WebAPI身份认证Token

于 2024-03-26 17:43:09 发布
阅读量284 收藏 5
点赞数 3
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41264896/article/details/137053019
版权

WebAPI身份认证Token

1、安装JWT包

#vscode
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 6.0.11
#vs2022
Install-Package Microsoft.AspNetCore.Authentication.JwtBearer -Version 6.0.11

2、JWTHelper

using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

namespace BaseWebApi
{
    public class JwtHelper
    {
        public JwtHelper(IConfiguration configuration)
        {
            Configuration = configuration;
        }
        /// <summary>
        /// 配置属性
        /// </summary>
        public IConfiguration Configuration { get; }

        /// <summary>
        /// 生成access_token
        /// </summary>
        /// <param name="claims">传入Claim类型的键值对</param>
        /// <returns>access_token</returns>
        public string GenerateAccessToken(List<Claim> claims)
        {
            IConfigurationSection jwtConfig = Configuration.GetSection("JWT");
            //秘钥,就是标头,这里用Hmacsha256算法,需要256bit的密钥
#pragma warning disable CS8604 // 引用类型参数可能为 null。
            SigningCredentials securityKey = new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtConfig.GetValue<string>("Secret"))), SecurityAlgorithms.HmacSha256);
#pragma warning restore CS8604 // 引用类型参数可能为 null。
            //Claim,JwtRegisteredClaimNames中预定义了好多种默认的参数名,也可以像下面的Guid一样自己定义键名.
            //ClaimTypes也预定义了好多类型如role、email、name。Role用于赋予权限,不同的角色可以访问不同的接口
            //相当于有效载荷
#pragma warning disable CS8604 // 引用类型参数可能为 null。
            List<Claim> baseClaims = new List<Claim>{
                new Claim(JwtRegisteredClaimNames.Iss,jwtConfig.GetValue<string>("Issuer")),
                new Claim(JwtRegisteredClaimNames.Aud,jwtConfig.GetValue<string>("Audience")),
                new Claim("Guid",Guid.NewGuid().ToString("D")),
                //new Claim(ClaimTypes.Role,"admin"),
             };
#pragma warning restore CS8604 // 引用类型参数可能为 null。
            claims = claims.Union<Claim>(baseClaims).ToList<Claim>();//合并Claim,删除重复项目

            SecurityToken securityToken = new JwtSecurityToken(
                signingCredentials: securityKey,
                expires: DateTime.Now.AddMinutes(Convert.ToInt32(jwtConfig.GetValue<string>("Expired"))),//过期时间
                claims: claims
            );
            //生成jwt令牌
            return new JwtSecurityTokenHandler().WriteToken(securityToken);
        }
        /// <summary>
        /// 解析token
        /// </summary>
        /// <param name="token">要解析的token</param>
        /// <returns>解析后的token字符串</returns>
        public string DecryptToken(string token)
        {
            JwtSecurityTokenHandler jwtHandler = new JwtSecurityTokenHandler();
            JwtSecurityToken jwtToken = jwtHandler.ReadJwtToken(token);
            return jwtToken.ToString();
        }
        /// <summary>
        /// 生成刷新access_token的refresh_token
        /// </summary>
        /// <param name="claims">传入Claim类型的键值对</param>
        /// <returns>refresh_token</returns>
        public string GenerateRefreshToken(List<Claim> claims)
        {
            IConfigurationSection jwtConfig = Configuration.GetSection("JWT");
            //秘钥,就是标头,这里用Hmacsha256算法,需要256bit的密钥
#pragma warning disable CS8604 // 引用类型参数可能为 null。
            SigningCredentials securityKey = new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtConfig.GetValue<string>("RefreshSecret"))), SecurityAlgorithms.HmacSha256);
#pragma warning restore CS8604 // 引用类型参数可能为 null。
            //Claim,JwtRegisteredClaimNames中预定义了好多种默认的参数名,也可以像下面的Guid一样自己定义键名.
            //ClaimTypes也预定义了好多类型如role、email、name。Role用于赋予权限,不同的角色可以访问不同的接口
            //相当于有效载荷
#pragma warning disable CS8604 // 引用类型参数可能为 null。
            List<Claim> baseClaims = new List<Claim>{
                new Claim(JwtRegisteredClaimNames.Iss,jwtConfig.GetValue<string>("Issuer")),
                new Claim(JwtRegisteredClaimNames.Aud,jwtConfig.GetValue<string>("Audience")),
                new Claim("Guid",Guid.NewGuid().ToString("D")),
                //new Claim(ClaimTypes.Role,"admin"),
             };
#pragma warning restore CS8604 // 引用类型参数可能为 null。
            claims = claims.Union<Claim>(baseClaims).ToList<Claim>();//合并Claim,删除重复项目

