NET中使用SecurityTokenDescriptor。还讨论了如何将JWT传递到服务器并进行身份验证,以及API访问权限的设置方法。
摘要由CSDN通过智能技术生成

文章目录

jwt身份认证的原理

jwt token的格式

jwt token 的格式为 Header.Payload.VeritySignature.
实际jwt如下

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

用Json格式表示如下:

"jwt":{
	"header":{
				"alg": "HS256",
  				"typ": "JWT"
			}
	"payload":{
				"sub": "1234567890",
  				"name": "John Doe",
  				"iat": 1516239022
			}
	"VerifySignature":
			{
				HMACSHA256(base64UrlEncode(header) + "." +
						  base64UrlEncode(payload),  
						your-256-bit-secret).toBase64String()
			}
}

生成jwt

作为使用者,自己需要掌握SecurityTokenDescriptor类的参数,通过调用JsonWebTokenHandler().CreateToken(new SecurityTokenDescriptor() ) 来生成jwt。asp.net SecurityTokenDescriptor 的构造函数如下:

public class SecurityTokenDescriptor
{
    //
    // 摘要:
    //     Gets or sets the value of the 'audience' claim.
    public string Audience { get; set; }
    //
    // 摘要:
    //     Defines the compression algorithm that will be used to compress the JWT token
    //     payload.
    public string CompressionAlgorithm { get; set; }
    //
    // 摘要:
    //     Gets or sets the Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.EncryptingCredentials
    //     used to create a encrypted security token.
    public EncryptingCredentials EncryptingCredentials { get; set; }
    //
    // 摘要:
    //     Gets or sets the value of the 'expiration' claim. This value should be in UTC.
    public DateTime? Expires { get; set; }
    //
    // 摘要:
    //     Gets or sets the issuer of this Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.
    public string Issuer { get; set; }
    //
    // 摘要:
    //     Gets or sets the time the security token was issued. This value should be in
    //     UTC.
    public DateTime? IssuedAt { get; set; }
    //
    // 摘要:
    //     Gets or sets the notbefore time for the security token. This value should be
    //     in UTC.
    public DateTime? NotBefore { get; set; }
    //
    // 摘要:
    //     Gets or sets the token type. If provided, this will be added as the value for
    //     the 'typ' header parameter. In the case of a JWE, this will be added to both
    //     the inner (JWS) and the outer token (JWE) header. By default, the value used
    //     is 'JWT'. If Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.AdditionalHeaderClaims
    //     also contains 'typ' header claim value, it will override the TokenType provided
    //     here. This value is used only for JWT tokens and not for SAML/SAML2 tokens
    public string TokenType { get; set; }

    //
    // 摘要:
    //     Gets or sets the System.Collections.Generic.Dictionary`2 which represents the
    //     claims that will be used when creating a security token. If both and Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.Subject
    //     are set, the claim values in Subject will be combined with the values in Claims.
    //     The values found in Claims take precedence over those found in Subject, so any
    //     duplicate values will be overridden.
    public IDictionary<string, object> Claims { get; set; }
    //
    // 摘要:
    //     Gets or sets the System.Collections.Generic.Dictionary`2 which contains any custom
    //     header claims that need to be added to the JWT token header. The 'alg', 'kid',
    //     'x5t', 'enc', and 'zip' claims are added by default based on the Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.SigningCredentials,
    //     Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.EncryptingCredentials,
    //     and/or Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.CompressionAlgorithm
    //     provided and SHOULD NOT be included in this dictionary as this will result in
    //     an exception being thrown. These claims are only added to the outer header (in
    //     case of a JWE).
    public IDictionary<string, object> AdditionalHeaderClaims { get; set; }
    //
    // 摘要:
    //     Gets or sets the System.Collections.Generic.Dictionary`2 which contains any custom
    //     header claims that need to be added to the inner JWT token header. The 'alg',
    //     'kid', 'x5t', 'enc', and 'zip' claims are added by default based on the Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.SigningCredentials,
    //     Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.EncryptingCredentials,
    //     and/or Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.CompressionAlgorithm
    //     provided and SHOULD NOT be included in this dictionary as this will result in
    //     an exception being thrown. For JsonWebTokenHandler, these claims are merged with
    //     Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.AdditionalHeaderClaims
    //     while adding to the inner JWT header.
    public IDictionary<string, object> AdditionalInnerHeaderClaims { get; set; }
    //
    // 摘要:
    //     Gets or sets the Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.SigningCredentials
    //     used to create a security token.
    public SigningCredentials SigningCredentials { get; set; }
    //
    // 摘要:
    //     Gets or sets the System.Security.Claims.ClaimsIdentity. If both and Microsoft.IdentityModel.Tokens.SecurityTokenDescriptor.Subject
    //     are set, the claim values in Subject will be combined with the values in Claims.
    //     The values found in Claims take precedence over those found in Subject, so any
    //     duplicate values will be overridden.
    public ClaimsIdentity Subject { get; set; }
}

