ASP .NET Core 中对于 JWT 的封装与使用

已于 2023-11-12 12:15:18 修改
阅读量188 收藏 1
点赞数 1
文章标签: .netcore asp.net c#
于 2023-11-12 11:05:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51005282/article/details/134357813
版权

JWT 原理:

JWT 原理

配置 JWT

(1)书写 JWT 配置节点,节点下创建 SecKey, ExpireSeconds 两个配置项,分别代表着 JWT 的密钥和过期时间(我这里配置在了 appsettings.json 中,过期时间单位为 秒,可根据自身情况选择)

(1)创建配置类, 包含 SecKey(密钥)、ExpireSeconds(过期时间) 两个属性(例如 JWTOptions 类,名字等啥的不需要一样),方便我们读取配置

public class JWTOptions
{
    public string SecKey { get; set; }
    public int ExpireSeconds { get; set; }
}

(2)Nuget:

Install-Package Microsoft.AspNetCore.Authentication.JwtBearer

(3)对 JWT 进行注册,注册好后如果报文头中有 Authorization 会自动帮我们解析校验 JWT 令牌,如果访问的 Action 方法有 Authorize 特性,只有校验成功才可以访问

//注册配置,并将配置绑定到对应的实列,让其他地方调用,比如说我这里在生成 JWT 令牌的时候用到
builder.Services.Configure<JWTOptions>(builder.Configuration.GetSection("JWT"));

//注册 JWT 
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).
     AddJwtBearer(option =>
     {
         //再在里面做一些 JWT 配置,对于 JWT 的配置
         //再将一些 JWT 的数据读取一下,在读取密钥等,校验
         JWTOptions jwtOptions = builder.Configuration.GetSection("JWT").Get<JWTOptions>();
         byte[] keyBytes = Encoding.UTF8.GetBytes(jwtOptions.SecKey);
         var secKey = new SymmetricSecurityKey(keyBytes);
         option.TokenValidationParameters = new()
         {
             ValidateIssuer = false,
             ValidateAudience = false,
             ValidateLifetime = true,
             ValidateIssuerSigningKey = true,
             IssuerSigningKey = secKey
         };

     });

生成 JWT 令牌

(1)Program.cs 的 app.UseAuthorization() 这行代码之前添加 app.UseAuthentication()
ASP.NET Core 中身份验证和授权验证的功能有 Authentication、Authorization 中间件提供

这一步非常重要,否则 Asp.Net Core 就不会在我们访问添加特性为 [Authorize] 的 Action 方法时帮我们自动校验 JWT 令牌

app.UseAuthentication();//在 app.UseAuthorization 前添加 app.UseAuthentication()
app.UseAuthorization();

(2)生成 JWT 令牌并返回给客户端(具体看开头 JWT 原理)

[Route("api/[controller]/[action]")]
[ApiController]
public class ValuesController : ControllerBase
{
    //设置接口调用配置
    private readonly IOptionsSnapshot<JWTOptions> optionsSnapshot;
    public ValuesController(IOptionsSnapshot<JWTOptions> optionsSnapshot)
    {
        this.optionsSnapshot = optionsSnapshot;
    }

    /// <summary>
    /// 获取 JWT 令牌,一般来说,都是先判断有没有传令牌过来,没有的话需要看有没有该用户,有创建令牌返回回去,没有创建用户返回回去,改文章只关注 JWT 这里就不写了
    /// 我这里简写
    /// </summary>
    /// <returns></returns>
    [HttpGet]
    public async Task<ActionResult<string>> ReturnJWT(string name, string password)
    {
        string jwt = string.Empty;
        if (name == "百香果" && password == "123456")
        {
            //生成令牌
            List<Claim> claims = new List<Claim>();
            claims.Add(new Claim(ClaimTypes.Name, name));
            claims.Add(new Claim(ClaimTypes.Role, "admin"));
            //读取配置获取到 key
            string key = optionsSnapshot.Value.SecKey;
            //设置过期时间,意思是发给你的 jwt 什么时候过期
            DateTime expire = DateTime.Now.AddSeconds(optionsSnapshot.Value.ExpireSeconds);//设置过期时间
                                                                                               
            byte[] secBytes = Encoding.UTF8.GetBytes(key);
            var secKey = new SymmetricSecurityKey(secBytes);
            var credentials = new SigningCredentials(secKey, SecurityAlgorithms.HmacSha256Signature);
            var tokenDescriptor = new JwtSecurityToken(claims: claims,
                expires: expire, signingCredentials: credentials);
            jwt = new JwtSecurityTokenHandler().WriteToken(tokenDescriptor);
        }
        return jwt;
    }
}

