.Net Core手撸一个基于Token的权限认证

最新推荐文章于 2024-06-07 21:00:00 发布
最新推荐文章于 2024-06-07 21:00:00 发布
阅读量1.6k 收藏 4
点赞数 1
文章标签: java jwt 缓存 shiro http
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654089105&idx=2&sn=0bcac6cb0815cb4dbdda4b1809c15017&chksm=80d80bc4b7af82d24c4fa20bad3a97b35bee0ae89b3127bc7e61f96284bbb1f1654b76552987&scene=126&&sessionid=0
版权

说明

权限认证是确定用户身份的过程。可确定用户是否有访问资源的权力

今天给大家分享一下类似JWT这种基于token的鉴权机制

基于token的鉴权机制,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用,不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。

流程上是这样的:

•用户使用用户名密码来请求服务器•服务器进行验证用户的信息•服务器通过验证发送给用户一个token•客户端存储token,并在每次请求时附送上这个token值•服务端验证token值,并返回数据

那我今天给大家手撸一个类似Jwt的权限认证

演示

新建一个授权筛选器继承IAuthorizationFilter

public class ApiAuthorize : IAuthorizationFilter
 {}

新建一个需要应用授权的特性和允许未通过身份验证也可以访问的特性

public class MyAuthentication:Attribute, IFilterMetadata
    {
    }
  public class MyNoAuthentication : Attribute, IFilterMetadata
    {
    }

我们需要在我们的授权过滤器判断请求头是否带有应用授权的特性和允许未通过身份验证也可以访问的特性,如果有允许未通过身份验证也可以访问的特性就直接进入下一个管道 ,如果带有应用授权的特性则进行token判断

public class ApiAuthorize : IAuthorizationFilter
    {
        public void OnAuthorization(AuthorizationFilterContext context)
        {
            if (context.Filters.Contains(new MyNoAuthentication()))
            {
                return;
            }
            var authorize = context.HttpContext.Request.Headers["MyAuthentication"];
            if (string.IsNullOrWhiteSpace(authorize))
            {
                context.Result = new JsonResult("请求authorize不能为空");
                return;
            }
            if (!MemoryCacheHelper.Exists(authorize))
            {
                context.Result = new JsonResult("无效的授权信息或授权信息已过期");
                return;
            }
        }
    }

可能有的小伙伴发现了,那我们Token怎么去存取呢,一般的方案是使用Cache来处理,这里就不做过多讨论了,有想了解的小伙伴可以看我上一篇文章!

CacheHelper代码

public class MemoryCacheHelper
    {

        public static MemoryCache _cache = new MemoryCache(new MemoryCacheOptions());

        /// <summary>
        /// 验证缓存项是否存在
        /// </summary>
        /// <param name="key">缓存Key</param>
        /// <returns></returns>
        public static bool Exists(string key)
        {
            if (key == null)
            {
                throw new ArgumentNullException(nameof(key));
            }
            return _cache.TryGetValue(key, out _);
        }

        /// <summary>
        /// 获取缓存
        /// </summary>
        /// <param name="key">缓存Key</param>
        /// <returns></returns>
        public static object Get(string key)
        {
            if (key == null)
            {
                throw new ArgumentNullException(nameof(key));
            }
            if (!Exists(key))
                throw new ArgumentNullException(nameof(key));
            return _cache.Get(key);
        }

        /// <summary>
        /// 添加缓存
        /// </summary>
        /// <param name="key">缓存Key</param>
        /// <param name="value">缓存Value</param>
        /// <param name="expiresSliding">滑动过期时长(如果在过期时间内有操作,则以当前时间点延长过期时间)</param>
        /// <param name="expiressAbsoulte">绝对过期时长</param>
        /// <returns></returns>
        public static bool AddMemoryCache(string key, object value)
        {
            if (key == null)
            {
                throw new ArgumentNullException(nameof(key));
            }
            if (value == null)
            {
                throw new ArgumentNullException(nameof(value));
            }
          
            _cache.Set(key, value,
            new MemoryCacheEntryOptions()
            {
                SlidingExpiration = new TimeSpan(0, 0, 10),
                Priority = CacheItemPriority.NeverRemove,
                AbsoluteExpiration = DateTime.Now.AddMinutes(1)
            });
            return Exists(key);
        }
    }

权限认证代码基本完成了,我们回到刚刚的流程

用户使用用户名密码来请求服务器, 服务器进行验证用户的信息,服务器通过验证发送给用户一个token

对于一个商用软件来说绝大多数接口都需要应用授权后才能使用,所以我们注册到全局, 在StartUp类里面注册

public void ConfigureServices(IServiceCollection services)
        {
            services.AddControllers(o=>
            {
                o.Filters.Add<ApiAuthorize>();
                o.Filters.Add<MyAuthentication>();
            });
        }