生成Jwt的实际代码:

public string CreatJwt(IdentityUser user,int AddMinutes)
{
    PasswordHasher<IdentityUser> hasher = new PasswordHasher<IdentityUser>();
    RSA rSA = RSA.Create();
   string s= _config.GetValue<string>("RSAPrivateKey");
    byte[] b=System.Convert.FromBase64String(s);
    int i;
    rSA.ImportRSAPrivateKey(b, out i);
    var okey = new RsaSecurityKey(rSA);
    IdentityUser user0 = _Dbcontext.Users.FirstOrDefault(o => o.Id == user.Id);
    if (user != null)
    {
        string? jwt = new JsonWebTokenHandler().CreateToken(new SecurityTokenDescriptor()
        {
            Issuer = "NewSoft",
            Audience = "lxl",
            IssuedAt = DateTime.UtcNow,
            NotBefore = DateTime.UtcNow,
            Expires = DateTime.UtcNow.AddMinutes(AddMinutes),
            Subject = new System.Security.Claims.ClaimsIdentity(new List<Claim>
            {
                new Claim("email", user.Email),
                new Claim("host", "192.168.3.2"),
                new Claim(ClaimTypes.Name,user.UserName),
                new Claim(ClaimTypes.Role,"asd"),
               
            }, "myBearer"),
            SigningCredentials = new SigningCredentials(okey, SecurityAlgorithms.RsaSha384Signature)
        }); ;
        return jwt;
    }
    else
        return "";
}

使用Jwt

把Jwt 传递到服务器

1.使用变量传递到服务器

代码如下:

MessageRecieveContext ctx
if (ctx.Request.Query.ContainsKey("token"))
{
    ctx.Token = ctx.Request.Query["token"];
}

2.使用Cookies

代码如下:

if (!string.IsNullOrEmpty(ctx.HttpContext.Request.Cookies["token"]))
{
    ctx.Token= ctx.HttpContext.Request.Cookies["token"];
}

服务器身份认证

服务器收到HttpContext.Request后,调用Authentication服务,自动进行身份的认证与授权。

builder.Services.AddAuthentication(o => o.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme).AddJwtBearer("Bearer",o=>
{
    RSA rsa = RSA.Create();
   string s = builder.Configuration.GetValue<string>("RSAPublicKey");
    byte[] b = new byte[2048];
    int i = 0;
    b=System.Convert.FromBase64String(s);
    rsa.ImportRSAPublicKey(b, out i);    
    o.TokenValidationParameters = new TokenValidationParameters()
    {
        ValidateIssuer = true,
        ValidIssuer = "NewSoft",
        ValidateAudience = true,
        ValidAudience = "lxl",
        IssuerSigningKey = new RsaSecurityKey(rsa),
        ValidateIssuerSigningKey = true
    }; 
}

上例代码,当服务器收到httpContext后,用RSA公钥,对jwt进行验证签名,若签名无误,则将身份信息写入HttpContext.User.Identity中,再根据用户名,角色等,授予request的访问权限。

Api访问权限的设置

Api的访问权限设置时,只需要在Api函数前加上[Authorize(Roles ="admin,asd")],即代表允许角色为admin 和asd的进行访问。当然,你也可以设定用户名为:“张三,李四,王麻子”的调用权限。你不特殊设定,只要通过认证的任何人和任何角色都可访问。