携带 JWT 令牌访问对应 Action 方法

注意:我们不需要自己在书写解析 JWT 令牌的代码,当我们访问 只有登录才能访问的 Action 方法时,之前通过 builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).
AddJwtBearer(…) 注册的服务就会帮我们自动校验,如果是对的,就可以访问该 Action 方法,否则反之。

所做的要求就是服务端需要校验 JWT 令牌的 Action 方法上 需要加上 Authorize 特性,客户端需要在报文头中加入 Authorization 的值为 “Bearer JWTToken(JWT 令牌)” 来访问(Authorization 的值中的
“Bearer” 和 JWT 令牌之间一定要通过空格分隔,前后不能多出来额外的空格,换行等),具体如下:

(1)在需要登录才能访问的控制器类或者 Action 方法上添加 [Authorize] (放在控制器上则对该控制器内所有的 Action 方法都生效,否则只对指定的 Action 方法生效,只有登录才能访问这些方法)

(2)再次访问的时候根据登录时传递给客户端的 JWT 令牌 在报文头中定义 Authorization 访问添加了特性 [Authorize] 的Action 方法,然后根据注册进去的服务自动校验 JWT 令牌,校验成功就可以访问该需要登录才可以访问的 Action 方法, 并将明文数据放到 User 中,供我们调用,不添加 [Authorize] 不用登录也可以访问, 只需要知道地址就可以了

Postman 访问:
在这里插入图片描述

[Route("api/[controller]/[action]")]
[ApiController]
[Authorize]
public class AuthorizeController : ControllerBase
{
    /// <summary>
    /// 获取 传过来的  JWT 令牌里登录时传的明文信息
    /// </summary>
    /// <returns></returns>
    [HttpGet]
    public string GetInfo()
    {
        //当传递过来令牌后,获取令牌里登录时传的明文信息,可以通过下面的方法
        var name = this.User.FindFirst(ClaimTypes.Name)!.Value;
        var roles = this.User.FindAll(ClaimTypes.Role);
        string roleStr = string.Join(",", roles.Select(c => c.Value));

