dotNET Core 3.X 使用 Jwt 实现接口认证

最新推荐文章于 2024-08-25 09:54:05 发布
最新推荐文章于 2024-08-25 09:54:05 发布
阅读量645 收藏 3
点赞数
原文链接:https://github.com/oec2003/DotNetCoreThreeAPIDemo
版权

在前后端分离的架构中,前端需要通过 API 接口的方式获取数据,但 API 是无状态的,没有办法知道每次请求的身份,也就没有办法做权限的控制。如果不做控制,API 就对任何人敞开了大门,只要拿到了接口地址就可以进行调用,这是非常危险的。本文主要介绍下在 dotNET Core Web API 中使用 Jwt 来实现接口的认证。

Jwt 简介

Jwt 的全称是 JSON Web Token,是目前比较流行的接口认证解决方案。有了 Jwt 后,从客户端请求接口的流程如下图:

  • 客户端发送用户名密码信息到认证服务器获取 token;

  • 客户端请求 API 获取数据时带上 token;

  • 服务器端验证 token,合法则返回正确的数据。

有一个网站叫:https://jwt.io/ ,我们在这个站点上对 Jwt 产生的 token 做验证:

从上图可以看出 Jwt 生产的 token 由三个部分组成:

  • Header(红色):头

  • Playload(紫色):负载

  • Verify Sigantuer(蓝色):签名

这三个部分由英文的点进行分隔开

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoib2VjMjAwMyIsInNpdGUiOiJodHRwOi8vZndoeXkuY29tIiwiaWF0IjoxNTE2MjM5MDIyfQ.DYgo4eEUwlYJqQoLvAuFPxFRVcCow77Zyl2byaK6Uxk

Header

头信息是一个 Json 格式的数据

{
  "alg": "HS256",
  "typ": "JWT"
}

  • alg:表示加密的算法

  • typ:表示 token 的类型

Playload

Playload 是 token 的主体内容部分,我们可以用来传递一些信息给客户端,比如过期时间就是通过 Playload 来进行传递的。但因为默认情况下 Playload 的数据是明文的,所以敏感信息不要放在这里。

Verify Sigantuer

Verify Sigantuer 是对前面两个部分的签名,防止数据篡改。

使用 Jwt

下面一步步介绍在 dotNET Core Web API 项目中使用 Jwt:

添加 Jwt 的包引用

在 Web API 项目中添加对 Microsoft.AspNetCore.Authentication.JwtBearer 包的引用

修改 Starup

1、在 ConfigureServices 方法中添加服务注册。

// jwt 认证
JwtSettings jwtSettings = new JwtSettings();
services.Configure<JwtSettings>(Configuration.GetSection("JwtSettings"));
Configuration.GetSection("JwtSettings").Bind(jwtSettings);

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(o=>
    {
        o.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters()
        {
            ValidateIssuerSigningKey = true,
            ValidIssuer = jwtSettings.Issuer,
            ValidAudience = jwtSettings.Audience,
            //用于签名验证
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(jwtSettings.SecretKey)),
            ValidateIssuer = false,
            ValidateAudience = false
        };
    });

JwtSettings 的配置设置在 appsettings.json 配置文件中:

2、在 Configure 方法中添加对中间件的使用。

app.UseAuthentication();
app.UseAuthorization();

添加认证接口

添加 AuthorizeController 控制器:

[ApiController]
public class AuthorizeController: BaseController
{
    private readonly IUserService _userService;
    private readonly JwtSettings _jwtSettings;

    public AuthorizeController(IMapper mapper,
        IUserService userService,
        IOptions<JwtSettings> options) : base(mapper)
    {
        _userService = userService;
        _jwtSettings = options.Value;
    }