            SecurityToken securityToken = new JwtSecurityToken(
                signingCredentials: securityKey,
                expires: DateTime.Now.AddHours(Convert.ToInt32(jwtConfig.GetValue<string>("RefreshExpired"))),//过期时间
                claims: claims
            );
            //生成jwt令牌
            return new JwtSecurityTokenHandler().WriteToken(securityToken);
        }
        /// <summary>
        /// 验证refresh_token是否过期
        /// </summary>
        /// <param name="refreshToken">刷新的refresh_token</param>
        /// <returns>返回是否有效</returns>
        public bool ValidationToken(string refreshToken)
        {
            IConfigurationSection jwtConfig = Configuration.GetSection("JWT");
            //生成密钥
#pragma warning disable CS8600 // 将 null 字面量或可能为 null 的值转换为非 null 类型。
            string symmetricKeyAsBase64 = jwtConfig.GetValue<string>("RefreshSecret");
#pragma warning restore CS8600 // 将 null 字面量或可能为 null 的值转换为非 null 类型。
#pragma warning disable CS8604 // 引用类型参数可能为 null。
            byte[] keyByteArray = Encoding.ASCII.GetBytes(symmetricKeyAsBase64);
#pragma warning restore CS8604 // 引用类型参数可能为 null。
            SymmetricSecurityKey signingKey = new SymmetricSecurityKey(keyByteArray);

            JwtSecurityTokenHandler handler = new JwtSecurityTokenHandler();
            try
            {
                handler.ValidateToken(refreshToken, new TokenValidationParameters
                {
                    ValidateIssuerSigningKey = true,//是否验证签名,不验证的画可以篡改数据,不安全
                    IssuerSigningKey = signingKey,//解密的密钥
                    ValidateIssuer = true,//是否验证发行人,就是验证载荷中的Iss是否对应ValidIssuer参数
                    ValidIssuer = jwtConfig.GetValue<string>("Issuer"),//发行人
                    ValidateAudience = true,//是否验证订阅人,就是验证载荷中的Aud是否对应ValidAudience参数
                    ValidAudience = jwtConfig.GetValue<string>("Audience"),//订阅人
                    ValidateLifetime = true,//是否验证过期时间,过期了就拒绝访问
                    ClockSkew = TimeSpan.Zero,//这个是缓冲过期时间,也就是说,即使我们配置了过期时间,这里也要考虑进去,过期时间+缓冲,默认好像是7分钟,你可以直接设置为0
                    RequireExpirationTime = true,
                }, out SecurityToken securityToken);
                return true;
            }
            catch
            {
                return false;
            }
        }
    }
}

3、appsetting.json中配置

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "JWT": {
    //中华人民共和国MD5值
    "Secret": "0D8F3B469FE4D1F87D5DDC2ED5B25A79",
    //中国MD5值
    "RefreshSecret": "CF0832DEDF7457BBCBFA00BBD87B300A",
    "Audience": "yang.webapi",
    "Issuer": "yang.webapi",
    //token的有效时间/分钟
    "Expired": 10,
    //刷新token的有效时间/小时
    "RefreshExpired": 1
  },
  "AllowedHosts": "*"
}

4、StartUp中添加(3.1)

ConfigureServices中添加

			//依赖注入
            services.AddSingleton<JwtHelper>();
//JWt注册
			//获取配置文件
            var JWTConfig = Configuration.GetSection("JWT");
            //生成密钥
            var symmetricKeyAsBase64 = JWTConfig.GetValue<string>("Secret");
            var keyByteArray = Encoding.ASCII.GetBytes(symmetricKeyAsBase64);
            var signingKey = new SymmetricSecurityKey(keyByteArray);