        return name + "|" + roleStr;
    }
    /// <summary>
    /// 下面方法不需要验证,添加 AllowAnonymous 特性即可
    /// </summary>
    /// <returns></returns>
    [HttpPost]
    [AllowAnonymous]
    public string GetInfo1()
    {
        return "111";
    }
}
洗牌码牌
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
菜鸟的专栏
12-28 8449
C# ASP.NET Core Web API 身份授权(JWT)验证
asp.net core api+jwt+swagger CRM管理系统
11-24
导读:本项目为CRM系统的基础管理模块。目前实现了用户,用户组,菜单模块。 用户与用户组分配。...运用框架为 asp.net core API 5.0 +JWT +Swagger。有兴趣的可以与我联系659388913. 前端部分本人正在开发。。。
JWT格式的Token动态库封装,包括获取token,验证token,获取token保存的内容
03-28
JWT格式的Token动态库封装,包括获取token,验证token,获取token保存的内容,验证了Token是否正确,验证了Token的ip是否相同,验证了Token的过期时间
ASP.NET Core 使用 JWT 实现令牌认证及授权范例程序代码
07-02
介绍如何在ASP.NET CORE使用JWT实现令牌认证和授权。
.NET Core 返回结果统一封装
qq_43206083的博客
03-08 935
.NET Core 返回结果统一封装
jwt token 过期刷新_.net core 3.1 Jwt操作封装类,JwtHelper,支持生成、刷新等
weixin_39689428的博客
11-27 854
最近在开发项目,为了便于操作jwt,自己封装了一个jwthelper,发出来,供大家一起讨论。using Microsoft.AspNetCore.Http;using Microsoft.IdentityModel.Tokens;using Newtonsoft.Json;using System;using System.Collections.Generic;using System.Id...
登录认证(二)—— jwt封装token与解析
qq_38895905的博客
11-23 2474
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。 这几天在学jwt,首先介绍一下关于jwt的定义及其优缺点,有人美玉在前我就直接发链接了。 什么是 JWT -- JSON WEB TOKEN——https://www.jianshu.com/p/576dbf44b2ae 在项目加入jwt 首先在jar包加入依赖 <..
.NET 对于JWT封装
最新发布
xy的博客
08-13 119
下载依赖 Microsoft.AspNetCore.Authentication.JwtBearer 创建配置 实体类 ``` namespace JWT4 { public class JWTSetting { public string SecKey { get; set; } public int ExpireSeconds {...
JWT组成及封装
m0_69114709的博客
07-13 204
JWT的载荷部分可以自定义,可以存储任何的JSON格式的数据,这意味着我们可以使用一些自定义的功能,例如存储用户的喜好,配置的信息等等。
JWT工具类封装
dj1955的博客
05-10 269
【代码】JWT工具类封装
jwt超详细配置和教程
欲买桂花同载酒,终不似少年游
07-03 1990
认证方式传统使用session就是前端cookie保存一个sessionid,下次发送请求会自动携带认证流程暴露问题session保存在内存,用户越多,内存负载越大分布式应用的话限制了负载均衡能力cookie被截获容易收到跨站请求伪造攻击在前后端分离系统更加痛苦也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用session 每次携带sessionid到服务器,服务器还要查询用户信息。同时如果用户很多。
asp.net core集成JWT的步骤记录
01-01
JWT包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 【什么时候应该使用JSON Web令牌?】 授权:这是使用JWT的最常见方案。一旦用户登录...
ASP.NET Core学习之使用JWT认证授权详解
12-16
概述 认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, ...
浅谈ASP.NET Core jwt授权认证的流程原理
10-15
主要介绍了浅谈ASP.NET Core jwt授权认证的流程原理,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Jwt封装工具类
千里之行,始于足下
10-24 908
Jwt封装工具类
lcobucci/jwt超级好用的封装教程
gztrljh
04-16 4144
参数说明 iss 【issuer】签发人(可以是,发布者的url地址) sub 【subject】该JWT所面向的用户,用于处理特定应用,不是常用的字段 aud 【audience】受众人(可以是客户端的url地址,用作验证是否是指定的人或者url) exp 【expiration】 该jwt销毁的时间;unix时间戳 nbf 【not before】 该jwt使用时间不能早于该时间;unix时间戳 iat 【issued at】 该jwt的发布时间;unix 时间戳 jti 【JWT ID】 该jwt
Controller封装基础的增删改查BaseController,简化单表业务
Toushang_的博客
11-15 2745
配置代码生成器生成出controller、service、mapper,虽然大部分开源框架service与mapper都生成好了,但是controller还遗留冗余代码,我的想法是能不能把基本的单表CRUD抽出来,提供一个公共的Controller控制器。
JWT封装类与使用示例
Phor的博客
07-19 1323
JSON Web TokenJWT)是目前最流行的跨域身份验证解决方案。今天给大家封装一个JWT的类,以及调用用法。 小编环境:laravel php7 composer 第一件事情先搞一块JWT的插件 我在https://jwt.io看了这款: https://github.com/lcobucci/jwt/blob/3.3/README.md 可以根据自己实际情况选择适合自己的版本。本...
Java JWT Token 生成和验证。
weixin_44647098的博客
05-18 537
导入maven 依赖 <!-- https://mvnrepository.com/artifact/com.auth0/java-jwt --> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.11.0</version> </dependency>
.NET core 使用 JWT
08-09
引用介绍了JWT(JSON Web Token)是一种用于双方之间传递安全信息的规范。它是一种简洁的、URL安全的表述性声明规范,可用于以JSON对象的形式安全传递信息。JWT可以使用HMAC算法或RSA的公私秘钥对进行签名,从而保证信息的可信性。在.NET Core使用JWT有以下几个步骤。 首先,需要安装NuGet包"Microsoft.AspNetCore.Authentication.JwtBearer",确保与.NET Core版本兼容。 其次,配置JWT参数。在项目的appsettings.json文件,添加如下配置: ``` "Jwt": { "Secret": "your-256-bit-secret", "Iss": "https://localhost:44390", "Aud": "api" } ``` 这里的"Secret"是一个256位的密钥,"Iss"是JWT的签发者,"Aud"是JWT的接收者。 然后,在需要验证授权的路由或资源上,使用Bearer模式在Authorization标头发送JWT。标头的格式应为: ``` Authorization: Bearer <token> ``` 其,<token>是实际的JWT字符串。 以上是.NET Core使用JWT的基本步骤。通过JWT,您可以实现授权和信息交换等功能,确保安全传输和验证身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值