 [Authorize(Roles ="admin,asd")]
 // GET: Stations
 public async Task<IActionResult> Index()
 {
     return View(await _context.Stationss.ToListAsync());
 }
周山至水数翠峰
关注
JWT + ASP.NET MVC时间戳防止重放攻击详解
10-18
主要给大家介绍了关于JWT + ASP.NET MVC时间戳防止重放攻击发的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
ASP.NET MVC中可以使用JWT实现登录功能
一个九零后程序猿开发日志
03-24 895
JWT(JSON Web Token)是一种基于标准化的JSON格式的令牌,用于在客户端和服务器之间传递安全信息。JWT包含了用户的身份信息和有效期限等信息,可以确保用户在使用应用程序时的安全性。
.net6 JWT权限验证
最新发布
qq_61596453的博客
08-12 308
自定义认证中间件也需要在program.cs中注册。如需所有接口日志,可以写自定义认证中间件。首先写一个JWT token生成方法。在program.cs中注册接口类。同样需要注册 因为要获取上下文。通过token获取当前用户。写一个自定义权限验证类。控制器中可以直接只用。
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
菜鸟的专栏
12-28 1万+
C# ASP.NET Core Web API 身份授权(JWT)验证
.net 使用jwt进行身份认证
m0_47659279的博客
09-10 4811
什么是身份认证和鉴权 举个例子 假设有这么一个小区,小区只允许持有通行证的人进入,陌生人如果想直接进入小区会被保安拦住,他必须先办理通行证才会被允许进入 类比身份认证和鉴权体系 一个人要访问我的一个机密的接口,我首先需要知道你是谁,搞清楚你是谁的过程就是身份认证,如果我搞不清楚你是谁,那你就是陌生人,身份认证失败。 身份认证通过,并不一定就允许访问我的机密的接口,因为身份认证只是让我知道了你是谁,但是我还不知道你有没有访问我接口的权限,因此还需要进行鉴权。 鉴权就是在身份认证的基础上来查阅你是否有访问某接口
【C#】.Net Framework框架使用JWT
小5聊的博客
07-26 6750
本篇文章主要简单讲讲,.Net Framework框架下使用JWT的代码例子,以及他们的基本概念。
.NET中使用JWT
重庆熊猫
12-29 412
在控制台中使用JWT 新建测试项目并安装包 dotnet new sln dotnet new console dotnet sln add . dotnet add package System.IdentityModel.Tokens.Jwt 生成JWT的代码 /// <summary> /// 创建新的Jwt /// </summary> public static...
asp.net基于JWTweb api身份验证及跨域调用实践
10-18
- 编写登录接口,校验用户身份,并生成 JWT。当用户凭据正确时,服务端将生成一个包含用户身份信息的 JWT,并将其返回给客户端。 - 在服务端使用 AuthorizeAttribute 来拦截请求,解析 JWT,验证其有效性,并据此...
ASP.NET编程知识】asp.net基于JWTweb api身份验证及跨域调用实践.docx
05-18
在本文中,我们将编写一个基于JWT进行身份验证的ASP.NET Web API demo,以模拟前后端分离的开发方式。该demo包含一个静态页站点(在IIS中的路径为http://localhost:8057)以及一个Web API站点...
aspnet-core-jwt-authentication-api:ASP.NET Core 2.2 JWT身份验证API
01-30
使用C#编写ASP.NET Core应用,可以利用强大的语言特性和.NET库,如 LINQ 和async/await,提高代码的可读性和性能。 8. **标签相关性**: "aspnetcore"和"aspnetcore22"指的是ASP.NET Core框架的不同版本,"jwt-...
ASP.NET Core 2.1中的分支身份验证
04-05
"分支身份验证"是ASP.NET Core 2.1中一个关键的概念,它涉及到如何根据不同的条件或场景实现多样的身份验证策略。 分支身份验证允许开发者根据用户的请求上下文、设备类型、地理位置等因素来应用不同的验证方法。...
ASP.NET编程知识】asp.net core集成JWT的步骤记录.docx
05-15
通过以上步骤,开发者可以在ASP.NET Core项目中实现JWT的身份验证机制,提高系统的可扩展性和安全性。需要注意的是,为了保证安全性,密钥(secret)应当妥善保管,避免暴露。同时,为了防止会话固定攻击,应当定期...
ASP.NET Core高级之认证与授权(二)--JWT认证前后端完整实现
物联网大联盟
01-10 2749
本文是一个基于JWT认证的完整的前后端实现代码案例。
.Net Core JWT 授权
weixin_59180442的博客
06-05 3451
当我们开发 Web 应用程序时,通常需要对用户进行身份验证和授权。JWT(JSON Web Token)是一种安全传输信息的标准,它可以在各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。
记录一次ASP.NET 3.1 Webapi中使用JWT认证过程
APPLEHU09的博客
07-05 1354
框架:asp.net 3.1IDE:VS2019一、创建一个.NET CORE 3.1的webapi项目,这里创建过程就不赘述了,使用VS2019一步步创建即可;二、创建完后需要NuGet Package手动添加Microsoft.AspNetCore.Authentication.JwtBearer库。三、为方便接口测试,我们先加入swagger接口帮助文档(1)手动添加Swashbuckle.AspNetCore.SwaggerGen;Swashbuckle.AspNetCore.SwaggerUI;U
.Net Core官方的 JWT 授权验证
一些随笔
03-16 892
什么是JWT JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。当使用公钥/私钥对对令牌进行签名时,签名还证明
.net 6 使用JWE
kimBlog
03-09 368
.NET 中使用JWE,JWT中payload加密
asp.net mvc使用JWT代替session,实现单点登陆
热门推荐
i李泳谦谦谦谦谦
05-31 1万+
使用JWT取代session,实现单点登陆1. 什么是Token?2. 什么是JWT?3. Token与Session比较传统Session所暴露的问题Token的验证机制4. ASP.NET MVC如何使用jwt实现单点登陆 1. 什么是Token? 什么是token?token可以理解为是一种令牌,常用在计算机身份认证。在与服务器进行数据传输之前,会进行身份核验。 2. 什么是JWT? 什么是...
asp.net JWT用户认证方法
sunlibo111111的专栏
10-07 961
首先,前端通过Web表单将自己的用户名和密码发送到后端的接口。这一过程一般是一个HTTP POST请求。建议的方式是通过SSL加密的传输(https协议),从而避免敏感信息被嗅探。 后端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload(负载),将其与头部分别进行Base64编码拼接后签名,形成一个JWT。形成的JWT就是一个形同lll.zzz.xxx的字符串。 后端将J...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值