            //认证参数
            services.AddAuthentication("Bearer")
                .AddJwtBearer(o =>
                {
                    o.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidateIssuerSigningKey = true,//是否验证签名,不验证的画可以篡改数据,不安全
                        IssuerSigningKey = signingKey,//解密的密钥
                        ValidateIssuer = true,//是否验证发行人,就是验证载荷中的Iss是否对应ValidIssuer参数
                        ValidIssuer = JWTConfig.GetValue<string>("Issuer"),//发行人
                        ValidateAudience = true,//是否验证订阅人,就是验证载荷中的Aud是否对应ValidAudience参数
                        ValidAudience = JWTConfig.GetValue<string>("Audience"),//订阅人
                        ValidateLifetime = true,//是否验证过期时间,过期了就拒绝访问
                        ClockSkew = TimeSpan.Zero,//这个是缓冲过期时间,也就是说,即使我们配置了过期时间,这里也要考虑进去,过期时间+缓冲,默认好像是7分钟,你可以直接设置为0
                        RequireExpirationTime = true,
                    };
                    o.Events = new JwtBearerEvents()
                    {
                        OnChallenge = context =>
                        {
                            context.HandleResponse();
                            context.Response.Clear();
                            context.Response.ContentType = "application/json";
                            context.Response.StatusCode = 401;
                            context.Response.WriteAsync(new { message = "授权未通过", status = false, code = 401 }.ToString());
                            return Task.CompletedTask;
                        }
                    };
                });

在services.AddSwaggerGen中添加Authorization功能

            //注册Swagger生成器,定义一个和多个Swagger 文档
            services.AddSwaggerGen(c =>
            {
                c.SwaggerDoc("v6", new OpenApiInfo
                {
                    Version = "v6",
                    Title = "第一个Asp.Net Core 3.1 WebApi",
                    Description = "一个简单的TestsWebApi测试",
                    TermsOfService = new Uri("https://www.baidu.com"),
                    Contact = new OpenApiContact
                    {
                        Name = "璀璨的疯子",
                        Email = "1024@qq.com",
                        Url = new Uri("https://www.baidu.com")
                    },
                    License = new OpenApiLicense
                    {
                        Name = "璀璨的疯子",
                        Url = new Uri("https://www.baidu.com")
                    }
                });
                //Swaggers中开启Authorization:token认证
                c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
                {
                    Description = "JWT授权token前面需要加上字段Bearer与一个空格,如Bearer token",
                    Name = "Authorization",
                    In = ParameterLocation.Header,
                    Type = SecuritySchemeType.ApiKey,
                    BearerFormat = "JWT",
                    Scheme = "Bearer"
                });
                //添加全局安全条件
                c.AddSecurityRequirement(new OpenApiSecurityRequirement
                {
                    {
                        new OpenApiSecurityScheme
                        {
                            Reference = new OpenApiReference {
                                Type = ReferenceType.SecurityScheme,
                                Id = "Bearer"
                            }
                        },
                        new string[] { }
                    }
                });

                // using System.Reflection;
                var xmlFilename = $"{Assembly.GetExecutingAssembly().GetName().Name}.xml";
                c.IncludeXmlComments(Path.Combine(AppContext.BaseDirectory, xmlFilename));
            });

Configure中添加

            app.UseRouting();
            //身份认证
            app.UseAuthentication();
            //授权
            app.UseAuthorization();

4、在Program中注入(.net6)

builder.Services.AddSingleton<JwtHelper>();
//JWt注册
//获取配置文件
var JWTConfig = builder.Configuration.GetSection("JWT");
//生成密钥
var symmetricKeyAsBase64 = JWTConfig.GetValue<string>("Secret");
var keyByteArray = Encoding.ASCII.GetBytes(symmetricKeyAsBase64);
var signingKey = new SymmetricSecurityKey(keyByteArray);

