ASP.NET CORE JWT认证

最新推荐文章于 2024-04-29 14:15:17 发布
最新推荐文章于 2024-04-29 14:15:17 发布
阅读量2k 收藏 7
点赞数
分类专栏: ASP.NET CORE 文章标签: asp.net core jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niechaoya/article/details/121336229
版权

ASP.NET CORE版本:.NET 5.0 

关于JWT的基础知识,请大家上网搜一下,这里主要从代码层面讲解。

首先新建一个ASP.NET CORE Web api的空项目,然后新建一个LoginController的api控制器。

从nuget中安装包:Microsoft.AspNetCore.Authentication.JwtBearer;

1、生成Token

先看代码:

    [Route("api/[controller]/[action]")]
    [ApiController]
    public class LoginController : Controller
    {
        private readonly PermissionRequirement _permissionRequirement;
        public LoginController(PermissionRequirement permissionRequirement)
        {
            _permissionRequirement = permissionRequirement;
        }
        [HttpGet]
        public IActionResult GetJwtToken(string userName, string password)
        {
            var claims = new List<Claim> {
                        new Claim(ClaimTypes.GivenName, "mark"),
                        new Claim(ClaimTypes.Name, userName),
                        new Claim(JwtRegisteredClaimNames.Jti, "10000") };
            var roles = new List<Claim>();
            if (userName == "ncy")
            {
                roles.Add(new Claim(ClaimTypes.Role, "admin"));
            }
            else
            {
                roles.Add(new Claim(ClaimTypes.Role, "normal"));
            }
            claims.AddRange(roles);
            var token = JwtToken.BuildJwtToken(claims.ToArray(), _permissionRequirement);
            var jm = new RespEntity();
            jm.code = 0;
            jm.data = token;
            jm.msg = "success";

            return Json(jm);
        }
    }

我这里根据输入的用户名来添加不同的角色是为了做角色的权限控制,大家不用理会这个。

PermissionRequirement是认证需要的参数字段组成的一个类,定义如下:

    public class PermissionRequirement : IAuthorizationRequirement
    {
        /// <summary>
        /// 用户权限集合,一个订单包含了很多详情,
        /// 同理,一个网站的认证发行中,也有很多权限详情(这里是Role和URL的关系)
        /// </summary>
        public List<PermissionItem> Permissions { get; set; }
        /// <summary>
        /// 无权限action
        /// </summary>
        public string DeniedAction { get; set; }

        /// <summary>
        /// 认证授权类型
        /// </summary>
        public string ClaimType { internal get; set; }
        /// <summary>
        /// 请求路径
        /// </summary>
        public string LoginPath { get; set; } = "/Api/Login";
        /// <summary>
        /// 发行人
        /// </summary>
        public string Issuer { get; set; }
        /// <summary>
        /// 订阅人
        /// </summary>
        public string Audience { get; set; }
        /// <summary>
        /// 过期时间
        /// </summary>
        public TimeSpan Expiration { get; set; }
        /// <summary>
        /// 签名验证
        /// </summary>
        public SigningCredentials SigningCredentials { get; set; }


        /// <summary>
        /// 构造
        /// </summary>
        /// <param name="deniedAction">拒约请求的url</param>
        /// <param name="permissions">权限集合</param>
        /// <param name="claimType">声明类型</param>
        /// <param name="issuer">发行人</param>
        /// <param name="audience">订阅人</param>
        /// <param name="signingCredentials">签名验证实体</param>
        /// <param name="expiration">过期时间</param>
        public PermissionRequirement(string deniedAction, List<PermissionItem> permissions, string claimType, string issuer, string audience, SigningCredentials signingCredentials, TimeSpan expiration)
        {
            ClaimType = claimType;
            DeniedAction = deniedAction;
            Permissions = permissions;
            Issuer = issuer;
            Audience = audience;
            Expiration = expiration;
            SigningCredentials = signingCredentials;
        }
    }

实际生成token的函数:

    public static string BuildJwtToken(Claim[] claims, PermissionRequirement                 
    permissionRequirement)
        {
            var now = DateTime.Now;
            // 实例化JwtSecurityToken
            var jwt = new JwtSecurityToken(
                issuer: permissionRequirement.Issuer,
                audience: permissionRequirement.Audience,
                claims: claims,
                notBefore: now,
                expires: now.Add(permissionRequirement.Expiration),
                signingCredentials: permissionRequirement.SigningCredentials
            );
            // 生成 Token
            var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);
            return encodedJwt;
        }

