.NET 6.0 Web API项目中实现基于Token的身份验证

已于 2024-08-27 16:18:03 修改
阅读量1.6k 收藏 10
点赞数 24
分类专栏: 学懂C#-高级编程技术精讲 文章标签: .net token验证 JWT
于 2024-06-25 16:42:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/martian665/article/details/139960316
版权

        

目录

步骤 1: 创建Web API项目

步骤 2: 安装必要的NuGet包

步骤 3: 配置身份验证服务

步骤 4: 配置JWT设置

步骤 5: 创建Token生成控制器

步骤 6: 创建受保护的控制器

步骤 7: 调用API

核心概念和注意事项

总结

        本文以一个完整的示例,展示如何在.NET 6.0 Web API项目中实现基于Token的身份验证。这个例子包括了如何创建和验证JWT Token,以及如何在控制器中使用这些Token。

步骤 1: 创建Web API项目

首先,用Visual Studio 2022创建一个基于.NET6.0的 Web API项目。

步骤 2: 安装必要的NuGet包

安装Microsoft.AspNetCore.Authentication.JwtBearer包。

步骤 3: 配置身份验证服务

Program.cs中配置身份验证服务:

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;

var builder = WebApplication.CreateBuilder(args);

// 添加身份验证服务
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options =>
    {
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = builder.Configuration["Jwt:Issuer"],
            ValidAudience = builder.Configuration["Jwt:Audience"],
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(builder.Configuration["Jwt:Key"]))
        };
    });

// 添加授权服务
builder.Services.AddAuthorization();

var app = builder.Build();

// 使用身份验证和授权中间件
app.UseAuthentication();
app.UseAuthorization();

// 其他配置和路由设置

app.MapControllers();
app.Run();

步骤 4: 配置JWT设置

appsettings.json中配置JWT的相关设置:

{
  "Jwt": {
    "Issuer": "YourIssuer",
    "Audience": "YourAudience",
    "Key": "YourVerySecretKey"
  }
}

步骤 5: 创建Token生成控制器

创建一个控制器来生成Token:

using Microsoft.AspNetCore.Mvc;
using Microsoft.IdentityModel.Tokens;
using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

[ApiController]
[Route("[controller]")]
public class AuthController : ControllerBase
{
    private readonly IConfiguration _configuration;

    public AuthController(IConfiguration configuration)
    {
        _configuration = configuration;
    }

    [HttpPost("login")]
    public IActionResult Login([FromBody] LoginModel model)
    {
        // 假设这里有一个验证逻辑,验证用户名和密码
        if (model.Username == "test" && model.Password == "password")
        {
            var tokenDescriptor = new SecurityTokenDescriptor
            {
                Subject = new ClaimsIdentity(new Claim[]
                {
                    new Claim(ClaimTypes.Name, model.Username)
                }),
                Expires = DateTime.UtcNow.AddMinutes(5),
                SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["Jwt:Key"])), SecurityAlgorithms.HmacSha256Signature),
                Issuer = _configuration["Jwt:Issuer"],
                Audience = _configuration["Jwt:Audience"]
            };
            var tokenHandler = new JwtSecurityTokenHandler();
            var token = tokenHandler.CreateToken(tokenDescriptor);
            return Ok(new { token = tokenHandler.WriteToken(token) });
        }
        else
        {
            return Unauthorized();
        }
    }
}

public class LoginModel
{
    public string Username { get; set; }
    public string Password { get; set; }
}

步骤 6: 创建受保护的控制器

创建一个控制器,只有持有有效Token的用户才能访问:

[ApiController]
[Route("[controller]")]
public class SecretController : ControllerBase
{
    [Authorize]
    [HttpGet]
    public IActionResult Get()
    {
        return Ok("This is a secret message.");
    }
}

步骤 7: 调用API

要调用API,首先需要获取Token。可以使用Postman或类似的工具发送一个POST请求到/Auth/login,并提供用户名和密码。然后,使用返回的Token在Authorization头部中发送一个GET请求到/Secret

POST /Auth/login HTTP/1.1
Host: localhost:5000
Content-Type: application/json

{
    "Username": "test",
    "Password": "password"
}

GET /Secret HTTP/1.1
Host: localhost:5000
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoidGVzdCIsImV4cCI6MTYxODI3MzYwNSwiaXNzIjoiWW91ciJJc3N1ZXIiLCJhdWQiOiJZb3VyQXV0aGVudGljYXRpb24ifQ.6_3QXxZ3VzZvjZ7RnV5NQz-7y_93fY0Y7Y6jV7-XzQ

确保在实际应用中实现安全的用户验证逻辑,并且不要在代码中硬编码敏感信息。此外,根据你的具体需求,可能还需要实现用户注册、Token刷新等功能

核心概念和注意事项

  1. 安全性:确保密钥(Jwt:Key)的安全性,不要在源代码中硬编码密钥。可以使用环境变量或更安全的密钥管理系统。

  2. Token 有效期:Token 的有效期设置为 30 分钟(在示例中),可以根据需要调整。确保在生产环境中合理设置 Token 的有效期,避免安全风险。

  3. 用户验证:示例中简单地硬编码了用户名和密码以展示验证逻辑。在实际应用中,应替换为数据库或其他存储系统中的用户验证逻辑。

  4. 授权控制:通过 [Authorize] 特性保护需要身份验证的控制器或操作。可以使用 [Authorize(Roles = "Admin")] 等特性实现基于角色的访问控制。

  5. 错误处理:处理可能的错误情况,例如无效的 Token、过期的 Token 等,以提高用户体验和系统安全性。

  6. 跨域请求:如果需要支持跨域请求,请确保正确配置 CORS(跨域资源共享),以允许来自不同域的请求。

总结

        通过以上步骤,你已经成功在 .NET 6.0 Web API 项目中实现了基于 JWT Token 的身份验证。这个示例包括了如何创建和验证 JWT Token,以及如何在控制器中使用这些 Token。希望这个示例对你有所帮助。

