.Net Core WebApi集成JWT实现身份认证

已于 2022-08-10 08:55:31 修改
阅读量4.3k 收藏 34
点赞数 9
分类专栏: .net core webapi 文章标签: webap集成jwt
于 2021-09-24 11:21:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39569480/article/details/120448845
版权

前言

最近有朋友问我jwt的使用,有感而发写篇文章,由于一直使用框架开发,这些技术还真有些手生了,特此写篇文章做下笔记。

随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。适用于多客户端的前后端解决方案,JWT 是无状态化的,更适用于 RESTful 风格的接口验证。本文主要介绍使用JWT进行接口身份认证。

jwt介绍

JWT的结构体是什么样的?
JWT由三部分组成,分别是头信息、有效载荷、签名,中间以(.)分隔
(1)header(头信息) 描述 JWT 的元数据的JSON对象
由两部分组成,令牌类型(即:JWT)、散列算法(HMAC、RSASSA、RSASSA-PSS等)

{"alg":"HS256","typ":"JWT"}

(2)Payload(有效载荷)
JWT的第二部分是payload,其中包含claims。claims是关于实体(常用的是用户信息)和其他数据的声明,claims有三种类型: registered, public, and private claims。
一个用来存放实际需要传递的数据的JSON 对象。如:

"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "admin",
    "exp": 1610877510,
    "iss": "cba",
    "aud": "cba"
}

(3)Signature
要创建签名部分,必须采用编码的Header,编码的Payload,秘钥,Header中指定的算法,并对其进行签名。 对前两部分(Header、Payload)的签名,防止数据篡改。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

JWT示例:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE2MTA4Nzc1MTAsImlzcyI6ImNiYSIsImF1ZCI6ImNiYSJ9.O9lbZwfqRuA6vKcRCfYieA1zLkTPppdSvTc8UzwCkNw

一.准备工作

Demo可以在我的资源中下载 Demo
https://download.csdn.net/download/qq_39569480/24392815
(1).添加NuGet程序包
Microsoft.AspNetCore.Authentication.JwtBearer
在这里插入图片描述
(2).appsettings.json

"JwtConfig": {
    "SecretKey": "123123123123", // 密钥   可以是guid 也可以是随便一个字符串
    "Issuer": "zhangsan", // 颁发者
    "Audience": "zhangsan", // 接收者
    "Expired": 30 // 过期时间(30min)
  },

二.创建JWT配置类

using Microsoft.Extensions.Options;
using Microsoft.IdentityModel.Tokens;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
 /// <summary>
    /// jwt配置
    /// </summary>
    public class JwtConfig : IOptions<JwtConfig>
    {
        public JwtConfig Value => this;
        public string SecretKey { get; set; }
        public string Issuer { get; set; }
        public string Audience { get; set; }
        public int Expired { get; set; }
        public DateTime NotBefore => DateTime.UtcNow;
        public DateTime IssuedAt => DateTime.UtcNow;
        public DateTime Expiration => IssuedAt.AddMinutes(Expired);
        private SecurityKey SigningKey => new SymmetricSecurityKey(Encoding.UTF8.GetBytes(SecretKey));
        public SigningCredentials SigningCredentials =>
            new SigningCredentials(SigningKey, SecurityAlgorithms.HmacSha256);
    }

三.创建JWT工具类

 public class GenerateJwt
    {
        private readonly JwtConfig _jwtConfig;
        public GenerateJwt(IOptions<JwtConfig> jwtConfig)
        {
            _jwtConfig = jwtConfig.Value;
        }
        /// <summary>
        /// 生成token
        /// </summary>
        /// <param name="sub"></param>
        /// <param name="customClaims">携带的用户信息</param>
        /// <returns></returns>
        public JwtTokenResult GenerateEncodedTokenAsync(string sub, LoginUserModel customClaims)
        {
            //创建用户身份标识,可按需要添加更多信息
            var claims = new List<Claim>
            {
                new Claim("userid", customClaims.userid),
                new Claim("username", customClaims.username),
                //new Claim("realname",customClaims.realname),
                //new Claim("roles", string.Join(";",customClaims.roles)),
                //new Claim("permissions", string.Join(";",customClaims.permissions)),
                //new Claim("normalPermissions", string.Join(";",customClaims.normalPermissions)),
                new Claim(JwtRegisteredClaimNames.Sub, sub),
            };
            //创建令牌
            var jwt = new JwtSecurityToken(
                issuer: _jwtConfig.Issuer,
                audience: _jwtConfig.Audience,
                claims: claims,
                notBefore: _jwtConfig.NotBefore,
                expires: _jwtConfig.Expiration,
                signingCredentials: _jwtConfig.SigningCredentials);
            string access_token = new JwtSecurityTokenHandler().WriteToken(jwt);
            return new JwtTokenResult()
            {
                access_token = access_token,
                expires_in = _jwtConfig.Expired * 60,
                token_type = JwtBearerDefaults.AuthenticationScheme,
                user = customClaims
            };
        }
    }