//认证参数
builder.Services.AddAuthentication("Bearer")
    .AddJwtBearer(o =>
    {
        o.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuerSigningKey = true,//是否验证签名,不验证的画可以篡改数据,不安全
            IssuerSigningKey = signingKey,//解密的密钥
            ValidateIssuer = true,//是否验证发行人,就是验证载荷中的Iss是否对应ValidIssuer参数
            ValidIssuer = JWTConfig.GetValue<string>("Issuer"),//发行人
            ValidateAudience = true,//是否验证订阅人,就是验证载荷中的Aud是否对应ValidAudience参数
            ValidAudience = JWTConfig.GetValue<string>("Audience"),//订阅人
            ValidateLifetime = true,//是否验证过期时间,过期了就拒绝访问
            ClockSkew = TimeSpan.Zero,//这个是缓冲过期时间,也就是说,即使我们配置了过期时间,这里也要考虑进去,过期时间+缓冲,默认好像是7分钟,你可以直接设置为0
            RequireExpirationTime = true,
        };
        o.Events = new JwtBearerEvents()
        {
            OnChallenge = context =>
            {
                context.HandleResponse();
                context.Response.Clear();
                context.Response.ContentType = "application/json";
                context.Response.StatusCode = 401;
                context.Response.WriteAsync(new { message = "授权未通过", status = false, code = 401 }.ToString());
                return Task.CompletedTask;
            }
        };
    });


builder.Services.AddSwaggerGen(c =>
{
    c.SwaggerDoc("v6", new OpenApiInfo
    {
        Version = "v6",
        Title = "第一个Asp.Net Core 3.1 WebApi",
        Description = "一个简单的TestsWebApi测试",
        TermsOfService = new Uri("https://www.baidu.com"),
        Contact = new OpenApiContact
        {
            Name = "璀璨的疯子",
            Email = "1024@qq.com",
            Url = new Uri("https://www.baidu.com")
        },
        License = new OpenApiLicense
        {
            Name = "璀璨的疯子",
            Url = new Uri("https://www.baidu.com")
        }
    });
    //Swaggers中开启Authorization:token认证
    c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
    {
        Description = "JWT授权token前面需要加上字段Bearer与一个空格,如Bearer token",
        Name = "Authorization",
        In = ParameterLocation.Header,
        Type = SecuritySchemeType.ApiKey,
        BearerFormat = "JWT",
        Scheme = "Bearer"
    });
    //添加全局安全条件
    c.AddSecurityRequirement(new OpenApiSecurityRequirement
                {
                    {
                        new OpenApiSecurityScheme
                        {
                            Reference = new OpenApiReference {
                                Type = ReferenceType.SecurityScheme,
                                Id = "Bearer"
                            }
                        },
                        new string[] { }
                    }
                });
    var xmlFilename = $"{Assembly.GetExecutingAssembly().GetName().Name}.xml";
    c.IncludeXmlComments(Path.Combine(AppContext.BaseDirectory, xmlFilename));
});

//身份认证
app.UseAuthentication();
//授权
app.UseAuthorization();

5、效果

控制器代码

        private readonly ILogger<WeatherForecastController> _logger;
        private readonly JwtHelper jwt;

        public WeatherForecastController(ILogger<WeatherForecastController> logger,JwtHelper jwt)
        {
            _logger = logger;
            this.jwt = jwt;
        }
                /// <summary>
        /// 获取Token
        /// </summary>
        /// <returns></returns>
        [HttpGet, Route("GetToken")]
        public IActionResult GetToken()
        {
            return Json(new
            {
                code = "200",
                message = "成功",
                data = new Dictionary<string, string>() {
                { "aeecss_token", jwt.GenerateAccessToken(new List<Claim>() { new Claim("Admin", "Admin") }).ToString()},
                { "refresh_token", jwt.GenerateRefreshToken(new List<Claim>() { new Claim("Admin", "Admin") }).ToString()}
            }
            });
        }
        /// <summary>
        /// 刷新token
        /// </summary>
        /// <param name="refreshToken">刷新的token</param>
        /// <returns></returns>
        [HttpGet, Route("RefreshToken")]
        public object RefreshToken(string refreshToken)
        {
            if (!string.IsNullOrWhiteSpace(refreshToken))
            {
                if (jwt.ValidationToken(refreshToken))
                {
                    return new { data = new { aeecss_token = jwt.GenerateRefreshToken(new List<Claim>() { new Claim("Admin", "Admin") }).ToString() }, message = "成功", code = 200 };
                }
            }
            return new { message = "授权未通过", data = "", code = 401 };
        }
        /// <summary>
        /// 解析token
        /// </summary>
        /// <param name="DesToken"></param>
        /// <returns></returns>
        [HttpPost, Route("DesToken")]
        public IActionResult DesToken([FromBody] string DesToken)
        {
            return Json(new { code = "200", message = "成功", data = jwt.DecryptToken(DesToken) });
        }

