基于.net、JWT的统一权限认证

最新推荐文章于 2024-08-16 09:54:22 发布
最新推荐文章于 2024-08-16 09:54:22 发布
阅读量543 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36337353/article/details/97050901
版权

什么是JWT
根据维基百科:JSON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。

头信息指定了该JWT使用的签名算法:
header = ‘{“alg”:“HS256”,“typ”:“JWT”}’
HS256 表示使用了 HMAC-SHA256 来生成签名。

消息体包含了JWT的意图:
payload = new Dictionary<string, object>
{
{“userId”,userId},
{“exp”,secondsSinceEpoch},
};

未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成:
key = ‘secretkey’
unsignedToken = encodeBase64(header) + ‘.’ + encodeBase64(payload)
signature = HMAC-SHA256(key, unsignedToken)

最后在未签名的令牌尾部拼接上base64url编码的签名(同样使用"."分隔)就是JWT了:
token = encodeBase64(header) + ‘.’ + encodeBase64(payload) + ‘.’ + encodeBase64(signature)

token看起来像这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYX

使用(建立mvc工程省略)

一、新建一个token工具类里面包括生成token的方法、验证token的有效性以及解析token的方法

  public class sp_token
    {
        const string secret = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";//密钥
        //生成token
        public string GetToken(string userId)
        {
            try 
            {
                IDateTimeProvider provider = new UtcDateTimeProvider();
                var now = provider.GetNow();
                var unixEpoch = new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc); // or use JwtValidator.UnixEpoch
                var secondsSinceEpoch = Math.Round((now - unixEpoch).TotalSeconds);
                secondsSinceEpoch = secondsSinceEpoch + 60 * 60 * 1000 * 4;//设置token的有效时间
                var payload = new Dictionary<string, object>
                        {
                              {"userId",userId}, 
                              {"exp",secondsSinceEpoch},
                        };
                IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
                IJsonSerializer serializer = new JsonNetSerializer();
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
                var token = encoder.Encode(payload, secret);
                return token;
            }
            catch(Exception ex)
            {
                Log.Error("生成Token失败", ex);
                return "生成Token失败";
            }
        }
        //解析token,由于要进行用户权限的验证,这里返回用户的ID
        public string AnalysisToken(string token)
        {         
            try
            {
                IJsonSerializer serializer = new JsonNetSerializer();
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);
                string json = decoder.Decode(token, secret, verify: true);//token为之前生成的字符
                var userId = JObject.Parse(json)["userId"].ToString();
                return userId;
            }
            catch (Exception ex)
            {
                throw ex;
            }  
        }
        //验证token的有效性
        public  bool GetTokenInfo(string token)
        {
            bool result = false;
            try
            { 
                IJsonSerializer serializer = new JsonNetSerializer();
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);
                string json = decoder.Decode(token, secret, verify: true);            
                result = true;
            }
            catch (Exception ex)
            {
                Log.Error("该token是无效的token:" + token, ex);
            }
            return result;
        }
    }

二、登录(登录无需权限控制,只需要继承Controller)
登录方法的具体实现

   public RequestMsg Logion(string desc,UserInfo userInfo)
        {
            RequestMsg msg = new RequestMsg(desc);//封装好的返回信息的类
            try
            {
                JObject obj = new JObject();
                string pswSql = string.Format("select MM from SP_USER where YHZH='{0}'", userInfo.userId);
                DataTable dt = ApplicationManager.DataConnections["oracleConnection"].QueryData(pswSql).Tables[0];
                //验证用户
                if (dt.Rows.Count == 0)
                {
                    msg.SetSuccess(false);
                    msg.message = "用户名username不存在,请检查用户名是否正确";
                    return msg;
                }
                //验证密码
                string encryptPassword = AESEncryptionUtils.Encrypt(userInfo.passWord);
                if (!encryptPassword.Equals(dt.Rows[0]["MM"].ToString()))
                {
                    msg.SetSuccess(false);
                    msg.message = "密码password错误";
                    return msg;
                }
                sp_token sp_token = new sp_token();
                string token=sp_token.GetToken(userInfo.userId);//获取token 
                obj.Add("Token",token);
                //登录成功获取所有权限
                string getPeimissionSql = string.Format("SELECT QXMS FROM sp_user_auth_vm WHERE YHZH='{0}'", userInfo.userId);
                DataTable dts = ApplicationManager.DataConnections["oracleConnection"].QueryData(getPeimissionSql).Tables[0];
                obj.Add("Permision",dts.ToJsonArray());
                msg.data = obj;
                msg.SetSuccess(true);
            }
            catch (Exception  ex)
            {
                msg.SetSuccess(false, ex);
                Log.Error(msg.message, ex);
            }
            return msg;
        }