我们先来看一下Claim这个类。这个类其实是JWT的荷载,即消息体。我们在实例化一个Claim的时候传入了2个参数,一个type,一个value,其实就是键值对。我们打开jwt解析token的网站:JSON Web Tokens - jwt.io,把我们生成的token复制到左边的文本框里,截图如下:

 payload里的前3个键值对是不是我们用Claim定义的(这里的type是字符串)?至于下面那几个键值对,我们看一下函数BuildJwtToken,这几个的值是在PermissionRequirement里赋值的。

2、ClaimTypes.Role

new Claim(ClaimTypes.Role, "admin")。把当前用户的角色信息也写入到荷载中。我这里的admin是测试的角色,实际的角色应该是用户登录后,从数据库获取该用户所属的角色。

把角色写入到荷载中有一个好处:在做角色权限验证的时候,不需要从数据库中去查询当前用户的所属角色,减少了数据库的查询次数。但是也有几个缺点:

1、如果该用户有很多角色,会导致token变大,而每次客户端与服务器交互都要发送token,所以会导致网络流量变大。

2、如果修改了用户的所属角色,那么该用户必须重新登陆。因为JWT Token是一次性的,必须重新登陆才能获得新的token。

对于这个问题,我认为比较好的方案是:把用户的角色信息存储在缓存中(比如redis),然后每次修改用户的角色的信息的时候顺便更新一下缓存。

3、安全性

我们刚才把生成的token放入到jwt官方的token解析工具中就可以解析出荷载的内容,这就说明了jwt是存在安全问题的。其实jwt只是对payload做了base64编码,只要对荷载部分进行base64解码就可以得到荷载的内容。所以说我们不能把重要的信息放在paylaod里面。

4、添加JWT认证服务

下面的代码是写在startup类中ConfigureServices函数中,用来注册JWT认证

            var keyBytes = Encoding.Default.GetBytes("MyJwtWebTokenApplication");
            var signingKey = new SymmetricSecurityKey(keyBytes);
            var issuer = "CoreShop";
            var audience = "CoreCms";
            // 令牌验证参数
            var tokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuerSigningKey = true,   //是否验证SecurityKey
                IssuerSigningKey = signingKey,  //拿到SecurityKey
                ValidateIssuer = true, //是否验证Issuer
                ValidIssuer = issuer,//发行人 //Issuer,这两项和前面签发jwt的设置一致
                ValidateAudience = true, //是否验证Audience
                ValidAudience = audience,//订阅人
                ValidateLifetime = true,//是否验证失效时间
                ClockSkew = TimeSpan.FromSeconds(0),
                RequireExpirationTime = true,
            };
            services.AddAuthentication(x =>
            {
                x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
                x.DefaultForbidScheme = JwtBearerDefaults.AuthenticationScheme;
            }).AddJwtBearer(o =>
            {
                o.TokenValidationParameters = tokenValidationParameters;
                o.Events = new JwtBearerEvents
                 {
                     OnChallenge = context =>
                     {
                         context.Response.Headers.Add("Token-Error", context.ErrorDescription);
                         return Task.CompletedTask;
                     },
                     OnAuthenticationFailed = context =>
                     {
                         var token = context.Request.Headers["Authorization"].ObjectToString().Replace("Bearer ", "");
                         var jwtToken = (new JwtSecurityTokenHandler()).ReadJwtToken(token);

                         if (jwtToken.Issuer != issuer)
                         {
                             context.Response.Headers.Add("Token-Error-Iss", "issuer is wrong!");
                         }

                         if (jwtToken.Audiences.FirstOrDefault() != audience)
                         {
                             context.Response.Headers.Add("Token-Error-Aud", "Audience is wrong!");
                         }

                         // 如果过期,则把<是否过期>添加到,返回头信息中
                         if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
                         {
                             context.Response.Headers.Add("Token-Expired", "true");
                         }
                         return Task.CompletedTask;
                     }
                 };
            });

这里的几个常量字符串应该是定义在配置文件中的,为了方便,我直接写在这里了。

注意这里的密钥长度必须要大于等于16个字节,不然在生成token的时候会报错

令牌验证参数中的ClockSkew参数(默认时钟偏差字段),您在生成token时指定的过期时间要加上这个偏差时间才是token的过期时间。它的默认值是300秒,定义如下:

 这个地方感觉有点坑,大家要小心哦。

接下来就是指定认证方案,默认的方案是Bearer。使用这个方案的时候,认证的结果是JWT默认的返回结果。主要体现在返回的状态码上,如果是认证成功,状态码就是200。失败(Challenge)就是401。认证成功但是没有授权(Forbid)就是403。

