C# JWT权限验证

已于 2022-08-05 17:17:21 修改
阅读量3.9k 收藏 6
点赞数
文章标签: 服务器 java 运维
于 2022-08-05 14:56:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59504468/article/details/126177438
版权

C# JWT权限验证

JWT(Json Web Token)

什么是JWT,它是一种对API的保护方案,为什么要进行保护呢

  1. 防泄漏:你肯定不希望你的数据能被别人随意调用,比如公司的机密信息,不可能每个人都可以访问到
  2. 防攻击:防止被人伪装恶意调用接口,利用网关就把请求拦截在外面,防止对服务器造成资源压力
  3. 防止被人篡改,导致请求不到信息,防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放)

设计原则

  1. 轻量级
  2. 易于开发、测试和部署
  3. 适合于异构系统(跨操作系统、多语言简易实现)
  4. 所有写操作接口(增、删、改 操作)
  5. 非公开的读接口(如:涉密/敏感/隐私 等)

JWT核心知识

claim:claim就是声明,就像身份证上的地址,个人信息

Httpcontext是如何通过claim鉴权的:我们去办业务的时候,需要出示自己的身份证,这个身份证就相当于自己的令牌进行访问

JWT由三部分组成

第一部分是头部,头部分为两部分(Header)

  1. 算法、声明
  2. 类型type:JWT类型

第二部分是载荷相当于HTML中的body(Payload)

第三部分就是签名也是就是密钥(Signature)

基于.NetCore WebApi创建一个简单的token令牌

public ActionResult<IEnumerable<string>>Get()
{
//创建声明Token数组
var claim =newClaim[]
{
newClaim(ClaimTypes.Name,"ylc"),
newClaim(JwtRegisteredClaimNames.Email,"1234567@11.com"),
newClaim(JwtRegisteredClaimNames.Sub,"Sub")
};
//实例化一个token对象
var token =newJwtSecurityToken(claims:claim);
//生成token
var jwtToken =newJwtSecurityTokenHandler().WriteToken(token);
returnnewstring[]{ jwtToken };
}

启动项目之后我们会得到一个token令牌

粘贴到jwt官网中可以解密,下面介绍了另一种解密方法

token令牌分为两部分,红色部分解析出来代表头部,粉色代表载荷,我们探入的信息

虽然得到令牌,但是头部的加密算法显示none,也没有数字签名,所以下面显示无效签名

到底这个加密算法怎么配置呢,接下来进行扩展

通过查看实例化token的函数发现它有五个重写的构造函数

publicJwtSecurityToken(string issuer =null, string audience =null, IEnumerable<Claim> claims =null, DateTime? notBefore =default(DateTime?), DateTime? expires =default(DateTime?), SigningCredentials signingCredentials =null)
{
if(expires.HasValue && notBefore.HasValue && notBefore >= expires)
{
throw LogHelper.LogExceptionMessage(newArgumentException(LogHelper.FormatInvariant("IDX12401: Expires: '{0}' must be after NotBefore: '{1}'.", expires.Value, notBefore.Value)));
}
            Payload =newJwtPayload(issuer, audience, claims, notBefore, expires);
            Header =newJwtHeader(signingCredentials);
            RawSignature = string.Empty;
}

 我们就声明五个参数

[HttpGet]
public ActionResult<IEnumerable<string>>Get()
{
//创建声明Token数组
var claim =newClaim[]
{
newClaim(ClaimTypes.Name,"ylc"),
newClaim(JwtRegisteredClaimNames.Email,"1234567@11.com"),
newClaim(JwtRegisteredClaimNames.Sub,"Sub")
 
};
var key =newSymmetricSecurityKey(Encoding.UTF8.GetBytes("yanglingcong@qq.com"));//密钥大小要超过128bt,最少要16位
 