猿享天开
关注
专栏目录
【笔记】ASP.NET Core Web APIToken验证
夜飞鼠的专栏
04-16 2229
在实际开发,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程,常用的一种JWT身份验证方式。SON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。主要用于认证和保护API之间信息交换。JWT通常由三部分组成: 头信息(header), 消息体(payload)和
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
ASP.NET WebApi TOKEN+签名认证
weixin_46879188的博客
04-30 3391
一、 在开放的api接口,我们通过http Post或者Get请求服务器的时候,会面临着许多的安全性问题,例如: ①请求来源(身份)是否合法? ②请求参数被篡改? ③请求的唯一性(不可复制),防止请求被恶意攻击 为了保证数据在通信时的安全性,我们可以采用TOKEN+参数签名的方式来进行相关验证。 二、使用TOKEN+签名认证 保证请求安全性 token+签名认证的主要原理是: 1.用户第一次访问,输入账号密码,获取认证Token信息,用户Token缓存在服务器(该请求不需要进行签名认证) 2.在后面
.NET 6.0 WebAPI 使用JWT生成Token验证授权
qq_44217121的博客
09-23 1112
4.相关配置结束后,我们得生成Token,这时我们创建一个专门生成Token的类里面有两个生成Token的方法,想用哪个用哪个。6.既然可以生成Token了,那么就该给控制器授权了,总不能让每个携带Token的用户能访问系统所以的API吧,那样会出现垂直越权的情况,渗透测试过不了哦。2.配置文件appsettings.json写相关配置参数(也可不写,写在程序里面,数据库读取也是一样的)此处着重说Policy方式,对Role方法感兴趣的可以看我前面的Cookie方式验证。3.在Program配置相关服务。
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
.net6 webapi 添加认证token
weixin_44535079的博客
04-17 1090
Authentication(认证) 和 Authorization(授权)傻傻分不清楚。
webapi token验证例子
06-05
webapi token验证例子
.Net WebApi Token/参数校验:你真的会了吗?
最新发布
java专栏
10-05 901
除了使用OAuth外,我们还可以创建自定义的过滤器来校验Token。这种方法更灵活,可以根据特定需求进行调整。// 进行Token有效性检查if (!// 这里应实现Token校验逻辑// 示例假定Token总是有效的[HttpGet]代码解析定义了一个名为的自定义过滤器。在方法检查请求头的字段。如果Token无效,则返回HTTP 403 Forbidden。如果Token不存在,则返回HTTP 401 Unauthorized。
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
.NET6平台上开发WebAPI应用时,为了实现安全的用户身份验证和授权,通常会采用JSON Web Tokens(JWT)机制。JWT是一种轻量级的身份验证标准,它允许服务端为客户端颁发一个令牌,该令牌包含了用户的相关信息,且在...
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 4205
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController新建Login接口来获取Token。在appsettings.json配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
.net6.0 webapi jwt验证
06-28
b'.net6.0 webapi jwt认证'是指使用jwt来对.net6.0 webapi进行认证。jwt即JSON Web Token,是一种用于身份验证及授权的开放标准。...在.net6.0 webapi使用jwt认证,可以有效防止未经授权的访问和攻击。
如何在 Net6.0 WebAPI 进行 JWT 认证和授权
xxxzzzqqq_的博客
03-11 1773
好了,今天就写到这里了,现在总结一下,如果想要给WebAPI或者MinimalAPI实现授权和鉴权,总体步骤是差不多的,第一步,都要启用连个间件,就是授权和鉴权间件(app.UseAuthorization()、app.UseAuthentication()),然后要配置鉴权的配置逻辑,差别就在授权方面,普通WebAPI直接通过 AuthorizeAttribute 特性标注在需要授权的方法或者 Controller 类型上就可以。不忘初心,继续努力,老天不会辜负努力的人。有了准备,我们就可以开始了。
.NET 6 WebApi使用JWT
xwq723521的博客
10-12 533
jwt是一种用于身份验证的开放标准,他可以在网络之间传递信息,jwt由三部分组成:头部,载荷,签名。头部包含了令牌的类型和加密算法,载荷包含了用户的信息,签名则是对头部和载荷的加密结果。jwt鉴权验证是指在用户登录成功后,服务器生成一个jwt令牌并返回给客户端,客户端在后续的请求携带该令牌,服务通过令牌的签名来确定用户的身份和权限。这种方式可以避免在每个请求都需要进行身份验证,提高了系统的性能和安全性。
Web Api Token验证
plx的IT路
10-04 4756
我最近刚学习web api,所以写的一token认证比较简单 1、新建一个web api项目 2、打开Provides的这个类 3、在这个类的GrantResourceOwnerCredentials方法进行认证修改 4、注释掉这个方法的东西,自己写认证 UserDomain user = new UserDomain(new UserRepos...
WebApi实现Token验证
Sqsdhc的博客
12-02 2840
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
ASP.NET Core Web APIToken验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6586
在实际开发,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
web api token验证理解
dingti6779的博客
08-13 170
最近一直在学习web api authentication,以Jwt为例,可以这样理解,token是身份证,用户名和密码是户口本,身份证是有有效期的(jwt 有过期时间),且携带方便(自己带有所有信息self contained),户口本不会过期(用户名和密码什么时候都有用),携带不方便(用户名和密码从数据库验证),jwt同样也有身份证的缺点,丢了别人有些地方可以用,户口本改名字了,身...
WebAPI身份认证Token
qq_41264896的博客
03-26 515
WebAPI身份认证Token
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

猿享天开

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值