基于.NET6平台开发WebApi(十一)—— 使用JWT进行用户鉴权

已于 2022-03-02 14:10:51 修改
阅读量5.5k 收藏 14
点赞数 3
分类专栏: 个人随笔 文章标签: .net c# 后端 jwt
于 2022-01-18 11:23:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mengke2815/article/details/122556153
版权

源码点我

至此我们的项目已经可以正常运行了,但是聪明的你可能发现了一个问题,那就是我们在第九章中将控制器基类中的[Authorize]标记注释掉了,而且我们添加了一个CurrentUserId属性,没错,它就是为了用户鉴权使用的。用户登录可以说是WebApi必不可少的功能,本篇我们就来详细说说如何进行用户鉴权。
在这里插入图片描述
1、对于小型项目或者个人项目来说,可能规模比较小,而且不需要单点登录这样的功能,也就没有必要去单独建设一个IdentityServer服务器来实现鉴权,此处我们可以直接使用.NET自带的功能来实现JWT签发,首先我们打开Nuget,搜索安装Microsoft.AspNetCore.Authentication.JwtBearer。
在这里插入图片描述
2、接着我们在appsettings.json中配置一个key用于JWT签发,然后打开Program.cs,添加如下代码
在这里插入图片描述

#region 添加校验
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = true,
        ValidateAudience = true,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        ValidAudience = "net6api.com",
        ValidIssuer = "net6api.com",
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["JwtSecurityKey"])),
    };
});
#endregion

app.UseAuthentication();
app.UseAuthorization();

3、接下来我们创建一个LoginDto类用于用户登录信息输入,一个LoginView用于用户登录信息返回,代码如下
在这里插入图片描述

namespace NET6.Domain.Dtos
{
    /// <summary>
    /// 用户登录
    /// </summary>
    public class LoginDto
    {
        /// <summary>
        /// 登录名
        /// </summary>
        public string LoginName { get; set; }
        /// <summary>
        /// 密码
        /// </summary>
        public string Password { get; set; }
    }
}

namespace NET6.Domain.ViewModels
{
    /// <summary>
    /// 登录信息
    /// </summary>
    public class LoginView
    {
        /// <summary>
        /// token
        /// </summary>
        public string Token { get; set; }
        /// <summary>
        /// 过期时间
        /// </summary>
        public DateTime Expires { get; set; }
        /// <summary>
        /// 用户Id
        /// </summary>
        public string Id { get; set; }
        /// <summary>
        /// 用户名称
        /// </summary>
        public string Name { get; set; }
        /// <summary>
        /// 用户头像
        /// </summary>
        public string Avatar { get; set; }
    }
}

4、接着我们创建一个新的控制器,命名为AuthController,同样继承于BaseController,添加一个登录方法,并且假设我们用户信息已经验证成功,我们给登录方法加上[AllowAnonymous]标记并将BaseController中的[Authorize]标记启用,代码如下

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.IdentityModel.Tokens;
using NET6.Domain.Dtos;
using NET6.Domain.ViewModels;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

namespace NET6.Api.Controllers
{
    /// <summary>
    /// 鉴权相关
    /// </summary>
    public class AuthController : BaseController
    {
        readonly IConfiguration _config;
        public AuthController(IConfiguration config)
        {
            _config = config;
        }

        /// <summary>
        /// 用户登录
        /// </summary>
        /// <param name="dto"></param>
        /// <returns></returns>
        [AllowAnonymous]
        [HttpPost("login")]
        [ProducesResponseType(typeof(LoginView), StatusCodes.Status200OK)]
        public async Task<IActionResult> LoginAsync(LoginDto dto)
        {
            #region 校验用户信息,假设此处我们已经校验成功

            #endregion
            var view = new LoginView
            {
                Expires = DateTime.Now.AddDays(30)
            };
            var claims = new[] { new Claim(ClaimTypes.NameIdentifier, "") };
            var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["JwtSecurityKey"]));
            var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
            var token = new JwtSecurityToken(
                issuer: "net6api.com",
                audience: "net6api.com",
                claims: claims,
                expires: view.Expires,
                signingCredentials: creds);
            view.Token = new JwtSecurityTokenHandler().WriteToken(token);
            return Ok(JsonView(view));
        }
    }
}

4、编译运行,我们直接访问http://localhost:58707/address?page=1&size=15,发现返回401,表明请求未授权。
在这里插入图片描述
5、我们访问用户登录接口,获取Token。
在这里插入图片描述
6、我们使用Token再次访问接口,发现鉴权通过,接口正常返回。
在这里插入图片描述
在这里插入图片描述
7、一切搞定之后我们该如何获取用户信息呢,直接访问我们在BaseController中定义的CurrentUserId即可(可以将更多的信息添加到Token中,在此处同样可以获取)。
在这里插入图片描述