//实例化一个token对象
var token =newJwtSecurityToken(
                issuer:"http://localhost:5000",//发起人:当前项目
                audience:"http://localhost:5000",//订阅:我们需要谁去使用这个Token
                claims: claim,//声明的数组
                expires:DateTime.Now.AddDays(1),//当前时间加一小时,一小时后过期
                signingCredentials:newSigningCredentials(key,SecurityAlgorithms.HmacSha256)//数字签名 第一部分是密钥,第二部分是加密方式
);
var jwtToken =newJwtSecurityTokenHandler().WriteToken(token);
returnnewstring[]{ jwtToken };
}

可能会出现一下报错:IDX10603: Decryption failed. Keys tried: '[PII is hidden]'. Exceptions caught: '[PII is hidden]'. token: '[PII is hidden]' Parameter name: KeySize

安装最新版Microsoft.IdentityModel.Logging nuget包

最后成功运行,加密算法已经显示出HS256

但是最下方还是显示数字签名无效,还要怎么做呢

我们对令牌解密不一定要看官网通过浏览器控制台打印出来也可以

将令牌的一部分放入atob中就可以进行解密

相信做完这些对JWT的三大部分有了一定的了解

声明Claim的两种方式

开始在声明Claim的时候用到了ClaimTypes和JwtRegisteredClaimNames这两种

var claim =newClaim[]
{
newClaim(ClaimTypes.Name,"ylc"),
newClaim(JwtRegisteredClaimNames.Email,"1234567@11.com"),
newClaim(JwtRegisteredClaimNames.Sub,"Sub")
};

F12查看ClaimTypes源码里面写的都是.net Core中提供的常用的静态变量

查看JwtRegisteredClaimNames源码都是JWT自己提供的

但是可能有人想获取令牌中的Email的值,获取不到

接下来就说到获取令牌的三种方式,在这之前要使用http进行上下文注入

[
HttpGet("{str}")]
public ActionResult<IEnumerable<string>>Get(string str)
{
///获取Token的三种方式
 
//第一种直接用JwtSecurityTokenHandler提供的read方法
var jwtHander =newJwtSecurityTokenHandler();
            JwtSecurityToken jwtSecurityToken = jwtHander.ReadJwtToken(str);
 
//第二种 通过User对象获取
var sub = User.FindFirst(d => d.Type =="http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name")?.Value;
 
//第三种 通过Httpcontext上下文中直接获取
var name = _accessor.HttpContext.User.Identity.Name;
var Claims = _accessor.HttpContext.User.Claims;
var claimstype =(from item in Claims where item.Type == JwtRegisteredClaimNames.Email select item.Value).ToList();
 
returnnewstring[]{ JsonConvert.SerializeObject(jwtSecurityToken), sub, name, JsonConvert.SerializeObject(claimstype)};
}

然后在postman进行测试,路径后面传入Token令牌,传入的Token的string参数实际是为了方法一,第二三种是没有调用str的,所以它们为空跟Token没有任何关系

这里最好用传参的,不容易出错,用上面那种可能会出错。 

除了第一种JwtSecurityTokenHandler获取的值不为空,其他都为空这是为什么呢

刚刚只是生成了令牌并没有出现内存中,也就是在http上下文中,下面就是要说到HttpContext是如何鉴权的

首先我们必须在服务里注册一个Bealer认证,也就是说我们必须注册一个认证才可以获取内容

如何进行 Jwt Bealer认证呢,需要在配置服务的做相应的配置

之前在声明Token的时候指明了发起人订阅人,这里也要对应上,就相当于解密的过程

publicvoidConfigureServices(IServiceCollection services)
{
            services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
            services.AddSingleton<IHttpContextAccessor,HttpContextAccessor>();
 
var keyBase64 ="yanglingcong@qq.com";
var keyByeArray = Encoding.ASCII.GetBytes(keyBase64);
var signkey =newSymmetricSecurityKey(keyByeArray);
 
var tokenValidationParameters =newTokenValidationParameters//生成了一个Token验证的参数
{
                ValidateIssuerSigningKey =true,
                IssuerSigningKey = signkey,//数字签名
                ValidateIssuer =true,
                ValidIssuer ="http://localhost:5000",//发行人
                ValidateAudience =true,
                ValidAudience ="http://localhost:5000",//订阅人
                ValidateLifetime =true,
                ClockSkew = TimeSpan.FromSeconds(30),
                RequireExpirationTime =true,
};
 
            services.AddAuthentication("Bearer")//注入服务  1.开启Bearer认证 2.注册Bearer服务
.AddJwtBearer(o =>
{
                 o.TokenValidationParameters = tokenValidationParameters;
});
}

