net core mvc项目下JWT实现自定义JWT过滤属性

于 2024-02-22 15:43:08 发布
阅读量554 收藏 12
点赞数 13
文章标签: mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48024671/article/details/136235223
版权

就目前来说,系统基本上都采用的是JWT方式来进行验证,所以,我在这里把JWT的实现给弄一遍,具体原理什么的,我不详细写了,百度一堆原理,话止于此,开始!!

导包

首先,导包,在这里,我就只是导入JWT这一个包即可,因为我们是自定义JWT属性吗,所以就只需要这一个,当然,我是做完再写的文档,如果不对,那我也没办法

 实体准备

新建一些我们后面需要的实体属性 AuthInfo.cs

  public class AuthInfo
    {
        //模拟JWT的payload
        public string UserName { get; set; }

        public List<string> Roles { get; set; }

        public bool IsAdmin { get; set; }
        /// <summary>
        /// 过期时间
        /// </summary>
        public string ExpirationTime { get; set; }
    }

 下面这个是我们用来进行token的加密和解密的方法

public class Secretkey
    {
        /// <summary>
        /// 加密
        /// </summary>
        /// <param name="info"></param>
        /// <param name="secret"></param>
        /// <returns></returns>
        public static string Enc_SecKey(AuthInfo info, string secret)
        {
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serializer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
            var token = encoder.Encode(info, secret);
            return token;
        }
        /// <summary>
        /// 解密
        /// </summary>
        /// <param name="token"></param>
        /// <param name="secret"></param>
        /// <returns></returns>
        public static AuthInfo Dec_SecKey(string token, string secret)
        {
            //secret需要加密
            JWT.IJsonSerializer serializer = new JsonNetSerializer();
            IDateTimeProvider provider = new UtcDateTimeProvider();
            IJwtValidator validator = new JwtValidator(serializer, provider);
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);

            var authInfo = decoder.DecodeToObject<AuthInfo>(token, secret, verify: true);

            return authInfo;
        }
    }

 自定义过滤属性

 在添加完这些之后,我们就可以新建一个AuthAttribute通过继承和实现Attribute,IAuthorizationFilter,代码如下

 public class AuthAttribute : Attribute, IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            // 在这里执行您的自定义授权逻辑
            if (!IsAuthorized(context))
            {
                // 如果未通过授权,返回 403 Forbidden
                context.Result = new ContentResult
                {
                    StatusCode = StatusCodes.Status401Unauthorized,
                    ContentType = "application/json",
                    Content = JsonConvert.SerializeObject(new { message = "Unauthorized:认证失败" }) // 或者使用其他序列化方式
                };
            }

            return;
        }

        private bool IsAuthorized(AuthorizationFilterContext context)
        {


            //获取token
            var authHeader = from t in context.HttpContext.Request.Headers
                             where t.Key == "auth" || t.Key == "Auth"
                             select t.Value.FirstOrDefault();

            //验证token是否为空
            if (authHeader != null)
            {
                string token = authHeader.FirstOrDefault();
                if (!string.IsNullOrEmpty(token))
                {
                    try
                    {
                        string secret = "SecretKey" + DateTime.Now.ToString("yyyyMMdd");//口令加密秘钥(应该写到配置文件中)  

                        var authInfo = Secretkey.Dec_SecKey(token, secret);
                        if (authInfo != null)
                        {
                            DateTime ExpDate = Convert.ToDateTime(authInfo.ExpirationTime).AddHours(24);
                            //验证token是否超时,这里设置的过期时间为两小时
                            if (ExpDate < DateTime.Now && !string.IsNullOrEmpty(authInfo.ExpirationTime))
                            {

                                return false;
                            }
                            else
                            {
                                context.HttpContext.GetRouteData().Values.Add("authinfo", authInfo);
                                return true;
                            }

                        }
                        return false;
                    }
                    catch (Exception ex)
                    {

                        return false;
                    }
                }
            }
            return false;
        }
    }

 然后,没有然后啦!这就可以正常使用了,对自己控制器中的方法添加[Auth]即可进行约束,如下

 

由此可以看出,这就已经可以对未登录的进行限制了 

 