昨夜丶雨疏风骤.
关注
  • 3
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
NET6完整项目实战系列第6篇:用户登录番外篇--app.UseAuthentication()和app.UseAuthorization()的使用(下)
wangxin5576的博客
05-18 611
注意:和 WEBAPI 不同,RazorPages 的角色授权只能是整个页面(这里是UserIndexModel),不可以具体到页面中的某个方法,虽然前面实现了认证,能读取声明中的信息,但以admin的身份登录后是可以访问 UserIndex 页面的,反之亦然,要实现admin账号。2. 显示了 Forbidden.cshtml 页面的值,这是我们在 Program.cs 的 AddCookie( ) 方法中设置的;//无权限访问时跳转到的页面,Pages目录下要有Forbidden.cshtml页面。
.Net6 WebApi基本权限控制
最新发布
.Net技术、软件架构、人工智能、数字化转型、DeveloperSharp、微服务、工业互联网、智能制造
04-03 613
我在这里实现的其实不是太细致,主要还是用来提供一种思路吧。为了保证安全性,在某些重要的接口处我们需要进行一些权限控制,毕竟在现在前后端分离的大背景下,怎么能够安心把重要的数据操作的权限交给前端呢,就更别提其他一些抗风险性了(抓包等)。调用,这里假设管理员的权限代码是10,那么就只有登录用户的权限是10才可以访问这个方法,如果是加到控制器上面的话就是对整个控制器进行限制。🏆专注领域:.Net技术、软件架构、人工智能、数字化转型、DeveloperSharp、微服务、工业互联网、智能制造。,能助你升职+涨薪!
.NET 6 WebApi Swagger 配置 JWT token+Authorize认证
qq_61325957的博客
05-03 3341
所以读者姥爷如果只是单纯返回token的时候,记得在控制器右上角的Authorize里 先写Bearer+空格+你的token。然后 我们还要启用验证,还是在program.cs下,注意顺序,不能乱,一定要先认证、再授权 ,否则会验证失败。我这里下载的是6.0版本的 下载自信版提示报错和自己的版本不搭配,大家看自己core的版本而定吧。在这里稍稍提醒一下各位读者,在token接口里,我返回token串是写的。好了,今天的分享到这里,希望能够帮助到你,我们下期见。然后再去点击刚才的控制器。
.net core webapiJWT 授权认证
rush_peng的博客
06-12 2197
传统的授权认证: 传统验证基于Cookies和Session;但是由于http是无状态的(第一次和第二次发送的http请求没有任何区别),所以这种模式有很多局限,比如在多服务器集群时就无法使用; 和asp.net相比,core的不同,是在实例化类之前,就先进行身份认证,身份认证完了以后,再完成授权; 基于Token的授权认证 下边是基于token验证的流程图: 授权服务器发送的token由私钥加密; API得到的token,用公钥解密; Token令牌的组成: 最终API如何能确定这个token就是
.net6 中基于jwt认证和授权
qq_42172560的博客
03-30 738
.net6 中基于jwt认证和授权
WebAPI常见的鉴权方法,及其适用范围
weixin_30570101的博客
10-15 929
在谈这个问题之前,我们先来说说在WebAPI中保障接口请求合法性的常见办法: API Key + API Secret cookie-session认证 OAuth JWT 当然还有很多其它的,比如 openid connect (OAuth 2.0协议之上的简单身份层),Basic Auth ,Digest Auth 不一一例举了 1、API Key + API Se...
.Net6中通过自定义Token进行鉴权授权
weixin_38819951的博客
04-16 2511
1、注册自定义token鉴权方案 #region 使用自定义token鉴权方案,进行鉴权 builder.Services.AddAuthentication(config => { config.AddScheme<CtmTokenAuthenticationHandler>("token", "ctmToken"); config.DefaultAuthenticateScheme = "token";//默认鉴权方案改成token config.Defau
.NET 6 WebApi使用JWT
xwq723521的博客
10-12 378
jwt是一种用于身份验证的开放标准,他可以在网络之间传递信息,jwt由三部分组成:头部,载荷,签名。头部包含了令牌的类型和加密算法,载荷包含了用户的信息,签名则是对头部和载荷的加密结果。jwt鉴权验证是指在用户登录成功后,服务器生成一个jwt令牌并返回给客户端,客户端在后续的请求中携带该令牌,服务通过令牌的签名来确定用户的身份和权限。这种方式可以避免在每个请求中都需要进行身份验证,提高了系统的性能和安全性。
如何在.net6webapi中配置Jwt实现鉴权验证
Gefangenes的博客
06-10 1969
jwt是一种用于身份验证的开放标准,他可以在网络之间传递信息,jwt由三部分组成:头部,载荷,签名。头部包含了令牌的类型和加密算法,载荷包含了用户的信息,签名则是对头部和载荷的加密结果。jwt鉴权验证是指在用户登录成功后,服务器生成一个jwt令牌并返回给客户端,客户端在后续的请求中携带该令牌,服务通过令牌的签名来确定用户的身份和权限。这种方式可以避免在每个请求中都需要进行身份验证,提高了系统的性能和安全性。
.net6 Web Api使用JWT-从后端到前端全部过程
故里2130
01-13 3507
然后在具体的方法上面,增加角色,也就是只有admin才能访问这个方法,其他用户不能访问,就是200,其他用户访问就是401,当然这是在postman里面操作的。也可以把Token的值放在Headers中,增加Authorization,还需要加bearer,后面加空格。当我们把字符串复制到JWT官网,就可以是明文的,所以千万不要写账号和密码,如果要写,就再加密一层。7.关键时刻,此时建立一个User类,再建立一个Login方法增加,并且增加[Authorize]。实际项目肯定不能直接写死。