完成Bearer以后,我们再进行postman测试,第二种第三种还是为空,这是什么原因呢

我们通过三步创建令牌之后,通过注入完成我们的认证,还需要开启中间件管道,如果不开启的话,Token令牌还是不能传送到HttpContext上下文,中间件实际就是操作Http上下文。

 app.UseAuthentication();//开启中间件

还差最后一步就是登录,只有登录认证了Bearer才能将Token转化成相应的服务

服务对象在经过中间件的时候添加到HttpContext中,然后赋值给User

通过登录生成Token令牌,返回给客户端,客户端拿着Token,放在header里面,传输给服务器进行校验,校验成功返回数据

返回了三个参数,最后一个还是空

通过项目调试,发现我们之前的Email参数被改名了,原本是JwtRegisteredClaimNames变成了ClaimTypes的声明方法,这就需要解除,.NetCore自己的映射匹配,使用JWT,在ConfigureServices加上

 JwtSecurityTokenHandler.DefaultInboundClaimTypeMap.Clear();//把 JwtSecurityToken清除

显示成功

 

我们在当前GET方法中进行测试加上 [Authorize],把Authorization取消勾选,运行

得到401无状态,我们再把钩点上,成功授权

最后过程中可能会出各种错误,我也是改了很长时间,需要各种NuGet包,多百度,我还有另一个JWT权限验证的,比较好用可以推荐给大家

(51条消息) 【无标题】_m0_59504468的博客-CSDN博客

m0_59504468
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C# ASP.NET Core Web API 身份授权(JWT验证(一)
菜鸟的专栏
12-28 9718
C# ASP.NET Core Web API 身份授权(JWT验证
JWT Token生成及验证
07-16
JWT Token生成及验证,JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
JWT(JSON Web Token)简介及在C#中的应用
dotNET跨平台
06-08 122
一、JWT是什么?JWT,全称JSON Web Token,是一种开放标准(RFC 7519)定义的方式,用于在网络之间安全地传输信息。这些信息可以用于验证、授权、信息交换等。JWT主要由三部分组成:Header(头部),Payload(负载),和Signature(签名)。由于其自包含且紧凑的特点,JWT可以轻松地通过URL、POST参数或者在HTTP头部发送。二、为什么要用JWT?无状态、可扩...
C#】.Net Framework框架使用JWT
小5聊的博客
07-26 5896
本篇文章主要简单讲讲,.Net Framework框架下使用JWT的代码例子,以及他们的基本概念。
C#实现JWT无状态验证的实战应用
chinaherolts2008的博客
03-01 679
前言 本文主要介绍JWT的实战运用。 准备工作 首先我们创建python基础教程一个Asp.Net的,包含MVC和WebApi的Web项目。 然后使用Nuget搜索JWT,安装JWT类库,如下图。 设计思路 这里我们简单的做了一个token验证的设计,设计思路如下图所示: 代码实现 缓存 首先,我们先开发工具类,根据设计思c#教程路图可得知,我们需要一个缓存类,用于在服务器端存储token。 编写缓存相关类代码如下: public class CacheHelper { public sta
C#分布式登录——jwt
逆-血
01-12 5388
文章目录一、传统的session登录二、基于token的鉴权机制三、Json web token1.生成jwt数据2.jwt解析验证四、JWT的问题 一、传统的session登录 在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。 在asp.net core中可以简单实现: 代码如下(示例): // This method gets called b
【转载】C#集成JWT快速入门
SS33SSS的博客
04-23 720
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在双方之间安全地传输信息作为JSON对象。这通常是在服务端进行的,可以通过检查特定的声明(如。:JWT提供了一种安全、灵活的方式来传输用户信息,并可以用于身份验证和授权。如果是,那么我们就认为用户是管理员,并允许其访问受保护的资源;,它包含了JWT的主题(即用户信息)、过期时间以及签名凭据。包含了验证JWT所需的所有参数,如签名密钥等。实例,该实例包含了JWT中的所有声明;然后,我们定义了一个。
.netMvc JWT身份验证
11-04
JWT是一种轻量级的身份验证和授权机制,它允许服务器通过发送一个令牌(token)给客户端,来声明用户的身份和权限,而不需要在后续的请求中发送用户名和密码。这提高了应用程序的安全性和效率。 首先,要实现.NET ...
C#后台权限
09-04