除了使用默认的方案,我们还可以自定义方案。定义一个类继承AuthenticationHandler<AuthenticationSchemeOptions>,然后重写您想要自定义的返回结果(Authenticate、Challenge、Forbid),代码如下:

x.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
x.DefaultChallengeScheme = nameof(ApiResponseForAdminHandler);
x.DefaultForbidScheme = nameof(ApiResponseForAdminHandler);
public class ApiResponseForAdminHandler : AuthenticationHandler<AuthenticationSchemeOptions>
    {
        public ApiResponseForAdminHandler(IOptionsMonitor<AuthenticationSchemeOptions> options, ILoggerFactory logger, UrlEncoder encoder, ISystemClock clock) : base(options, logger, encoder, clock)
        {
        }

        protected override Task<AuthenticateResult> HandleAuthenticateAsync()
        {
            throw new NotImplementedException();
        }
        protected override async Task HandleChallengeAsync(AuthenticationProperties properties)
        {
            Response.ContentType = "application/json";    
            var jm = new AdminUiCallBack();
            jm.code = 401;
            jm.data = 401;
            jm.msg = "很抱歉,您无权访问该接口,请确保已经登录!";
            await Response.WriteAsync(JsonConvert.SerializeObject(jm));
        }

        protected override async Task HandleForbiddenAsync(AuthenticationProperties properties)
        {
            Response.ContentType = "application/json";        
            var jm = new AdminUiCallBack();
            jm.code = 403;
            jm.msg = "很抱歉,您的访问权限等级不够,联系管理员!!";
            await Response.WriteAsync(JsonConvert.SerializeObject(jm));

        }

    }

这里的HandleAuthenticateAsync我们直接抛出了没有实现的异常,因为在AddAuthentication时DefaultAuthenticateScheme=JwtBearerDefaults.AuthenticationScheme;所以不会调用这个函数。但是下面的challenge和forbidden是使用这个类做为它的方案。

这种情况下,即使认证没有成功,返回的状态码也是200,我们需要从AdminUiCallBack类中获取认证的结果。

不过使用自定义方案时,需要加上一行代码,指定提供方案的类

.AddScheme<AuthenticationSchemeOptions, ApiResponseForAdminHandler>(nameof(ApiResponseForAdminHandler), o => { })

这是在AddJwtBearer函数后面调用。这里有一点需要注意一下,使用了自定义方案,JwtBearerEvents里面定义的事件委托就会失效,所以这里是二选一。如果方案太复杂,可以使用自定义方案,反之,可以使用事件委托来处理。如果使用事件委托,就不需要调用AddScheme函数了。

最后在Configure函数中调用app.UseAuthentication();启用认证中间件即可。

5、C/S客户端认证

webapi不仅仅是b/s前端可以调用,c# winform也可以调用

            HttpClient client = new HttpClient();
            client.DefaultRequestHeaders.Authorization = new System.Net.Http.Headers.AuthenticationHeaderValue("Bearer", _token);
            var response = await client.GetAsync("http://localhost:5000/api/test/GetMyAddress");
            if (response.StatusCode == System.Net.HttpStatusCode.OK)
            {
                var content = await response.Content.ReadAsStringAsync();
                Console.WriteLine($"api返回数据:{content}");
            }
            else
            {
                Console.WriteLine($"请求api接口失败,状态码:{((int)response.StatusCode)}");
            }