Token生成原理我这里就不做过多解读了,本例子使用AES加密生成Token 在我们服务端的请求token接口加上允许未通过身份验证也可以访问的特性,然后颁发一个Token

[HttpGet("GetToken")]
[MyNoAuthentication]
public IActionResult GetToken(string UserCode)
{
   string token=  AESEncrypt.Encrypt(UserCode);
   MemoryCacheHelper.AddMemoryCache(token, User);
   eturn Ok(token);
}

使用Postman请求生成token,如图所示

e3b22d481821f2b7e4af85470d228da8.png

然后我们在新增一个需要应用授权的接口,由于我们注册了全局的应用授权特性就不需要在带上该特性了

[HttpGet("GetUserInformation")]
   public IActionResult GetUserInformation()
   {
          return Ok(new { Name="123",Age=18,Sex="性别"});
   }

不带token使用postman请求该接口,如图所示

cf69a88d17a2ad5f0bac1b8b4b3abb6c.png

带上token使用postman请求该接口,如图所示

93fd25ddbc52b0b0c4cfed84a073a6f0.png

通过刚才的例子我们清楚了解了权限认证的过程,今天的介绍就到此结束了!

最后大家如果喜欢我的文章,还麻烦给个关注并点个赞, 希望net生态圈越来越好!

