在ASP.NET Core中实现一个Token base的身份认证

最新推荐文章于 2024-04-21 12:00:00 发布
最新推荐文章于 2024-04-21 12:00:00 发布
阅读量2.1k 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/78097034
版权

以前在web端的身份认证都是基于Cookie | Session的身份认证, 在没有更多的终端出现之前,这样做也没有什么问题,
但在Web API时代,你所需要面对的就不止是浏览器了,还有各种客户端,这样就有了一个问题,这些客户端是不知道cookie是什么鬼的。 (cookie其实是浏览器搞出来的小猫腻,用来保持会话的,但HTTP本身是无状态的, 各种客户端能提供的无非也就是HTTP操作的API)

而基于Token的身份认证就是应对这种变化而生的,它更开放,安全性也更高。

基于Token的身份认证有很多种实现方式,但我们这里只使用微软提供的API。

接下来的例子将带领大家完成一个使用微软JwtSecurityTokenHandler完成一个基于beare token的身份认证。

注意:这种文章属于Step by step教程,跟着做才不至于看晕,下载完整代码分析代码结构才有意义。

前期准备

创建项目

在VS中新建项目,项目类型选择ASP.NET Core Web Application(.NET Core), 输入项目名称为CSTokenBaseAuth

Coding

  • 创建一些辅助类

    在项目根目录下创建一个文件夹Auth,并添加RSAKeyHelper.cs以及TokenAuthOption.cs两个文件

    • 在RSAKeyHelper.cs中

    using System.Security.Cryptography;


    namespace CSTokenBaseAuth.Auth

    {

        public class RSAKeyHelper

        {

            public static RSAParameters GenerateKey()

            {

                using (var key = new RSACryptoServiceProvider(2048))

                {

                    return key.ExportParameters(true);

                }

            }

        }

    }

    • 在TokenAuthOption.cs中


  • using System;

  • using Microsoft.IdentityModel.Tokens;


  • namespace CSTokenBaseAuth.Auth

  • {

  •     public class TokenAuthOption

  •     {

  •         public static string Audience { get; } = "ExampleAudience";

  •         public static string Issuer { get; } = "ExampleIssuer";

  •         public static RsaSecurityKey Key { get; } = new RsaSecurityKey(RSAKeyHelper.GenerateKey());

  •         public static SigningCredentials SigningCredentials { get; } = new SigningCredentials(Key, SecurityAlgorithms.RsaSha256Signature);


  •         public static TimeSpan ExpiresSpan { get; } = TimeSpan.FromMinutes(20);

  •     }

  • }

  • Startup.cs

    在ConfigureServices中添加如下代码:

  • services.AddAuthorization(auth =>{
    auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
        .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme‌)
        .RequireAuthenticatedUser().Build());
});

  • 完整的代码应该是这样

  • public void ConfigureServices(IServiceCollection services)
{    // Add framework services.    services.AddApplicationInsightsTelemetry(Configuration);    // Enable the use of an [Authorize("Bearer")] attribute on methods and classes to protect.
    services.AddAuthorization(auth =>
    {
        auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()
            .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme‌)
            .RequireAuthenticatedUser().Build());
    });
    services.AddMvc();
}

  • 在Configure方法中添加如下代码


  • 这段代码主要是Handle Error用的,比如当身份认证失败的时候会抛出异常,而这里就是处理这个异常的。

    接下来在相同的方法中添加如下代码,


  • 应用JwtBearerAuthentication

  • app.UseJwtBearerAuthentication(new JwtBearerOptions {
    TokenValidationParameters = new TokenValidationParameters {
        IssuerSigningKey = TokenAuthOption.Key,
        ValidAudience = TokenAuthOption.Audience,
        ValidIssuer = TokenAuthOption.Issuer,
        ValidateIssuerSigningKey = true,
        ValidateLifetime = true,
        ClockSkew = TimeSpan.FromMinutes(0)
    }
});


  • 完整的代码应该是这样




  • 在Controllers中新建一个Web API Controller Class,命名为TokenAuthController.cs。我们将在这里完成登录授权

    在同文件下添加两个类,分别用来模拟用户模型,以及用户存储,代码应该是这样

  • public class User
{  
  •    public Guid ID { get; set; }  
  •   public string Username { get; set; }  
      public string Password { get; set; }
}
    public static class UserStorage
{  
  •   public static List<User> Users { get; set; } = new List<User> {        new User {ID=Guid.NewGuid(),Username="user1",Password = "user1psd" },        new User {ID=Guid.NewGuid(),Username="user2",Password = "user2psd" },        new User {ID=Guid.NewGuid(),Username="user3",Password = "user3psd" }
    };
}

  • 接下来在TokenAuthController.cs中添加如下方法

  • private string GenerateToken(User user, DateTime expires)
{   
     
  •     var handler = new JwtSecurityTokenHandler();
    
    ClaimsIdentity identity = new ClaimsIdentity(        new GenericIdentity(user.Username, "TokenAuth"),        new[] {            new Claim("ID", user.ID.ToString())
        }
    );    var securityToken = handler.CreateToken(new SecurityTokenDescriptor
    {
        Issuer = TokenAuthOption.Issuer,
        Audience = TokenAuthOption.Audience,
        SigningCredentials = TokenAuthOption.SigningCredentials,
        Subject = identity,
        Expires = expires
    });    return handler.WriteToken(securityToken);
}