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6、控制台程序生成和解析Token

using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

/// <summary>
/// 生成token
/// </summary>
/// <param name="claims">要加密的Claim集合</param>
/// <param name="key">token加密秘钥</param>
/// <param name="expires">token过期时间</param>
/// <returns></returns>
public static string  GenerateToken(List<Claim> claims, string key, DateTime expires)
{
    byte[] secBytes = Encoding.UTF8.GetBytes(key);
    var secKey = new SymmetricSecurityKey(secBytes);
    var credentials = new SigningCredentials(secKey, SecurityAlgorithms.HmacSha256Signature);
    var tokenDescriptor = new JwtSecurityToken(claims: claims,
        expires: expires, signingCredentials: credentials);
    return new JwtSecurityTokenHandler().WriteToken(tokenDescriptor);
}

/// <summary>
/// 解析token
/// </summary>
/// <param name="tokenCode">要解析的token</param>
/// <returns></returns>
public static void AnalysisToken(string tokenCode)
{
    string[] segments = tokenCode.Split('.');
    string head = JwtDecode(segments[0]);
    string payload = JwtDecode(segments[1]);
    Console.WriteLine("---head---");
    Console.WriteLine(head);
    Console.WriteLine("---payload---");
    Console.WriteLine(payload);

}

public static string JwtDecode(string s)
{
    s = s.Replace('-', '+').Replace('_', '/');
    switch (s.Length % 4)
    {
        case 2:
            s += "==";
            break;
        case 3:
            s += "=";
            break;
    }
    var bytes = Convert.FromBase64String(s);
    return Encoding.UTF8.GetString(bytes);
}