dotNET跨平台
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 3911
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
IdentityServer4实现.Net Core API接口权限认证(快速入门)
10-15
IdentityServer4是一个基于ASP.NET Core构建的开源身份和授权框架,它实现了OpenID Connect和OAuth 2.0标准。在.Net Core API接口权限认证中,IdentityServer4扮演着核心角色,确保只有经过验证的用户才能访问受保护...
ASP.NET Core Web API之Token验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6207
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
Asp .Net Core 系列:详解鉴权(身份验证)以及实现 Cookie、JWT、自定义三种鉴权 (含源码解析)
最新发布
程序人生
06-07 1294
定义鉴权,又称身份验证,是确定用户身份的过程。它验证用户提供的凭据(如用户名和密码)是否有效,并据此确认用户是否具备访问系统的权利。过程用户向系统提供凭据(如用户名和密码)。系统使用已注册的身份验证服务(如IAuthenticationService)和身份验证处理程序来验证这些凭据的有效性。如果凭据有效,系统将识别并确认用户的身份,然后用户可以访问系统。方式传统的鉴权方式通常依赖于密码验证,但这种方式存在安全风险,如密码泄露或被盗用。
.NET Core 自定义授权和认证
qq_62739010的博客
05-04 1827
.NET Core 自定义授权和认证
.netcore2.1 使用IdentityServer4 生成Token验证
weixin_33974433的博客
04-30 1072
  每个新技术权限验证都有一套机制,之前项目WebApi接口权限验证用的是Owin做为权限验证,而.netcore权限限制使用的是IdentityServer4,采用JWT的方法验证token. 首先使用Guget包管理添加IdentityServer4包的引用,如图    生成token方法 /// <summary> /// 生成tok...
Asp.Net CoreJWT刷新Token解决方案
qq_18932003的博客
09-01 1986
一. 前言 1.关于JWTToken过期问题,到底设置多久过期? (1).有的人设置过期时间很长,比如一个月,甚至更长,等到过期了退回登录页面,重新登录重新获取token,期间登录的时候也是重新获取token,然后过期时间又重置为了1个月。这样一旦token被人截取,就可能被人长期使用,如果你想禁止,只能修改token颁发的密钥,这样就会导致所有token都失效,显然不太可取。 (2).有的人设置比较短,比如10分钟,在使用过程中,一旦过期也是退回登录页面,这样就可能使用过程中经常退回登录页面,体验
.Net Core2.1使用jwt生成Token做身份认证
qq_40347722的博客
07-22 3372
.Net core 使用jwt获取Token认证登录
.NET 6.0中使用Identity框架实现JWT身份认证与授权
主宰
07-27 1428
我们将使用微软 框架来存储用户和角色信息。(身份认证)是验证用户凭据的过程,而(授权)是检查用户访问应用程序中特定模块的权限的过程。在本文中,我们将了解如何通过实现 JWT 身份认证来保护 应用程序。我们还将了解如何在 中使用授权来提供对应用程序各种功能的访问。我们将用户凭据存储在 SQL Server 数据库中(注:您可以使用MySQL、PostgreSQL等其他关系型数据库),我们将使用 EF Core 框架和 Identity 框架进行数据库操作。 是一个开放标准 (RFC 7519),它定义了
ASP.NET LayUI权限管理系统源码
06-07
4、该权限系统精确控制到每一条命令,并且采用缓存机制减少多余的数据库权限验证操作。 三、初次运行说明 在文件夹里有说明文档。 四、注意事项 1、同一个账号同时多个浏览器(包括机浏览器)登陆,后者挤掉...
ASP.Net Core3.0中使用JWT认证的实现
10-15
ASP.NET Core 3.0 是一个高性能、模块化且跨平台的开发框架,用于构建现代云应用程序。在本文中,我们将深入探讨如何在ASP.NET Core 3.0中实现JWT(JSON Web Tokens)认证,这是一种轻量级的安全身份验证机制。 JWT...
详解ASP.NET Core Token认证
01-20
令牌认证Token Authentication)已经成为单页应用(SPA)和移动应用事实上的标准。即使是传统的B/S应用也能利用其优点。优点很明白:极少的服务端数据管理、可扩展性、可以使用单独的认证服务器和应用服务器分离。 如果你对令牌(token)不是太了解,可以看这篇文章( overview of token authentication and JWTs) 令牌认证在asp.net core中集成。其中包括保护Bearer Jwt的路由功能,但是移除了生成token和验证token的部分,这些可以自定义或者使用第三方库来实现,得益于此,MVC和Web api项目可以使用令牌认证,而且
各大网站.net开发Access token源码C#
05-14
前段时间用到了Access token,网了各方的源码进行参考,这个包中集成了新浪、QQ、Sohu等接口实现Access token的源码,希望对大家有所帮助
asp.net Core 3.0 集成JWT Demo
03-09
ASP.NET Core 3.0 集成JWT(JSON Web Token)Demo是一个示例项目,展示了如何在ASP.NET Core应用程序中实现JWT身份验证和权限管理。JWT是一种安全的身份验证机制,用于在客户端和服务器之间传输信息,特别是对于API...
Asp.net Core 3.1 JWT 认证Demo
12-27
Asp.NET Core 3.1 JWT(JSON Web Token...总之,Asp.NET Core 3.1的JWT认证Demo是一个实用的起点,它展示了如何在现代Web应用中安全地处理用户身份验证。通过理解和扩展这个Demo,你可以创建更强大、更安全的认证系统。
基于.NET6平台开发WebApi(十一)—— 使用JWT进行用户鉴权
昨夜丶雨疏风骤的博客
01-18 5690
至此我们的项目已经可以正常运行了,但是聪明的你可能发现了一个问题,那就是我们在第九章中将控制器基类中的[Authorize]标记注释掉了,而且我们添加了一个CurrentUserId属性,没错,它就是为了用户鉴权使用的。用户登录可以说是WebApi必不可少的功能,本篇我们就来详细说说如何进行用户鉴权。 1、对于小型项目或者个人项目来说,可能规模比较小,而且不需要单点登录这样的功能,也就没有必要去单独建设一个IdentityServer服务器来实现鉴权,此处我们可以直接使用.NET自带的功能来实现JWT签发
.net6 基本使用JWT生成Token,模拟用户登录,启动api授权,需要登录携带token才能请求数据,基本给用户添加权限管理
热门推荐
weixin_44442366的博客
04-07 1万+
1. 创建好项目,添加一个控制器,新建用户登录api接口和接收用户登录信息类Dto Dto就包含两个字段,账号和密码 2. 安装NuGet包,搜索JWT,安装图下这个包 3. 在appsettings.json添加JWT加密需要的私钥,发布者等相关配置信息,私钥用户可以自定义。 私钥:SecretKey 发布者:Issuer 接收者:Audience "Authentication": { "SecretKey": "nadjhfgkadshgoihfkajhkjdhsfaidkuahfh
.net mvc登录使用token验证以及过滤器的使用
DK18397606232的博客
12-24 3611
一:学习Token的原理: 1.当用户登录成功,后端给出token存入cookies(可设置过期时间)。 2.用户每次访问这个网站的不同页面或者请求数据的时候,都需要带上这个token进行验证(token存储在数据库中) token一般由用户名+密码+时间戳组成并且通过加密方式加密(MD5,RSA,DES......) token也可以根据账户名密码生成guid+时间戳...
.net MVC下鉴权认证(三)
飞翔的学习笔记
07-31 1031
.net core jwt 下鉴权认证
【ASP.NET编程知识】浅谈ASP.NET Corejwt授权认证的流程原理.docx
05-21
"本文将深入探讨ASP.NET Core中基于JWT(JSON Web Tokens)的授权认证流程。我们将了解JWT的基础知识,并通过实例演示如何在ASP.NET Core项目中实现JWT验证功能。" 在ASP.NET Core中,JWT被广泛用于实现安全的身份...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值