ASP.NET CORE JWT认证

最新推荐文章于 2024-04-29 14:15:17 发布
最新推荐文章于 2024-04-29 14:15:17 发布
阅读量2k 收藏 7
点赞数
分类专栏: ASP.NET CORE 文章标签: asp.net core jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niechaoya/article/details/121336229
版权

ASP.NET CORE版本:.NET 5.0 

关于JWT的基础知识,请大家上网搜一下,这里主要从代码层面讲解。

首先新建一个ASP.NET CORE Web api的空项目,然后新建一个LoginController的api控制器。

从nuget中安装包:Microsoft.AspNetCore.Authentication.JwtBearer;

1、生成Token

先看代码:

    [Route("api/[controller]/[action]")]
    [ApiController]
    public class LoginController : Controller
    {
        private readonly PermissionRequirement _permissionRequirement;
        public LoginController(PermissionRequirement permissionRequirement)
        {
            _permissionRequirement = permissionRequirement;
        }
        [HttpGet]
        public IActionResult GetJwtToken(string userName, string password)
        {
            var claims = new List<Claim> {
                        new Claim(ClaimTypes.GivenName, "mark"),
                        new Claim(ClaimTypes.Name, userName),
                        new Claim(JwtRegisteredClaimNames.Jti, "10000") };
            var roles = new List<Claim>();
            if (userName == "ncy")
            {
                roles.Add(new Claim(ClaimTypes.Role, "admin"));
            }
            else
            {
                roles.Add(new Claim(ClaimTypes.Role, "normal"));
            }
            claims.AddRange(roles);
            var token = JwtToken.BuildJwtToken(claims.ToArray(), _permissionRequirement);
            var jm = new RespEntity();
            jm.code = 0;
            jm.data = token;
            jm.msg = "success";

            return Json(jm);
        }
    }

我这里根据输入的用户名来添加不同的角色是为了做角色的权限控制,大家不用理会这个。

PermissionRequirement是认证需要的参数字段组成的一个类,定义如下:

    public class PermissionRequirement : IAuthorizationRequirement
    {
        /// <summary>
        /// 用户权限集合,一个订单包含了很多详情,
        /// 同理,一个网站的认证发行中,也有很多权限详情(这里是Role和URL的关系)
        /// </summary>
        public List<PermissionItem> Permissions { get; set; }
        /// <summary>
        /// 无权限action
        /// </summary>
        public string DeniedAction { get; set; }

        /// <summary>
        /// 认证授权类型
        /// </summary>
        public string ClaimType { internal get; set; }
        /// <summary>
        /// 请求路径
        /// </summary>
        public string LoginPath { get; set; } = "/Api/Login";
        /// <summary>
        /// 发行人
        /// </summary>
        public string Issuer { get; set; }
        /// <summary>
        /// 订阅人
        /// </summary>
        public string Audience { get; set; }
        /// <summary>
        /// 过期时间
        /// </summary>
        public TimeSpan Expiration { get; set; }
        /// <summary>
        /// 签名验证
        /// </summary>
        public SigningCredentials SigningCredentials { get; set; }


        /// <summary>
        /// 构造
        /// </summary>
        /// <param name="deniedAction">拒约请求的url</param>
        /// <param name="permissions">权限集合</param>
        /// <param name="claimType">声明类型</param>
        /// <param name="issuer">发行人</param>
        /// <param name="audience">订阅人</param>
        /// <param name="signingCredentials">签名验证实体</param>
        /// <param name="expiration">过期时间</param>
        public PermissionRequirement(string deniedAction, List<PermissionItem> permissions, string claimType, string issuer, string audience, SigningCredentials signingCredentials, TimeSpan expiration)
        {
            ClaimType = claimType;
            DeniedAction = deniedAction;
            Permissions = permissions;
            Issuer = issuer;
            Audience = audience;
            Expiration = expiration;
            SigningCredentials = signingCredentials;
        }
    }

实际生成token的函数:

    public static string BuildJwtToken(Claim[] claims, PermissionRequirement                 
    permissionRequirement)
        {
            var now = DateTime.Now;
            // 实例化JwtSecurityToken
            var jwt = new JwtSecurityToken(
                issuer: permissionRequirement.Issuer,
                audience: permissionRequirement.Audience,
                claims: claims,
                notBefore: now,
                expires: now.Add(permissionRequirement.Expiration),
                signingCredentials: permissionRequirement.SigningCredentials
            );
            // 生成 Token
            var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);
            return encodedJwt;
        }