唯情于酒
关注
  • 13
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springmvc使用JWT实现鉴权并防止流只能读取一次的ERROR
一个真实、有温度的无名小卒
02-06 2862
为了保证接口的安全性,在restful服务接口中我们常常使用JWT进行登陆鉴权,JWT的原理很简单: 登陆成功后用JWT根据登陆信息生成一个token返回给调用者,调用者下次调用其它接口把登录信息和相关token一起传给服务,使用springmvc拦截器进行拦截验证,看token是否有效,有效则跳转到指定的controller进行处理! 以ssm框架为例 一.pom.xml 导入jwt的包:
JWT(JsonWebToken)+SpringMVC项目demo
09-21
JSON Web Token(JWT)是一个非常轻巧的规范。现在免费给大家分享一个JWT(JsonWebToken)+SpringMVC项目的demo!
ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统
weixin_30823001的博客
05-10 241
升级到 Asp.Net Core 2.0 (2017/08/29 更新) 为什么使用 Jwt 最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下: 移动端经常要保持长时间(1 到 2 星期)在线,但是 Session 却不好在服务端保存这么久,虽然可以持久化到数据库,但是还是挺费...
ASP.NET Core MVC 使用 JWT 的示例
一个九零后程序猿开发日志
07-05 1182
Core MVC 项目
.net core 学习小结之 自定义JWT授权
weixin_30699955的博客
03-26 609
自定义token的验证类 using System; using System.Collections.Generic; using System.IO; using System.Linq; using System.Threading.Tasks; using Microsoft.AspNetCore; using Microsoft.AspNetCore.Ho...
.net core api JWT Token使用
Lzysnd的博客
12-10 8473
一、项目>管理Nuget包 安装 二、.appsettings.json添加 "JWT": { "Secret": "~!@#$%^&*()_+qwertyuiopasldkh[o51485421ajshk^%*)kasd", // 密钥 "Issuer": "kfjdhf", // 颁发者 "Audience": "kfjdhf", // 接收者 //"Expired": 30 // 过期时间(30min) } 三、ConfigureS...
.Net Core使用JWT
飞翔的学习笔记
08-08 5965
.Net Core使用JWT 1.新建WebApi项目JwtDemo 2.通过nuget安装JWT.Net 根据你的版本自行选择合适的版本 3.分别建立三个实体类LoginDto,PlayloadDto,TokenDto public class LoginDto { public string UserId { get; set; } public string Password { get; set; } } public c
ASP.NET Core MVC 项目 创建JWT搭配WebApi和MinimalApi实现输出Token
Vin Cente
04-02 1384
一:新建WebApi项目 二:添加关键类 三:修改appsettings.json文件 四:修改Program.cs文件 五:添加控制器AuthenticationController 六:结果截图
NETCore中使用JWT
qq_40600379的博客
07-03 8594
NETCore中使用JWT 什么是JWT? ​ JSON Web Token(简称JWT),是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。 JWT常用于哪些场景? ​ 授权:适用于单点登录。例:当用户登录成功时,服务器会返回一个token给当前登录用户,且用户登录后访问系统的各个模块都应携带该token进行请求,当token过期时,则不允许用户访问系统模块。 ​ 信息交换:jwt是各端(客户端、服务器端)之间安全地传输信息的好方法。因
vue项目+.net core mvc token jwt权限验证
weixin_42524279的博客
05-13 4027
参考: https://www.cnblogs.com/lyl6796910/p/6648891.html https://www.cnblogs.com/lyl6796910/p/6648891.html 1, .net core使用jwt验证 首先创建一个类 JwtSeetings public class JwtSeetings { /// <summary...
.net coreJWT(一)
q3230034的博客
08-02 747
前言 jwt是无状态,jwt信息只需要保存在客户端,无状态登录优势:分布式部署,jwt是通过token进行,jwt最重要部分是数字数字签名(VERIFY SIGNATURE),数字签名是通过非对称加密算法RSA,需要通过服务器私钥进行验证,如果私钥不丢失,基本上绝对安全(因为token是明文)。 JWT优缺点 优点:无状态,简单,方便,完美支持分布式部署 非对称加密,Token安全性高 缺点:1:因为是无状态,一经发布无法取消。(无解) 2:明文传递,token安全性低,知识通过base64加密 (使用ht
MVC进行jwt认证
RainyLin-SunnyLin的专栏
10-26 1200