四.JwtTokenResult

登录成功生成jwt返回给前端的model,LoginUserModel是用户信息model,我这里携带是为了避免前端解析token。

/// <summary>
    /// 登录成功返回model
    /// </summary>
    public class JwtTokenResult
    {
        public string access_token { get; set; }
        public string refresh_token { get; set; }
        /// <summary>
        /// 过期时间(单位秒)
        /// </summary>
        public int expires_in { get; set; }
        public string token_type { get; set; }
        public LoginUserModel user { get; set; }
    }

    public class LoginUserModel
    {
        public string userid { get; set; }
        public string username { get; set; }
        public string realname { get; set; }
        public string roles { get; set; }
        public string permissions { get; set; }
        public string normalPermissions { get; set; }
    }

五.Startup配置

(1) .ConfigureServices注入jwt

             //注入jwt
            services.AddScoped<GenerateJwt>();
            services.Configure<JwtConfig>(Configuration.GetSection("JwtConfig"));

            #region jwt验证
            var jwtConfig = new JwtConfig();
            Configuration.Bind("JwtConfig", jwtConfig);
            services
                .AddAuthentication(option =>
                {
                    //认证middleware配置
                    option.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                    option.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
                })
                .AddJwtBearer(options =>
                {
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        //Token颁发机构
                        ValidIssuer = jwtConfig.Issuer,
                        //颁发给谁
                        ValidAudience = jwtConfig.Audience,
                        //这里的key要进行加密
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtConfig.SecretKey)),
                        //是否验证Token有效期,使用当前时间与Token的Claims中的NotBefore和Expires对比
                        ValidateLifetime = true,
                    };
                });
            #endregion

(2).Configure

 app.UseAuthentication();//要在授权之前认证

在这里插入图片描述

六.调用获取token

using JwtDemo.Model;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;

namespace JwtDemo.Controllers
{
    [Route("api/[controller]/[action]")]
    [ApiController]
    public class TestController : Controller
    {
        private readonly GenerateJwt _generateJwt;
        public TestController(GenerateJwt generate) {
            this._generateJwt = generate;
        }
        [HttpGet]
        public ActionResult GetLogin(string name,string userid) {

            var claims = new LoginUserModel()
            {
                userid = userid,
                username = name,
                realname = name,
                //roles = string.Join(";", user.roles),
                //permissions = string.Join(";", user.permissions), 
            };
            var refreshToken = Guid.NewGuid().ToString(); 
			//当然  你要在生成token之前要验证一下账户是否在数据库存在  存在则生成
			/*
			数据库查询
			*/
            var jwtTokenResult = _generateJwt.GenerateEncodedTokenAsync(userid, claims);
            jwtTokenResult.refresh_token = refreshToken;
            return Json(jwtTokenResult);//这里可按需返回   如果不想返回用户信息  比如密码  可以在_generateJwt.GenerateEncodedTokenAsync去掉哦
        }
    }
}

swagger调试
在这里插入图片描述

postman请求
在这里插入图片描述

七.在后台中有时候我们需要获取当前用户的一些属性

JwtUser,用户解析jwt 获取当前用户信息

public static class JwtUser
    {
        /// <summary>
        /// 解析jwt 获取当前用户信息
        /// </summary>
        /// <param name="request"></param>
        /// <returns>用户信息</returns>
        public static LoginUserModel GetRequestUser(this HttpRequest request)
        {
            var authorization = request.Headers["Authorization"].ToString();
            var auth = authorization.Split(" ")[1];
            var jwtArr = auth.Split('.');
            var dic = JsonConvert.DeserializeObject<Dictionary<string, string>>(Base64UrlEncoder.Decode(jwtArr[1]));
            //解析Claims
            var reqUser = new LoginUserModel
            {
                userid = dic["userid"],
                username = dic["username"],
                realname = dic["realname"],
                roles = dic["roles"],
                permissions = dic["permissions"],
                normalPermissions = dic["normalPermissions"],
            };
            return reqUser;
        } 
    }

控制器中这样获取

[HttpGet]
        public ActionResult GetUser() {

             var aa= JwtUser.GetRequestUser(this.Request);
            return Json(aa.userid+"===="+ aa.username); //获取到当前用户的姓名  角色等等就可以做一些业务处理
        }

八.使用

在接口上标记身份验证
[AllowAnonymous] 标记此标识的接口是不需要验证的
[Authorize] 标记此标识的接口需要验证

		[Authorize]
		[HttpGet] 
        public ActionResult GetDataList(string 参数)
        {
            /*
             业务代码
             */
            return Json("");
        }

也可以直接标记在控制器上
获取token的接口最好单独写在一个控制器
在这里插入图片描述

九.Swagger UI添加认证

在项目中通常都添加了Swagger UI来展示接口及基础测试,那么如果添加了认证后,如何在调用接口前添加认证信息呢?
  