我们先来看一下Claim这个类。这个类其实是JWT的荷载,即消息体。我们在实例化一个Claim的时候传入了2个参数,一个type,一个value,其实就是键值对。我们打开jwt解析token的网站:JSON Web Tokens - jwt.io,把我们生成的token复制到左边的文本框里,截图如下:

 payload里的前3个键值对是不是我们用Claim定义的(这里的type是字符串)?至于下面那几个键值对,我们看一下函数BuildJwtToken,这几个的值是在PermissionRequirement里赋值的。

2、ClaimTypes.Role

new Claim(ClaimTypes.Role, "admin")。把当前用户的角色信息也写入到荷载中。我这里的admin是测试的角色,实际的角色应该是用户登录后,从数据库获取该用户所属的角色。

把角色写入到荷载中有一个好处:在做角色权限验证的时候,不需要从数据库中去查询当前用户的所属角色,减少了数据库的查询次数。但是也有几个缺点:

1、如果该用户有很多角色,会导致token变大,而每次客户端与服务器交互都要发送token,所以会导致网络流量变大。

2、如果修改了用户的所属角色,那么该用户必须重新登陆。因为JWT Token是一次性的,必须重新登陆才能获得新的token。

对于这个问题,我认为比较好的方案是:把用户的角色信息存储在缓存中(比如redis),然后每次修改用户的角色的信息的时候顺便更新一下缓存。

3、安全性

我们刚才把生成的token放入到jwt官方的token解析工具中就可以解析出荷载的内容,这就说明了jwt是存在安全问题的。其实jwt只是对payload做了base64编码,只要对荷载部分进行base64解码就可以得到荷载的内容。所以说我们不能把重要的信息放在paylaod里面。

4、添加JWT认证服务

下面的代码是写在startup类中ConfigureServices函数中,用来注册JWT认证

            var keyBytes = Encoding.Default.GetBytes("MyJwtWebTokenApplication");
            var signingKey = new SymmetricSecurityKey(keyBytes);
            var issuer = "CoreShop";
            var audience = "CoreCms";
            // 令牌验证参数
            var tokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,   //是否验证SecurityKey
                IssuerSigningKey = signingKey,  //拿到SecurityKey
                ValidateIssuer = true, //是否验证Issuer
                ValidIssuer = issuer,//发行人 //Issuer,这两项和前面签发jwt的设置一致
                ValidateAudience = true, //是否验证Audience
                ValidAudience = audience,//订阅人
                ValidateLifetime = true,//是否验证失效时间
                ClockSkew = TimeSpan.FromSeconds(0),
                RequireExpirationTime = true,
            };
            services.AddAuthentication(x =>
            {
                x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
                x.DefaultForbidScheme = JwtBearerDefaults.AuthenticationScheme;
            }).AddJwtBearer(o =>
            {
                o.TokenValidationParameters = tokenValidationParameters;
                o.Events = new JwtBearerEvents
                 {
                     OnChallenge = context =>
                     {
                         context.Response.Headers.Add("Token-Error", context.ErrorDescription);
                         return Task.CompletedTask;
                     },
                     OnAuthenticationFailed = context =>
                     {
                         var token = context.Request.Headers["Authorization"].ObjectToString().Replace("Bearer ", "");
                         var jwtToken = (new JwtSecurityTokenHandler()).ReadJwtToken(token);

                         if (jwtToken.Issuer != issuer)
                         {
                             context.Response.Headers.Add("Token-Error-Iss", "issuer is wrong!");
                         }

                         if (jwtToken.Audiences.FirstOrDefault() != audience)
                         {
                             context.Response.Headers.Add("Token-Error-Aud", "Audience is wrong!");
                         }

                         // 如果过期,则把<是否过期>添加到,返回头信息中
                         if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
                         {
                             context.Response.Headers.Add("Token-Expired", "true");
                         }
                         return Task.CompletedTask;
                     }
                 };
            });

这里的几个常量字符串应该是定义在配置文件中的,为了方便,我直接写在这里了。

注意这里的密钥长度必须要大于等于16个字节,不然在生成token的时候会报错

令牌验证参数中的ClockSkew参数(默认时钟偏差字段),您在生成token时指定的过期时间要加上这个偏差时间才是token的过期时间。它的默认值是300秒,定义如下:

 这个地方感觉有点坑,大家要小心哦。

接下来就是指定认证方案,默认的方案是Bearer。使用这个方案的时候,认证的结果是JWT默认的返回结果。主要体现在返回的状态码上,如果是认证成功,状态码就是200。失败(Challenge)就是401。认证成功但是没有授权(Forbid)就是403。

除了使用默认的方案,我们还可以自定义方案。定义一个类继承AuthenticationHandler<AuthenticationSchemeOptions>,然后重写您想要自定义的返回结果(Authenticate、Challenge、Forbid),代码如下:

x.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
x.DefaultChallengeScheme = nameof(ApiResponseForAdminHandler);
x.DefaultForbidScheme = nameof(ApiResponseForAdminHandler);
public class ApiResponseForAdminHandler : AuthenticationHandler<AuthenticationSchemeOptions>
    {
        public ApiResponseForAdminHandler(IOptionsMonitor<AuthenticationSchemeOptions> options, ILoggerFactory logger, UrlEncoder encoder, ISystemClock clock) : base(options, logger, encoder, clock)
        {
        }

        protected override Task<AuthenticateResult> HandleAuthenticateAsync()
        {
            throw new NotImplementedException();
        }
        protected override async Task HandleChallengeAsync(AuthenticationProperties properties)
        {
            Response.ContentType = "application/json";    
            var jm = new AdminUiCallBack();
            jm.code = 401;
            jm.data = 401;
            jm.msg = "很抱歉,您无权访问该接口,请确保已经登录!";
            await Response.WriteAsync(JsonConvert.SerializeObject(jm));
        }

        protected override async Task HandleForbiddenAsync(AuthenticationProperties properties)
        {
            Response.ContentType = "application/json";        
            var jm = new AdminUiCallBack();
            jm.code = 403;
            jm.msg = "很抱歉,您的访问权限等级不够,联系管理员!!";
            await Response.WriteAsync(JsonConvert.SerializeObject(jm));

        }

    }

这里的HandleAuthenticateAsync我们直接抛出了没有实现的异常,因为在AddAuthentication时DefaultAuthenticateScheme=JwtBearerDefaults.AuthenticationScheme;所以不会调用这个函数。但是下面的challenge和forbidden是使用这个类做为它的方案。

这种情况下,即使认证没有成功,返回的状态码也是200,我们需要从AdminUiCallBack类中获取认证的结果。

不过使用自定义方案时,需要加上一行代码,指定提供方案的类

.AddScheme<AuthenticationSchemeOptions, ApiResponseForAdminHandler>(nameof(ApiResponseForAdminHandler), o => { })

这是在AddJwtBearer函数后面调用。这里有一点需要注意一下,使用了自定义方案,JwtBearerEvents里面定义的事件委托就会失效,所以这里是二选一。如果方案太复杂,可以使用自定义方案,反之,可以使用事件委托来处理。如果使用事件委托,就不需要调用AddScheme函数了。

最后在Configure函数中调用app.UseAuthentication();启用认证中间件即可。

5、C/S客户端认证

webapi不仅仅是b/s前端可以调用,c# winform也可以调用

            HttpClient client = new HttpClient();
            client.DefaultRequestHeaders.Authorization = new System.Net.Http.Headers.AuthenticationHeaderValue("Bearer", _token);
            var response = await client.GetAsync("http://localhost:5000/api/test/GetMyAddress");
            if (response.StatusCode == System.Net.HttpStatusCode.OK)
            {
                var content = await response.Content.ReadAsStringAsync();
                Console.WriteLine($"api返回数据:{content}");
            }
            else
            {
                Console.WriteLine($"请求api接口失败,状态码:{((int)response.StatusCode)}");
            }