Net.WebApi_JWT_Swagger_Autofac.zip
09-11
.Net WebAPi 下实现Swagger接口文档、JWT身份验证、autofac的注入, EF DBFirst机制,DDD模式,SQLServer数据库
web api JWT token认证
04-24
web api JWT token认证 Demo 代码,包含跨域访问 api设置。
webapi 身份验证DEMO
12-22
WebApiDemo是webapi摘要验证的demo
net core集成jwt
09-24
随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。适用于多客户端的前后端解决方案,JWT 是无状态化的,更适用于 RESTful 风格的接口验证。本文主要介绍使用JWT进行接口身份认证。
webapi token验证例子
06-05
webapi token验证例子
.NET6WebAPI使用Sqlserver+JWT增删改查
06-26
使用.NET6WebApi跟Swagger增删改查,使用swagger生成接口文档,就是一个.NET6的WebAPI的一个模板,直接下载下来就可以用,里边自带数据库,直接替换掉内容就行
基于.NET7平台WebApi项目
11-12
基于最新的.NET7平台,完全抛弃繁杂的接口,采用.NET最经典的三层架构,结合简化的DDD设计模式,搭配Sqlsugar、Autofac、Serilog、CSRedis等优秀框架,代码简洁,结构清晰,可塑性极强,适合中小型企业、个人项目等...
asp.net基于JWTweb api身份验证及跨域调用实践
10-18
主要介绍了asp.net基于JWTweb api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
.net 6 webapi jwt授权鉴权代码
07-14
以下是使用.NET 6 Web API进行JWT授权鉴权的示例代码: 1. 首先,安装所需的NuGet包: ``` dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer dotnet add package System.IdentityModel.Tokens.Jwt ``` 2. 在Program.cs文件中进行配置: ```csharp using Microsoft.IdentityModel.Tokens; var builder = WebApplication.CreateBuilder(args); // 添加JWT认证服务 builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = "your_issuer", // 发行者 ValidAudience = "your_audience", // 受众 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")) // 密钥 }; }); // 注册授权策略 builder.Services.AddAuthorization(); builder.Services.AddControllers(); var app = builder.Build(); app.UseAuthentication(); app.UseAuthorization(); app.MapControllers(); app.Run(); ``` 3. 创建一个控制器来处理认证请求: ```csharp using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; using Microsoft.IdentityModel.Tokens; [ApiController] [Route("api/[controller]")] public class AuthController : ControllerBase { [AllowAnonymous] [HttpPost("login")] public IActionResult Login(string username, string password) { // 假设这里是验证用户名和密码的逻辑 // 如果验证通过,创建一个JWT token并返回给客户端 var token = GenerateToken(username); return Ok(new { token }); } [Authorize] [HttpGet("protected")] public IActionResult Protected() { // 受保护的路由,只有经过认证的用户才能访问 return Ok("You have accessed the protected route."); } private string GenerateToken(string username) { var claims = new[] { new Claim(ClaimTypes.Name, username), // 可以添加其他自定义的claims }; var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")); var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); var token = new JwtSecurityToken( issuer: "your_issuer", audience: "your_audience", claims: claims, expires: DateTime.Now.AddMinutes(30), // token过期时间 signingCredentials: creds); return new JwtSecurityTokenHandler().WriteToken(token); } } ``` 以上示例代码演示了如何使用.NET 6 Web APIJWT进行授权鉴权。请注意替换示例中的"your_issuer"、"your_audience"和"your_secret_key"为适合你的实际情况的值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值