   在Startup中:ConfigureServices中添加Swagger设置时,添加认证设置

#region 启用swagger验证功能
                //添加一个必须的全局安全信息,和AddSecurityDefinition方法指定的方案名称一致即可。
                c.AddSecurityRequirement(new OpenApiSecurityRequirement
                {
                    {
                        new OpenApiSecurityScheme
                        {
                            Reference = new OpenApiReference {
                            Type = ReferenceType.SecurityScheme,
                            Id = "Bearer"
                            }
                        },
                    new string[] { }
                    }
                });
                c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
                {
                    Description = "JWT授权(数据将在请求头中进行传输) 在下方输入Bearer {token} 即可,注意两者之间有空格",
                    Name = "Authorization",//jwt默认的参数名称
                    In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
                    Type = SecuritySchemeType.ApiKey,
                    BearerFormat = "JWT",
                    Scheme = "Bearer",

                });
                #endregion

添加token即可
输入时 要输入Bearer +token 注意Bearer后有空格
在这里插入图片描述
在这里插入图片描述

ok感谢观看

香煎三文鱼
关注
  • 9
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
asp.net core集成JWT的步骤记录
01-01
【什么是JWT】 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。 JWT的官网地址:https://jwt.io/ 通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有访问api的权限。 JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 【什么时候应该使用JSON Web令牌?】 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。Single Sign On是
.NET6WebAPI使用Sqlserver+JWT增删改查
06-26
使用.NET6WebApi跟Swagger增删改查,使用swagger生成接口文档,就是一个.NET6的WebAPI的一个模板,直接下载下来就可以用,里边自带数据库,直接替换掉内容就行
推荐项目:WebApi.Jwt - 简单JWT身份验证解决方案
最新发布
gitblog_00082的博客
05-23 281
推荐项目:WebApi.Jwt - 简单JWT身份验证解决方案 项目地址:https://gitcode.com/cuongle/WebApi.Jwt 1. 项目介绍 在构建现代Web API时,安全性和可扩展性是开发者的核心关注点。WebApi.Jwt是一个针对ASP.NET Web API的轻量级身份验证库,它简化了JSON Web Token (JWT)的集成,为你的API提供了强大而灵活的...
.NET Core 自定义授权和认证
qq_62739010的博客
05-04 1835
.NET Core 自定义授权和认证
.NET core JWT身份认证实现
lwpoor123的博客
12-15 1187
首先我们知道jwt中一定会有的字段有Issuer,Audience,另外jwt有过期时间,所以要有代表生命周期的Lifetime,表示续期的RenewalTime,然后是头字段,是否验证失效时间,是否验证签名等,于是就有了如下结构. JwtConfig.cs在Hero.Jwt中定义一个叫做JwtConfig的类,表示针对jwt的所有配置信息,ciset;set;/// 签名keyset;/// 生命周期set;/// 续期时间set;/// 是否验证生命周期set;/// 验证头字段set;
.Net Core JWT 授权
weixin_59180442的博客
06-05 3261
当我们开发 Web 应用程序时,通常需要对用户进行身份验证和授权。JWT(JSON Web Token)是一种安全传输信息的标准,它可以在各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。
ASP.NET Core 8.0 WebApi 从零开始学习JWT登录认证
qq_44695769的博客
03-14 4984
我一起写后端Api我都是直接裸连的,但是现在为了规范一些,我还是打算上一个JWT功能Jwt其实也不是特别难,就是第一次配置的时候容易被绕晕。Jwt的策略我暂时先跳过了,对于解决普通问题一般来说已经够用了。
用后端C#之WebApi和前端写登录页
AKK188888881的博客
03-21 891
用后端C#之WebApi和前端写登录页
Asp.net core Webapi 6.0 用户登录 JWT 认证
精通电脑科技的博客
10-08 2566