这可以通过JWT(JSON Web Tokens)或OAuth2等机制实现,C#中的`System.IdentityModel.Tokens.Jwt`库可以帮助生成和验证JWT。 9. **审计和日志**:记录用户的登录尝试、权限更改和其他敏感操作是确保系统安全的重要...
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
在描述中,提到了一个“token生成验证工具类”,这通常是一个封装了JWT操作的C#类,可能包含了创建JWT令牌、验证令牌等方法。这个工具类的使用教程链接已经给出,开发者可以通过阅读该教程来了解如何在实际项目中...
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
总之,JWT.dll为C#开发者提供了一种快速集成JWT功能的方式,通过这个库,你可以轻松地创建、验证JWT,从而实现安全的身份验证和授权机制。在实际应用中,还需要结合最佳实践和安全策略来确保系统的安全性。
C# JWT加密和解密,JWT跨域身份验证
热门推荐
AI的博客
06-07 1万+
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519), 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,该token也可直接被用于认证,也可被加密。......
C#JWT 原理,如何生成,如何校验
m0_51005282的博客
11-12 783
JWT 把登录信息(令牌),保存在客户端,这样可以有效的解决 Session 在分布式集群环境用户认证的问题。使用服务端自定义的密钥对保存在客户端的令牌进行签名处理,每次服务端接收到客户端提交过来的令牌都需要检查下签名,验证用户身份。
JWT介绍
m0_53151031的博客
11-21 1253
一、JWT出现的原因以及工作原理 1、JWT的定义: JSON Web Token (JWT),是目前最流行的跨域身份验证解决方案 二、JWT工具类的介绍以及三种场景 三、JWT与vuex在SPA项目中的应用
C#类库 JWT校验
wgq2020的博客
10-25 375
如果JWT是合法的,ValidateToken方法将返回一个ClaimsPrincipal对象,该对象包含JWT中的Claims信息。JSON Web Tokens(JWT)是一种安全的、轻量级的、URL安全的方式用来传递信息,它是一个规范,目的是在各方之间安全地传输声明信息。以上是使用C#类库JWT进行校验的示例代码和详解。在实际开发中,我们可以把生成JWT和校验JWT的代码封装成方法,方便使用。C#类库JWT提供了方便的JWT生成和校验功能,下面是使用C#类库JWT进行校验的代码示例和详解。
Linux chmod 命令简介
最新发布
地球空间
07-17 603
权限时,因为它会给予所有用户对文件或文件夹的完全访问权限,这可能会带来安全风险。命令用于改变文件或文件夹的访问权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有者读、写和执行的权限,同时给组用户读和执行的权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有者读和写权限,但不允许执行。这会给指定文件夹以及其内部的所有文件和子文件夹的每个用户读、写和执行的权限。这会从指定文件夹及其内部的所有文件和子文件夹的所有用户那里移除写权限。这会给指定文件夹及其内部的所有文件和子文件夹的所有用户添加执行权限
C# 写一段JWT 以及验证
09-12
### 回答1: 首先,需要安装 `System.IdentityModel.Tokens.Jwt` NuGet 包。 以下是一个用于创建 JWT 的示例代码: ```csharp using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; using Microsoft.IdentityModel.Tokens; public class JWTService { private const string SecretKey = "your-secret-key"; // 密钥 private const double TokenExpiryTimeInMinutes = 60; // 令牌过期时间(分钟) public static string GenerateToken(string userId) { var symmetricSecurityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(SecretKey)); var signingCredentials = new SigningCredentials(symmetricSecurityKey, SecurityAlgorithms.HmacSha256Signature); var claims = new[] { new Claim("userId", userId) }; var token = new JwtSecurityToken( expires: DateTime.UtcNow.AddMinutes(TokenExpiryTimeInMinutes), signingCredentials: signingCredentials, claims: claims ); return new JwtSecurityTokenHandler().WriteToken(token); } } ``` 接下来是用于验证 JWT 的示例代码: ```csharp using System; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Security.Claims; using Microsoft.IdentityModel.Tokens; public class JWTService { private const string SecretKey = "your-secret-key"; // 密钥 public static bool ValidateToken(string token) { try { var tokenHandler = new JwtSecurityTokenHandler(); var symmetricSecurityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(SecretKey)); tokenHandler.ValidateToken(token, new TokenValidationParameters { ValidateIssuerSigningKey = true, IssuerSigningKey = symmetricSecurityKey, ValidateIssuer = false, ValidateAudience = false, ClockSkew = TimeSpan.Zero }, out SecurityToken validatedToken); return true; } catch (Exception) { return false; } } public static string GetUserIdFromToken(string token) { var tokenHandler = new JwtSecurityTokenHandler(); var symmetricSecurityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(SecretKey)); tokenHandler.ValidateToken(token, new TokenValidationParameters { ValidateIssuerSigningKey = true, IssuerSigningKey = symmetricSecurityKey, ValidateIssuer = false, ValidateAudience = false, ClockSkew = TimeSpan.Zero }, out SecurityToken validatedToken); var jwtToken = (JwtSecurityToken)validatedToken; var userId = jwtToken.Claims.First(x => x.Type == "userId").Value; return userId; } } ``` 其中 `SecretKey` 是用于签名和验证 JWT 的密钥,可以根据实际需求进行更改。在 `GenerateToken` 方法中,我们将用户 ID 添加到 JWT 的 claim 中,方便在验证时获取用户 ID。在 `ValidateToken` 和 `GetUserIdFromToken` 方法中,我们使用密钥来验证 JWT 的签名,并从 JWT 中获取用户 ID。 ### 回答2: 不好意思,需要您提供更具体的问题或信息,才能给予恰当的回答。谢谢! ### 回答3: C是编程语言中的一种,它由贝尔实验室的丹尼斯·里奇在1972年至1973年间开发。C以其简洁、高效和可移植性而闻名,是许多操作系统、应用程序和嵌入式系统的首选语言。 C的语法相对简单,但功能强大,它提供了丰富的数据类型和操作符。C语言中的程序由函数组成,每个函数都包含一系列有序的语句。C可以轻松地进行低级操作,例如内存分配和指针操作,这使得它成为底层编程的理想选择。 与其他高级编程语言相比,C具有较少的抽象和封装,这使得程序员能够更接近硬件和操作系统。同时,C语言提供了大量的库函数和工具,使程序员能够更方便地开发复杂的应用程序。 在计算机科学教育中,C通常是学生学习的第一门编程语言。它可以帮助学生理解基本的编程概念,例如变量、循环和条件语句。学习C语言还有助于培养学生的逻辑思维能力和解决问题的能力。 另外,C的广泛使用也使得有大量的开源项目和社区资源可供使用。许多著名的软件和工具,如Linux操作系统和MySQL数据库,都是用C语言编写的。 总之,C语言是一种强大而广泛应用的编程语言。它具有简洁、高效和可移植性的特点,适用于开发各种类型的应用程序和系统。虽然C语言相对较低级,但它仍然是计算机科学教育的重要基础,也是许多计算机专业人士的必备技能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值