Main方法中测试

List<Claim> claims = new List<Claim>() {
                    new Claim(ClaimTypes.NameIdentifier, "admin"),
                    new Claim(ClaimTypes.Role,"1997"),
                    new Claim("AdminRole","1997"),
                    new Claim("AdminName","裁决")
                    };
//秘钥
string key = "BB3647441FFA4B5DB4E64A29B53CE525909111";
//token过期时间
DateTime expires = DateTime.Now.AddMinutes(7);
//生成token
string token=GenerateToken(claims, key, expires);
//打印token
Console.WriteLine(token);
//解析token
AnalysisToken(token);
三分藏道
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi实现Token验证
Sqsdhc的博客
12-02 2685
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
私人工具集6——webapi中的Token功能
redAnt的博客
02-16 1975
c# webapi中的token实现类工具
WebApi后端框架Token身份认证,Api接口Token验证
a13204147231的专栏
04-05 3798
令牌概述(Token) 在以用户账号体系作为安全认证的信息系统中,对用户身份的鉴定是非常重要的事情。 令牌机制是软件系统安全体系中非常重要的部分,在计算机身份认证中是令牌的意思,一般作为邀请、登录以及安全认证使用。Token其实说的通俗点就是“暗号”,在一些数据传输之前,要先进行暗号的核对,不同的暗号被授权不同的数据操作。 随着互联网行业快速的发展逐渐的演变成了前后端分离,若项目中需要做登录的话,那么token成为前后端唯一的一个凭证。Token最大的特点是系统临时分配的一...
WebApi学习2:Token的理解和用法
weixin_44352179的博客
11-28 949
石NANA学习之路https://blog.csdn.net/weixin_44352179 WebApi学习2:Token的理解和用法 第一次使用Token基于令牌的身份验证,想把对于Token的理解和使用心得分享给大家,文章不足之处还望海涵! 如何创建一个Web Api项目 Token验证 我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求...
ASP.NET Core Web API用户身份验证
lweiyue的专栏
05-07 3993
ASP.NET Core Web API用户身份验证的方法有很多,本文只介绍JWT方法。JWT实现了服务端无状态,在分布式服务、会话一致性、单点登录等方面凸显优势,不占用服务端资源。简单来说,JWT的验证过程如下所示:(1)通过用户名和密码获取一个Token。(2)访问API时,加上这个TokenToken包含过期时间、用户角色等信息,可以在多种场合灵活使用。
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
ASP.NET Core Web APIToken验证
06-26
ASP.NET Core Web API采用Token进行身份验证。 主要技术:ASP.NET Core Web API , JWT , Json web token 包括获取TokenToken验证,生成Token等内容 具体可参考个人文章【ASP.NET Core Web APIToken验证】
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
12_基于JWT的Web API身份验证
10-31
12_基于JWT的Web API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
webapi jwt身份验证请求token(亲测通过)源码
Webapi添加token认证功能
kejin_F的博客
05-07 3060
1.创建控制台应用程序 在 “文件” 菜单上,选择"项目"。 从安装的 “视觉C#对象” 下,选择 " Windows 桌面",然后选择 "控制台应用(.net Framework) "。 将项目命名为 “OwinSelfhostSample”,然后选择 “确定”。 2.添加 Web API 和 OWIN 包 从 “工具” 菜单中,选择 " NuGet 包管理器",然后选择 “程序包管理器控制台”。 在“Package Manager Console”窗口中,输入以下命令: Install-Package
私人工具集7——webapi中的Token时效性验证
redAnt的博客
02-19 1901
token设置有效期
WebApi安全性 使用TOKEN+签名验证
xv7777666的博客
05-08 1772
(4) webapi接收到相应的请求,取出请求头中的timespan,nonc,staffid,signature 数据,根据timespan判断此次请求是否失效,根据staffid取出相应token判断token是否失效,根据请求类型取出对应的请求参数,然后服务器端按照同样的规则重新计算请求签名,判断和请求头中的signature数据是否相同,如果相同的话则是合法请求,正常返回数据,如果不相同的话,该请求可能被恶意篡改,禁止访问相应的数据,返回相应的错误信息。合法的请求则会返回对应的商品信息。
ASP.NET WebApi 实现Token验证
热门推荐
gx_up
07-03 3万+
转自:https://www.cnblogs.com/dukang1991/p/5627584.html 基于令牌的认证     我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。     WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几...
基于token的多平台身份认证架构设计
weixin_34221773的博客
11-04 1042
基于token的多平台身份认证架构设计 1   概述 在存在账号体系的信息系统中,对身份的鉴定是非常重要的事情。 随着移动互联网时代到来,客户端的类型越来越多, 逐渐出现了 一个服务器,N个客户端的格局 。 不同的客户端产生了不同的用户使用场景,这些场景: 有不同的环境安全威胁 不同的会话生存周期 不同的用户权限控制体系 不同级别的接口调用方式 综上所述,它们的身...
Web API系列(四):基于JWT的token身份认证方案
码探长
09-25 1145
没有保护的API接口任何人都可以访问,完全没有安全性可言,这时就需要控制对它的访问,也就是WebAPI的权限验证。本文介绍一种常用的验证方式:基于JWT的token身份认证方案,讲解了它的原理,以及通过代码实现其验证的整个过程。
ASP.NET Core WebAPI基于IdentityServer4实现Token令牌身份认证
跟着阿笨一起玩NET
01-31 1599
一、课程介绍 开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说如何确保提供的API服务的数据安全将会是需要思考的问题。在ASP.NET WebApi中我们应该如何保证我们的接口安全呢? 本次分享课程阿笨给大家分享的在ASP.NET Core中使用的是目前最流行、功能最强大的身份授权以及访问控制的解决方案——IdentityServer4(认证和授权),它是一套专注于...