1. NuGet 添加 IdentityServer4.AccessTokenValidation 包。2.添加证书类 TokenParameter。5.启用跨域、认证、授权。1.允许异步IO操作。3.添加获取Token的控制器。5. 需要认证的控制器上添加。6.需要跨域的控制器上添加。
WebApiJwt:具有身份和MySQL的Asp.NET Core 2.0 WebApi JWT身份验证
02-04
**Asp.NET Core 2.0 WebApi集成JWT** 在Asp.NET Core中,JWT通常通过中间件(Middleware)来实现。首先,我们需要创建一个JWT签发器和验证器。签发器用于生成包含用户信息的JWT,验证器则用于在每个请求中检查JWT的...
.NET core 3.0如何使用Jwt保护api详解
01-01
摘要: 本文演示如何向有效用户提供jwt,以及如何在webapi中使用该token通过JwtBearerMiddleware中间件对用户进行身份认证认证和授权区别? 首先我们要弄清楚认证(Authentication)和授权(Authorization)的区别,以免混淆了。认证是确认的过程中你是谁,而授权围绕是你被允许做什么,即权限。显然,在确认允许用户做什么之前,你需要知道他们是谁,因此,在需要授权时,还必须以某种方式对用户进行身份验证。 什么是JWT? 根据维基百科的定义,JSON WEB Token(JWT),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT
WebApiDemo(net6+swagger+jwt)
05-31
WebApiDemo是一个基于.NET 6框架的Web API项目,它集成了Swagger用于接口文档的展示与测试,同时引入了JWT(JSON Web Token)进行身份验证和授权管理。这个项目是用Visual Studio 2022开发环境构建的,旨在提供一个...
使用OAuth2客户端凭据保护的ASP.NET Core WebAPI
04-11
标题中的“使用OAuth2客户端凭据保护的ASP.NET Core WebAPI”指的是在ASP.NET Core构建的Web API服务中,通过OAuth2的客户端凭据(Client Credentials)授权模式来实现安全控制。OAuth2是一种授权框架,它允许第三方...
带有Dapper和VS 2017的ASP.NET Core,使用JWT身份验证WEB API并在Angular2客户端应用程序中使用
04-13
标题中的“带有Dapper和VS 2017的ASP.NET Core,使用JWT身份验证WEB API并在Angular2客户端应用程序中使用”是一个综合性的项目,涵盖了多个关键知识点。在这个项目中,我们将探讨以下技术: 1. **ASP.NET Core**: ...
Asp.Net WebAPI身份验证,授权/请求过滤,token验证,action过滤
u011511086的专栏
11-03 3725
AuthorizeAttribute过滤器执行顺序: 重写AuthorizeAttribute实现请求拦截 using System; using System.Collections.Generic; using System.Linq; using System.Net.Http; using System.Net.Http.Headers; using System.Web; using System.Web.Http; using System.Web.Http.Controllers; usin
ASP.NET Core高级之认证与授权(一)--JWT入门-颁发、验证令牌
物联网大联盟
01-04 1872
正如每个人的家都需要锁门,每个系统也都需要对用户进行一些访问的控制,从而使系统更加地安全。
net coreJWT
qq_43826626的博客
03-28 1325
在开发程序中需要,通常需要对程序进行身份验证和授权,JWT是一种安全传输标准,各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。通常的办法是使用session来实现,用户登陆后,生成唯一session保存在服务器内存中,当浏览器再次访问时,http中携带了session,服务器根据该id取到信息实现缺点:用户过多占用服务器资源 每次响应都要向服务器获取一次session。
C# 使用Cache和DES进行后端WebApi登录及身份权限验证
glmushroom的专栏
12-22 704
一、Api提供登录接口,并在需要身份验证的接口上添加权限验证拦截器 using System; using System.Web.Http; namespace WebApiTest { public class UserController : ApiController { [HttpPost] [AllowAnonymous] public IHttpActionResult Login(string userName, strin
NETCORE jwt
09-15
NETCORE jwt是基于.NET Core平台开发的JWT(JSON Web Token)的一个库。JWT是一种用于在网络应用间传递信息的安全方式。它由三个部分组成:头部、载荷和签名。 头部指定了令牌的类型和签名算法,例如,"alg"字段指定了签名算法,"typ"字段指定了令牌的类型。 载荷包含了要传递的信息,可以包括用户身份信息、权限等。你可以根据需要自定义载荷的内容,比如用户名、角色等。 签名用于验证令牌的真实性和完整性。签名使用私钥对头部和载荷进行加密,接收方可以使用公钥来验证签名。 NETCORE jwt库提供了简便的方法来生成和验证JWT令牌。你可以使用该库在.NET Core应用中轻松地实现JWT的生成、验证和解析。该库还提供了一些额外的功能,比如配置和自定义令牌验证规则。 你可以在中找到该库的文档和源码,可以参考该文档了解如何在.NET Core应用中使用JWT。此外,你还可以在中找到一个完整的JWT示例,可以作为参考。 综上所述,NETCORE jwt是一个用于在.NET Core应用中生成、验证和解析JWT令牌的库,你可以通过该库来实现安全的身份验证和授权功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

香煎三文鱼

你的鼓励将是我创作的最大动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值