三、新建一个BaseController将它继承Controller,其它的需要验证的接口再继承BaseController,这样用户在访问其他接口时都会进入BaseController进行Token以及权限的验证

   public class BaseController : Controller
    {
        protected override void OnActionExecuting(ActionExecutingContext filterContext)
        {
            sp_token tokenDemo = new sp_token();
            string token = filterContext.HttpContext.Request.Headers["token"] ?? "";
            bool isLogin = tokenDemo.GetTokenInfo(token);
            string url = Request.RawUrl;
           /* 统一验证是否登录以及token是否有效 */
            if(!isLogin)
             {
                //未登陆
                base.OnActionExecuting(filterContext);
                filterContext.HttpContext.Response.Redirect(Url.Action("TimeOut", "Particular"));//重定向到超时
             }
             else
            {
            //登录信息有效进行权限的验证
                Dictionary<string, string> dic = new Dictionary<string, string>
                {
                    { "token", token },
                    { "url",  url }
                };
                string response = HttpClient.GetResponseString(HttpClient.CreatePostHttpResponse("http://localhost:15339/VerifyPermision/PriviligeVerify", dic));//这里权限验证写了另外的接口,需要向其发起一次请求,地址用的本地地址
                bool success = (bool)(JObject.Parse(response)["success"]);
                if (!success)
                {
                    base.OnActionExecuting(filterContext);
                    filterContext.HttpContext.Response.Redirect(Url.Action("VerifyFalse", "Particular"));//重定向到验证失败
                }
            }
        }
    }

大概过程就是这样了!