.net core webapi怎样配置token验证
最新发布
08-17
### 回答1: 在 .NET Core Web API 中进行 Token 验证通常涉及以下步骤: 1. 安装 Microsoft.AspNetCore.Authentication.JwtBearer 包。 2. 在 Startup.cs 文件的 ConfigureServices() 方法中添加身份验证服务,包括 JWTBearerOptions 配置。 3. 在 Startup.cs 文件的 Configure() 方法中启用身份验证中间件。 以下是一个基本的示例: ```csharp using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.IdentityModel.Tokens; using System.Text; public void ConfigureServices(IServiceCollection services) { // 配置身份验证服务 services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidIssuer = Configuration["Jwt:Issuer"], ValidAudience = Configuration["Jwt:Audience"], IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:SecretKey"])) }; }); // 其他服务注册... } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { // 启用身份验证中间件 app.UseAuthentication(); // 其他中间件注册... } ``` 上述代码中,我们使用了 `AddAuthentication()` 方法来配置身份验证服务,并指定了 JWTBearerDefaults.AuthenticationScheme 作为默认身份验证方案。 接着,我们使用 `AddJwtBearer()` 方法来配置 JWTBearerOptions,其中 `TokenValidationParameters` 属性用于指定 Token 验证参数,例如验证发行者、受众、过期时间、签名密钥等。 最后,在 Configure() 方法中,我们调用 `UseAuthentication()` 方法来启用身份验证中间件,以确保每个请求都进行身份验证。 ### 回答2: 在.NET Core Web API中配置Token验证,可以按照以下步骤进行操作: 1. 添加NuGet包:在项目中添加Microsoft.AspNetCore.Authentication和Microsoft.AspNetCore.Authentication.JwtBearer两个NuGet包。 2. 配置认证服务:在Startup.cs文件的ConfigureServices方法中添加以下代码,以启用Bearer令牌验证: ``` services.AddAuthentication(options => { options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, // 验证发行人 ValidateAudience = true, // 验证受众 ValidateLifetime = true, // 验证生命周期 ValidateIssuerSigningKey = true, // 验证颁发的签名密钥 ValidIssuer = "your_issuer", // 设置发行人 ValidAudience = "your_audience", // 设置受众 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")) // 设置签名密钥 }; }); ``` 3. 配置授权:在Startup.cs文件的Configure方法中添加以下代码,以启用授权中间件: ``` app.UseAuthentication(); app.UseAuthorization(); ``` 4. 添加[Authorize]特性:在需要验证Token的Controller或Action上添加[Authorize]特性。 现在,当客户端请求受保护的Controller或Action时,将自动检查请求中的Token是否有效。如果Token验证失败,将返回401 Unauthorized状态码。如果验证成功,则可以继续处理请求。 ### 回答3: 在.NET Core WebAPI中配置Token验证主要涉及以下几个步骤: 1. 导入所需的包:首先,需要在`Startup.cs`文件中的`ConfigureServices`方法中导入所需的包。使用`Microsoft.AspNetCore.Authentication.JwtBearer`包来配置JWT验证。 2. 配置认证服务:在`ConfigureServices`方法中使用`services.AddAuthentication`来添加认证服务,并指定默认的身份验证方案。例如: ```csharp services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.RequireHttpsMetadata = false; // 是否要求HTTPS options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, // 验证发行者 ValidateAudience = true, // 验证接收者 ValidateLifetime = true, // 验证令牌有效期 ValidateIssuerSigningKey = true, // 验证签名 ValidIssuer = "your_issuer", ValidAudience = "your_audience", IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secret_key")) }; }); ``` 在上述代码中,可以根据自己的需求调整参数值,如验证发行者、接收者、令牌有效期、签名等。 3. 应用认证中间件:在`Configure`方法中,使用`app.UseAuthentication()`来应用认证中间件。确保此代码位于路由中间件之前。例如: ```csharp app.UseAuthentication(); app.UseRouting(); app.UseAuthorization(); ``` 4. 使用`Authorize`特性:在需要进行Token验证的Controller或Action上,可以使用`Authorize`特性来标记,以进行访问控制。例如: ```csharp [Authorize] public class MyController : ControllerBase { // ... } ``` 5. 在请求中包含Token:最后,在发送请求时,需要在请求头中包含Bearer Token,以进行验证。例如: ``` Authorization: Bearer your_token ``` 通过以上配置,就可以在.NET Core WebAPI中实现Token验证。这样,当请求到达API时,API会验证Token的有效性,并对请求进行授权控制,确保只有拥有有效Token的用户可以访问受保护的资源。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值