    /// <summary>
    ///  获取 token
    /// </summary>
    /// <param name="request"></param>
    /// <returns></returns>
    [HttpPost]
    public string Token(TokenDto request)
    {
        bool isValidate = _userService.ValidatePassword(request.UserName, request.Password);

        if(!isValidate) return string.Empty;

        var claims = new Claim[]{
            new Claim(ClaimTypes.Name,request.UserName)
        };

        var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_jwtSettings.SecretKey));
        var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

        var token = new JwtSecurityToken(_jwtSettings.Issuer,
            _jwtSettings.Audience,
            claims,
            DateTime.Now,
            DateTime.Now.AddSeconds(10),
            creds);

        return new JwtSecurityTokenHandler().WriteToken(token);
    }
}

上面代码中使用 IOptions 来做强类型配置,将 JwtSettings 配置类注入到该控制器中使用,关于更多配置内容可以参考:《dotNET Core 配置》。

使用 Postman 测试

1、在需要进行认证的控制器或接口方法上添加 [Authorize] 标记。

2、调用接口 http://localhost:5000/api/Authorize/token 获取 token。

3、在请求接口时使用 Authorization 的方式使用 token,token 的类型为 Bearer Token ,可以看到带上 token 后,数据正常返回。

在 Vue 中调用

前端技术有很多种,在这里以 Vue 为例,Vue 中处理 Jwt 有以下几个步骤:

1、请求接口时判断 localStorage 中是否有 token 数据,没有 token 数据或者 token 已经过期,需要重新调用接口获取新的 token;
2、使用 axios 的拦截器,在所有请求的 Header 中都添加 Authorization。

示例代码:

  • Vue:https://github.com/oec2003/vue-jwt-demo

  • 接口:https://github.com/oec2003/DotNetCoreThreeAPIDemo

希望本文对您有所帮助。

dotNET跨平台
关注
JWT认证
乌云的博客
05-09 1032
JSON Web Token (JWT)是⼀个开放标准(RFC 7519),它定义了⼀种紧凑的、⾃包含的⽅式,⽤于 作为JSON对象在各⽅之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
delphi7下实现http的post_dotNET Core 3.X 使用 Jwt 实现接口认证
weixin_39718006的博客
11-20 568
在前后端分离的架构中,前端需要通过 API 接口的方式获取数据,但 API 是无状态的,没有办法知道每次请求的身份,也就没有办法做权限的控制。如果不做控制,API 就对任何人敞开了大门,只要拿到了接口地址就可以进行调用,这是非常危险的。本文主要介绍下在 dotNET Core Web API 中使用 Jwt实现接口认证Jwt 简介Jwt 的全称是 JSON Web Token,是目前比较流...
Dotnet core使用JWT认证授权最佳实践(一)
dotNET跨平台
05-30 1683
最近,团队的小伙伴们在做项目时,需要用到JWT认证。遂根据自己的经验,整理成了这篇文章,用来帮助理清JWT认证的原理和代码编写操作。一、JWTJSON Web Token (JWT)是一...
.NET 5.0 API JWT认证与刷新令牌实战教程
最新发布
gitblog_01185的博客
08-25 795
.NET 5.0 API JWT认证与刷新令牌实战教程 dotnet-5-jwt-refresh-tokens-api.NET 5.0 API - JWT Authentication with Refresh Tokens项目地址:https://gitcode.com/gh_mirrors/do/dotnet-5-jwt-refresh-tokens-api 项目介绍 本项目基于.NET ...
jwt 认证
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-13 8583
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。1. 基于token的认证当用户成功登录系统并成功验证有效之后,服务器会利用某种机制产生一个token字符串,这个token中可以包含很多信息,例如来源IP,过期时间,用户信息等, 把这个字符串下发给客户端,客户端在之后的每次请求中都携带着这个token,携带方式其实很自由,无论是cookie方式...
Jwt认证
在努力学习的路上
03-05 1060
jwt认证、拦截器、token过期时间
Dotnet core使用JWT认证授权最佳实践(二)
老王Plus
06-08 541
最近,团队的小伙伴们在做项目时,需要用到JWT认证。遂根据自己的经验,整理成了这篇文章,用来帮助理清JWT认证的原理和代码编写操作。 第一部分:Dotnet core使用JWT认证授权最佳实践(一) (接上文) 测试运行 % dotnet run 等程序运行起来后,在浏览器输入:http://localhost:5000/swagger/,会进到Swagger的API界面。选择requestToken,点击按钮”Try it out“->”Execute“,可以看到运行结果: ["eyJhb.
DotNetCore中通过OpenIDConnect使用JWT令牌验证SignalR的演示_C#_TypeScript.zip
04-27
本项目结合了这两个技术,展示了如何在.NET Core应用中利用OpenID Connect进行JWT(JSON Web Token)令牌验证,并使用SignalR实现安全的实时通信。以下是对该项目的详细解析: 1. **JWT令牌验证**: JWT是一种轻量...
ASP.NET Core学习之使用JWT认证授权详解
10-14
本文将深入探讨如何在ASP.NET Core使用JWT(JSON Web Tokens)进行认证授权。 JWT是一种轻量级的身份验证机制,它允许在客户端和服务器之间安全地传递信息,而无需在服务器上存储会话信息。JWT通过在令牌中携带...
DotNetJWT:这是一个示例项目,提供使用OWIN和自定义OAuthProvider以及资源服务器的.NET身份验证服务器。 还有一个示例AngularJS项目,该项目利用身份验证服务器获取JWT,然后将其在标头中传递给资源服务器
05-02
点网 这是一个示例项目,提供使用OWIN和自定义OAuthProvider以及资源服务器的.NET身份验证服务器。 还有一个示例AngularJS项目,该项目利用身份验证服务器获取JWT,然后将其在标头中传递给资源服务器。 要进行测试,只需在Visual Studio中运行两个项目(将解决方案设置为单击“开始”时就运行两个项目),然后通过命令行运行TestJWTApp AngularJs项目。 AuthorizeServer.Api 这是身份验证服务器。 可以从端点/ oauth2 / token请求令牌。 发布的数据应为: 用户名 密码 grant_type clientId 当前,唯一的听众的ID为d3c2e8f35db549df8b6507f7e025301d。 观众及其秘密可以在AuthorizeServer.Api->模型-> AudiencesStore.cs中找到。
不会吧,不会吧,不会还有人看了这篇文章还不精通JWT
XiaoLin
10-07 2810
一、什么是JWT JSON Web Token (JWT) is an open standard (RFC 7519) that defines a compact and self-contained way for securely transmitting information between parties as a JSON object. This information can be verified and trusted because it is digitally signed.
JWT(JSON Web Token)认证
缘友一世的博客
02-27 1028
JSON Web Token官网JSON Web 令牌 (JWT) 是一种开放标准 (RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间以 JSON 对象的形式安全地传输信息。此信息可以验证和信任,因为它是经过数字签名的。JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。通俗理解:JWT简称JSONWebToken,也就是通过JSON形式作为Web应用中的令牌,用于在各方之间安全地将信息作为JSON对象传输。
JWT(token) 认证
selints的博客
02-25 859
例如:你刚搬进一个小区,在第一次近小区时,你得去物业(客户端)登记一下(即:注册登陆的过程),然后物业给你一个门禁卡(里面记录你的一些简单信息信息,即jwt),在之后每次进入小区都等使用门禁卡验证身份。(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限。JWT 的原理是,服务器认证以后,生成一个 JSON 对象(即:生成tocken),发回给用户,就像下面这样。(1)JWT 默认是不加密,但也是可以加密的。
关于JWT认证
人望山丶鱼窥荷的博客
07-25 302
今天做好一个API后进行测试,一致提示401,验证不通过,在后端代码中一通查找,实在找不出错误逻辑,明明token也传了,就是验证不了。 就在心态血崩的时候,终于让我找到原因了 原来JWT要验证的token格式是这样的  Authorization: JWT eyJhbGciOiAiSFMyNTYiLCAidHlwIj  JWT 验证的格式是 JWT +空格+eyJhbGciOiAiS...
ASP.NET Core深入理解JWT认证授权
本文档详细介绍了ASP.NET Core使用JWT(JSON Web Tokens)进行认证授权的方法,探讨了JWT的优势和劣势,并提供了在ASP.NET Core项目中集成JWT认证的步骤。 在现代Web应用开发中,认证授权是核心功能之一。随着...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值