请大家看一下第二行代码,在new一个AuthenticationHeaderValue对象时,一个参数是认证方案,一个是token的值,这个认证方案一定要带上。

在服务端解析token的时候也要先把Bearer这个字符串去掉才能解析出token

begeneral
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.NET Core集成JWT认证
覃鸿宇的博客
09-08 848
JWT(Json web token)就不用过多的介绍了,在.NET Core开发中使用JWT进行认证也是比较常见的,而且接入过程也比较简单,随便配置配置就好了。 要想使用JWT,仅仅只需要在项目中引用微软的一个认证组件。 Install-Package Microsoft.AspNetCore.Authentication.JwtBearer 然后将一些敏感数据可以放在配置文件appsettings.json中。 { "JWT": { "ClockSkew": 10,
ASP.NET Core高级之认证与授权(二)--JWT认证前后端完整实现
物联网大联盟
01-10 2361
本文是一个基于JWT认证的完整的前后端实现代码案例。
net core 使用jwt
最新发布
qq_51172697的博客
04-29 1237
1. 安装必要的包首先,确保你的.NET Core项目中安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
.Net Core JWT 授权
weixin_59180442的博客
06-05 3236
当我们开发 Web 应用程序时,通常需要对用户进行身份验证和授权。JWT(JSON Web Token)是一种安全传输信息的标准,它可以在各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。
ASP.NET Core高级之认证与授权(一)--JWT入门-颁发、验证令牌
物联网大联盟
01-04 1832
正如每个人的家都需要锁门,每个系统也都需要对用户进行一些访问的控制,从而使系统更加地安全。
net coreJWT
qq_43826626的博客
03-28 1267
在开发程序中需要,通常需要对程序进行身份验证和授权,JWT是一种安全传输标准,各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。通常的办法是使用session来实现,用户登陆后,生成唯一session保存在服务器内存中,当浏览器再次访问时,http中携带了session,服务器根据该id取到信息实现缺点:用户过多占用服务器资源 每次响应都要向服务器获取一次session。
给.Net 5 Api增加JwtBearer认证
ZKEASOFT
12-27 2132
JSON WEB TOKEN JWT是Json Web Token的缩写。JWT, 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。 安装包引用 这里我们需要安装两个nuget包,所以在开始之
IdentityServer4 资源服务器 Token 验证大全(Jwt 和 Reference )
KingCruel的专栏
01-15 3215
强制实施 HTTPS 在 ASP.NET Core * * * * 本文章介绍的是资源服务器(api接口)验证 Token 是否合法 using System; using System.Collections.Generic; using System.Data; using System.Data.SqlClient; using System.Linq; using System.R...
Asp.net Core 3.1 JWT 认证Demo
12-27
这个Demo展示了如何在Asp.NET Core 3.1环境中实现JWT认证。 首先,JWT的基本概念是至关重要的。JWT是一个自包含的、安全的身份验证令牌,由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。头部...
浅谈ASP.NET Corejwt授权认证的流程原理
10-15
ASP.NET Core 中的 JWT(JSON Web Tokens)授权认证是一种安全机制,用于验证用户身份并授权访问受保护的API资源。JWT 是一个轻量级的身份验证标准,它允许服务器通过发送一个自包含的令牌来确认用户身份,而不是...
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
asp.net core集成JWT的步骤记录
01-01
【什么是JWT】 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。 JWT的官网地址:https://jwt.io/ 通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有访问api的权限。 JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 【什么时候应该使用JSON Web令牌?】 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。Single Sign On是
ASP.NET Core 中使用 JWT 实现令牌认证及授权范例程序代码
07-02
ASP.NET Core 是微软推出的跨平台、高性能的开源框架,用于构建现代云应用。在这个场景中,我们关注的是如何在ASP.NET Core中利用JSON Web Tokens (JWT)进行身份验证和授权。JWT是一种轻量级的身份验证机制,适用于...
asp.net core jwt
12-28
ASP.NET Core JWT(JSON Web Token)是微软ASP.NET Core框架中用于实现身份验证和授权的一种安全机制。JWT是一种轻量级的身份验证标准,它允许在客户端和服务端之间安全地传递信息,无需在每次请求时携带会话信息。...
.NET 5.0 JWT 身份验证
qq_37757480的博客
10-24 1376
这里写自定义目录标题介绍目录工具JWT 定义JWT结构在 .NET 应用程序中生成 JWT总结 介绍 本文将给出 JSON Web Tokens 的定义,并展示它们如何在 .Net 应用程序中使用。本文将参考文章 使用 .NET 5.0 Web API 和 Microsoft SQL Server 构建待办事项列表应用程序 ,其中我展示了如何使用 .NET 5.0 Web API 构建待办事项列表的后端。本文将描述 JWT 的结构,并解释如何在 .NET 应用程序中生成 JWT。 目录 工具 JWT 定义
.Net Core官方授权验证的全过程
yunduanaoligei的博客
03-11 476
这篇文章主要给大家介绍了关于.Net Core官方JWT授权验证的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧 目录 什么是JWT? 什么时候应该使用JWTJWT结构是什么? 如何使用JWT .net coreJWT验证授权 进阶 总结 什么是JWT? JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的
asp.net core 集成JWT
dotNET跨平台
06-14 3781
【什么是JWT】  JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。  JWT的官网地址:https://jwt.io/  通俗地来讲,JWT是...
ASP.Net Core 中使用JWT认证(3.1版本,5.0也可以使用)学不会你打我
qq_44471484的博客
06-28 1745
ASP.Net Core 中使用JWT认证JWT简单介绍开始编码功能快捷键。合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 JWT简单介绍 关于JWT网上有很多介绍,这里就不介绍了,本文主要以实现为主。 JWT由3部分构成: HEADER
asp.net Core Web api 适配jwt认证
ALI_SAf的博客
12-27 401
2.引入包Microsoft.Extensions.Configuration、Microsoft.Extensions.Configuration.Json、Microsoft.Extensions.Configuration.Binder(配置时关联包)14、 下面该解析Token 了,试一下,添加一个接口,步骤同上,先获取token,然后绑定token,最后调用一下解析接口,看结果我们已经解析成功了。创建一个AppSettings.cs类,存放读取配置信息的函数代码如下。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值