qq_36337353
关注
.Net Core 集成JWT授权验证 从页面到API详解
商务合作 / 项目定制 / 学习交流。个人vx:lovely_wml
12-06 2442
.Net Core集成JWT授权验证,创建项目、配置项目、控制器页面、页面提交、API处理全过程详解
jwt结合shiro实现认证权限控制,非常详细
热门推荐
zhuzi的博客
07-30 1万+
文章目录前期准备1. 导入依赖2. 编写JwtUtil类3. 封装token4. 编写JWT的过滤器5. 编写shiro的自定义Realm对象6. 编写shiro配置文件7. 捕获shiro异常8. 编写controller1.登录接口2.用户接口9.测试结果 前期准备 jwt,我的理解就是可以进行客户端与服务端之间验证的一种技术,取代了之前使用Session来验证的不安全性。为什么不适用Session? 原理是,登录之后客户端和服务端各自保存一个相应的SessionId,每次客户端发起请求的时候就得携带
用户登录和权限认证之 —— JWT
qq_45770253的博客
11-23 3447
这里我会讲解 web 前端常用的用户登录和权限认证的方法 —— JWT,有错误希望指正 文章目录1、Cookie + Session① 概述② 流程图③ 校验步骤④ 存在的问题2、JWT① 流程图② 校验步骤③ 解读 token 中存储的内容④ 对 Swagger 一个功能的补充3、总结 1、Cookie + Session        在讲解 JWT 之前,我先介绍一下最简单的用户登录和权限认证方式:Cookie + Ses.
Asp.net下from认证统一认证配置
weixin_30763455的博客
03-29 77
使用asp.net的form认证如果需要实现在不同二级域名下登入需要修改一下web.config配置,将from认证配置节点中domain属性修改为同一域名,如:website.com。参考例子: <authentication mode="Forms"> <forms name=".FrameWork" defaultUrl="/Default...
.NET Core 中的 JWT 认证与授权
最新发布
hy_4377的博客
08-16 742
JWT 是一种基于 JSON 的开放标准(RFC 7519),用于在网络应用环境中传递声明信息。JWT 由三部分组成:Header(头部)、Payload(载荷)、Signature(签名)。这三部分通过点号(.)连接,形成一个 JWT 字符串。包含令牌的类型和使用的加密算法。包含声明信息,可以是用户信息,也可以是其他元数据。使用 Header 中指定的算法和一个密钥对 Header 和 Payload 进行签名,确保令牌的完整性和安全性。
asp.net 统一认证及单点登录平台解决方案系列<一>
xuan2717的博客
05-05 229
asp.net 统一认证及单点登录平台解决方案系列<一>
.NET Core项目实战-统一认证平台】第十四章 授权篇-自定义授权方式
weixin_30763397的博客
01-28 513
.NET Core项目实战-统一认证平台】开篇及目录索引 上篇文章我介绍了如何强制令牌过期的实现,相信大家对IdentityServer4的验证流程有了更深的了解,本篇我将介绍如何使用自定义的授权方式集成老的业务系统验证,然后根据不同的客户端使用不同的认证方式来集成到统一认证平台。 .netcore项目实战交流群(637326624),有兴趣的朋友可以在群里交流讨论。 一、自定授权源码剖析 ...
【C#】.Net Framework框架使用JWT
小5聊的博客
07-26 6790
本篇文章主要简单讲讲,.Net Framework框架下使用JWT的代码例子,以及他们的基本概念。
.NET Core中JWT+Auth2.0实现SSO,附完整源码(.NET6)
xuhss_com的博客
05-30 2037
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 目录 一、简介 二、实现目标 1、一处登录,全部登录 2、一处退出,全部退出 3、双token机制 三、功能实现和核心代码 1、一处登录,全部登录实现
基于ASP.NET+MySQL实现待办任务清单系统【100010180】
12-26
可以使用ASP.NET Core的Identity框架或JWT(JSON Web Tokens)进行认证和授权。 2. **API设计**:遵循RESTful原则,设计清晰、规范的API接口,如GET /tasks 获取所有任务,POST /tasks 创建新任务,PUT /tasks/:id ...
dotnet-OcelotJwtAuthorize一个基于OcelotAPI网关的Jwt验证包
08-15
4. **解码和解析JWT**: 内置的JWT解析器可以处理JWT的签名验证、过期检查以及提取令牌中的Claim,这些Claim可以用于权限控制和其他业务逻辑。 **Ocelot JWT验证的实现过程** 1. **配置Ocelot**: 在Ocelot的配置...
SpringBoot+Shiro+JWT+Jedis+MybatisPlus+前后端分离+基于url通用权限管理系统
01-25
前后端分离(这里只展示后台),基于url拦截的通用权限管理系统,采用jwt+redis的机制取代传统session+cookie的认证授权方式,shiro框架,配置Jedis,以redis作缓存
.net core基于Oauth2+jwt两种方式实现身份认证(附单点登录)
Roy的博客
11-04 7077
服务端接口授权多种实现方式以及扩展
【SpringBoot】集成JWT实现用户认证
Horace's Blog
11-16 5091
初识JWT 1.什么是JWT JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,可以在客户端与服务器之间作为JSON对象安全地传输信息。 2.JWT使用场景 身份验证: 用户在登录以后,后续的每个请求都将包含JWT,允许用户访问该令牌允许的路由,服务和资源等。Session同样也可以实现这个功能,但是在使用Session的同时也会相应的...
ASP.NET_JWT授权登录
黑夜中的潜行者
10-23 697
Jwt授权认证,在现今的开发中已经非常的流行了,小编也是在实际的开发中用到了很多
( 转 ) .net 操作 JWT
weixin_30681121的博客
05-21 166
GitHub: https://github.com/jwt-dotnet/jwt 1.JWT定义 JWT(Json Web Token)是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用...
基于JWT的用户登录认证的原理与实现
JieZai958921541的博客
11-12 3112
JWT认证原理 JWT简介: JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于JSON对象在各方之间安全的传输信息。该信息可以被验证和信任,因为它是数字签名的。 JWT的结构: JWT由三个部分组成,各部分之间用小数点连接。这三部分分别是Header(请求头)、Payload(有效载荷)、Signature(签名),一个典型的JWT看起来是这个样子的:xxx.yyy.zzz 1. header请求头: 由Token的类型和算法名称组成,如下所示
前后端的身份认证
weixin_43563864的博客
11-01 2011
一. 前后端的身份认证 1.1 Web 开发模式 目前主流的 Web 开发模式有两种,分别是: ①基于服务端渲染的传统 Web 开发模式 ②基于前后端分离的新型 Web 开发模式 1. 服务端渲染的 Web 开发模式 服务端渲染的概念:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用 Ajax 这样的技术额外请求页面的数据。代码示例如下: app.get('/index.html',(req,res)=>{ // 1. 要渲染的数据 const
.net jwt 权限认证
05-20
下面是一个简单的示例,演示如何在 .NET 中使用 JWT 进行权限认证: 1. 首先,你需要安装一个 JWT 库。例如,Microsoft 提供了一个名为 Microsoft.AspNetCore.Authentication.JwtBearer 的库,可以用于 ASP.NET ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值