请大家看一下第二行代码,在new一个AuthenticationHeaderValue对象时,一个参数是认证方案,一个是token的值,这个认证方案一定要带上。

在服务端解析token的时候也要先把Bearer这个字符串去掉才能解析出token

begeneral
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NET Core集成JWT认证
覃鸿宇的博客
09-08 851
JWT(Json web token)就不用过多的介绍了,在.NET Core开发中使用JWT进行认证也是比较常见的,而且接入过程也比较简单,随便配置配置就好了。 要想使用JWT,仅仅只需要在项目中引用微软的一个认证组件。 Install-Package Microsoft.AspNetCore.Authentication.JwtBearer 然后将一些敏感数据可以放在配置文件appsettings.json中。 { "JWT": { "ClockSkew": 10,
.NET Core 实现 JWT 认证
rjcql的专栏
02-07 2046
JWT(JSON Web Token)是一种开放标准, 由三部分组成,分别是Header、Payload和Signature,它以 JSON 对象的方式在各方之间安全地传输信息。通俗的说,就是通过数字签名算法生产一个字符串,然后在网络请求的中被携带到服务端进行身份认证,功能上来说和 SessionId 认证方式很像。在.Net Core 中使用JWT 可以通过 NuGet 获取 Microsoft.AspNetCore.Authentication.JwtBearer 包。
net core 使用jwt
最新发布
qq_51172697的博客
04-29 1290
1. 安装必要的包首先,确保你的.NET Core项目中安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
.Net Core官方的 JWT 授权验证
一些随笔
03-16 846
什么是JWT JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。当使用公钥/私钥对对令牌进行签名时,签名还证明
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
菜鸟的专栏
12-28 9714
C# ASP.NET Core Web API 身份授权(JWT)验证
.Net Core JWT 授权
weixin_59180442的博客
06-05 3268
当我们开发 Web 应用程序时,通常需要对用户进行身份验证和授权。JWT(JSON Web Token)是一种安全传输信息的标准,它可以在各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境中实现JWT认证。 首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
浅谈ASP.NET Corejwt授权认证的流程原理
10-15
ASP.NET Core 中的 JWT(JSON Web Tokens)授权认证是一种安全机制,用于验证用户身份并授权访问受保护的API资源。JWT 是一个轻量级的身份验证标准,它允许服务器通过发送一个自包含的令牌来确认用户身份,而不是...
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
ASP.NET Core 中使用 JWT 实现令牌认证及授权范例程序代码
07-02
ASP.NET Core 是微软推出的跨平台、高性能的开源框架,用于构建现代云应用。在这个场景中,我们关注的是如何在ASP.NET Core中利用JSON Web Tokens (JWT)进行身份验证和授权。JWT是一种轻量级的身份验证机制,适用于...
asp.net core jwt
12-28
ASP.NET Core JWT(JSON Web Token)是微软ASP.NET Core框架中用于实现身份验证和授权的一种安全机制。JWT是一种轻量级的身份验证标准,它允许在客户端和服务端之间安全地传递信息,无需在每次请求时携带会话信息。...
详解ASP.NET Core Token认证
10-20
尽管ASP.NET Core的默认Cookies认证不直接支持JWT,但你可以通过实现`ISecureDataFormat<AuthenticationTicket>`接口来自定义JWT的解密和验证逻辑。这允许你在Cookie中存储和验证JWT,但请注意,这种方法需要你自己...
ASP.NET Core 3.1 JWT token实现与应用
04-25
- 当客户端发送带有JWT的请求时,ASP.NET CoreJWT认证中间件会自动处理并验证Token。如果验证成功,会将Claims解析为`ClaimsPrincipal`,供后续控制器使用。 - 验证过程包括:检查签名、过期时间、发行者和接收...
ASP.NET Core使用JWT认证授权的方法
01-19
认证 : 识别用户是否合法 授权: 赋予用户权限 (能访问哪些资源) 鉴权: 鉴定权限是否合法 Jwt优势与劣势 优势 1、 无状态 token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , ...
asp.net core集成JWT的步骤记录
01-01
JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 【什么时候应该使用JSON Web令牌?】 授权:这是使用JWT的最常见方案。一旦用户登录...
ASP.NET Core高级之认证与授权(二)--JWT认证前后端完整实现
物联网大联盟
01-10 2481
本文是一个基于JWT认证的完整的前后端实现代码案例。
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 3925
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
.NET core JWT身份认证实现
lwpoor123的博客
12-15 1194
首先我们知道jwt中一定会有的字段有Issuer,Audience,另外jwt有过期时间,所以要有代表生命周期的Lifetime,表示续期的RenewalTime,然后是头字段,是否验证失效时间,是否验证签名等,于是就有了如下结构. JwtConfig.cs在Hero.Jwt中定义一个叫做JwtConfig的类,表示针对jwt的所有配置信息,ciset;set;/// 签名keyset;/// 生命周期set;/// 续期时间set;/// 是否验证生命周期set;/// 验证头字段set;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值