1、JWT 1.1 基于 Token 的身份验证方法 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token 服务端收到请求,然后去验证
NetCore JWT(一)
farmwang的专栏
02-15 1269
https://auth0.com/blog/securing-asp-dot-net-core-2-applications-with-jwts/ https://auth0.com/blog/securing-asp-dot-net-core-2-applications-with-jwts/ Startup.cs using System; using System.Collecti...
MVC .NET CORE 学习之路三:搭建.net core权限认证的环境(IdentityServer或jwt)
m0_51159082的博客
04-30 639
1.新建ASP.NET Core Web 应用程序,程序文件如下图
基于MVC轻量级的JWT权限验证
qq_37230349的博客
03-19 933
JWT就不多介绍了 传统的shiro和SpringSecurity安全框架需要Session,重启后Session会丢失,或者将Session存入redis也行,但是相对比较繁琐。利用JWT可以很轻松的实现Token的认证,在前后端分离的情况下,JWT也显得非常的简易。 依赖 com.auth0 java-jwt 3.4.0   登录请求生成token,第一个参数传入ID,表明...
asp.net mvc使用JWT代替session,实现单点登陆
热门推荐
i李泳谦谦谦谦谦
05-31 1万+
使用JWT取代session,实现单点登陆1. 什么是Token?2. 什么是JWT?3. Token与Session比较传统Session所暴露的问题Token的验证机制4. ASP.NET MVC如何使用jwt实现单点登陆 1. 什么是Token? 什么是token?token可以理解为是一种令牌,常用在计算机身份认证。在与服务器进行数据传输之前,会进行身份核验。 2. 什么是JWT? 什么是...
MVCJWT.Net的使用
GISer修炼空间
04-21 4418
1、JWT 1.1 基于 Token 的身份验证方法 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local St...
.Net Core使用JWT进行身份认证
baidu_38845827的博客
12-01 1168
参照下面的博客一点问题没有 https://www.cnblogs.com/tommao2618/archive/2020/06/19/13127625.html 我自己在测试的时候 生成jwt的token报错:PII is hidden. For more details 参照下面的博客知道了原因是由于设置的key过短 https://blog.csdn.net/gnsyhxg/article/details/96181383 ...
授权过滤器—MVC中使用授权过滤实现JWT权限认证
最新发布
weixin_43163153的博客
08-07 389
一、什么是过滤器? 过滤器定义: ​ 过滤器与中间件很相似,过滤器(Filters)可在管道(pipeline)特定阶段(particular stage)前或后执行操作,可以将过滤器视为拦截器(interceptors)。在.NET MVC开发中,权限验证是非常重要的一部分。通过使用授权过滤器可以很方便地实现权限验证功能。这篇主要分享授权过滤器的使用。 二、过滤器的种类: ​ 过滤...
.net 6 获取jwt 过滤Bearer
06-08
在.NET 6中,你可以使用ASP.NET CoreAuthorization中间件来过滤Bearer Token。 以下是一个示例代码,展示了如何在ASP.NET Core应用程序中获取JWT并验证它: ```csharp using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; namespace YourApp.Controllers { [ApiController] [Route("[controller]")] [Authorize] public class MyController : ControllerBase { [HttpGet] public IActionResult Get() { // 获取当前用户的ID var userId = User.FindFirstValue(ClaimTypes.NameIdentifier); // 在这里添加你的业务逻辑 return Ok(); } } } ``` 在此代码中,我们在控制器上添加了[Authorize]特性,以确保只有经过身份验证的用户可以访问该动作。当客户端发送请求时,Authorization中间件会自动解析Bearer Token,并将其附加到HttpContext.User属性中。你可以使用User对象来获取当前用户的信息,例如ID。 注意:在使用Authorization中间件之前,你需要在Startup.cs文件中配置身份验证方案。例如,你可以使用JWT身份验证方案: ```csharp services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.Authority = "https://your-auth-server.com"; options.Audience = "your-audience"; }); ``` 在此代码中,我们使用AddAuthentication方法添加JWT身份验证方案,并指定其Authority和Audience属性Authority属性指定用于验证令牌的身份验证服务器的URL,Audience属性指定使用令牌的受众。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值