  • 该方法仅仅只是生成一个Auth Token,接下来我们来添加另外一个方法来调用它

    在相同文件中添加如下代码

  • [HttpPost]
    public string GetAuthToken(User user)
{    var existUser = UserStorage.Users.FirstOrDefault(u => u.Username == user.Username && u.Password == user.Password);    if (existUser != null)
    {        var requestAt = DateTime.Now;      
     
  •   var expiresIn = requestAt + TokenAuthOption.ExpiresSpan;      
     
  •   var token = GenerateToken(existUser, expiresIn);        return JsonConvert.SerializeObject(new {
            stateCode = 1,
            requertAt = requestAt,
            expiresIn = TokenAuthOption.ExpiresSpan.TotalSeconds,
            accessToken = token
        });
    }    else
    {        return JsonConvert.SerializeObject(new { stateCode = -1, errors = "Username or password is invalid" });
    }
}


  • 接下来我们来完成授权验证部分

    在Controllers中新建一个Web API Controller Class,命名为ValuesController.cs

    在其中添加如下代码

    public string Get()
{   
     
  •  var claimsIdentity = User.Identity as ClaimsIdentity;  
  • var id = claimsIdentity.Claims.FirstOrDefault(c => c.Type == "ID").Value;    return $"Hello! {HttpContext.User.Identity.Name}, your ID is:{id}";
}


  • 为方法添加装饰属性

    [HttpGet]
[Authorize("Bearer")]

    完整的文件代码应该是这样

  • using System.Linq;  
    using Microsoft.AspNetCore.Mvc; 
    using Microsoft.AspNetCore.Authorization; 
  • using System.Security.Claims;
     
  • namespace CSTokenBaseAuth.Controllers
  • {
    [Route("api/[controller]")]  
  •   public class ValuesController : Controller
    {
        [HttpGet]
        [Authorize("Bearer")]       
  •         public string Get()
        {        
  •        var claimsIdentity = User.Identity as ClaimsIdentity;   
  •    var id = claimsIdentity.Claims.FirstOrDefault(c => c.Type == "ID").Value;        
  •        return $"Hello! {HttpContext.User.Identity.Name}, your ID is:{id}";
        }
    }
}

  • 最后让我们来添加视图

    在Controllers中新建一个Web Controller Class,命名为LoginController.cs

    其中的代码应该是这样

  • using Microsoft.AspNetCore.Mvc; 
    namespace CSTokenBaseAuth.Controllers
{
    [Route("[controller]/[action]")]   
        public class LoginController : Controller
    {  
  •          public IActionResult Index()
  •         {            return View();
        }
    }
}


  • 在项目Views目录下新建一个名为Login的目录,并在其中新建一个Index.cshtml文件。

    代码应该是这个样子

  • <html xmlns="http://www.w3.org/1999/xhtml"><head>
    <title></title></head><body>
    <button id="getToken">getToken</button>
    <button id="requestAPI">requestAPI</button>

    <script src="https://code.jquery.com/jquery-3.1.1.min.js"></script>
    <script>
        $(function () {            var accessToken = undefined;

            $("#getToken").click(function () {
                $.post(                    "/api/TokenAuth",
                    { Username: "user1", Password: "user1psd" },                    function (data) {
                        console.log(data);                        if (data.stateCode == 1)
                        {
                            accessToken = data.accessToken;

                            $.ajaxSetup({
                                headers: { "Authorization": "Bearer " + accessToken }
                            });
                        }
                    },                    "json"
                );
            })

            $("#requestAPI").click(function () {
                $.get("/api/Values", {}, function (data) {
                    alert(data);
                }, "text");
            })
        })    </script></body></html>


最后:完整的代码Sample以及运行手册,请访问:How to achieve a bearer token authentication and authorization in ASP.NET Core

原文地址:http://www.cnblogs.com/onecodeonescript/p/6061714.html

.NET社区新闻,深度好文,微信中搜索dotNET跨平台或扫描二维码关注

dotNET跨平台
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【笔记】ASP.NET Core Web API之Token验证
夜飞鼠的专栏
04-16 938
在实际开发,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程,常用的一种JWT身份验证方式。SON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。主要用于认证和保护API之间信息交换。JWT通常由三部分组成: 头信息(header), 消息体(payload)和
详解ASP.NET Core Token认证
10-20
主要介绍了详解ASP.NET Core Token认证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。
ASP.NET Core Web API之Token验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6210
在实际开发,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
Token详解及安全验证
最新发布
wangluoanquan111的博客
04-21 1334
最近了解下基于 Token 的身份验证,跟大伙分享下。很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github等等,比起传统的身份验证方法,Token 扩展性更强,也更安全点,非常适合用在 Web 应用或者移动应用上。Token文有人翻译成“令牌”,我觉得挺好,意思就是,你拿着这个令牌,才能过一些关卡。
.Net Core手撸一个基于Token的权限认证
dotNET跨平台
04-01 1680
说明权限认证是确定用户身份的过程。可确定用户是否有访问资源的权力今天给大家分享一下类似JWT这种基于token的鉴权机制基于token的鉴权机制,它不需要在服务端去保留用户的认证信息或者会话信息。这就意味着基于token认证机制的应用,不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。流程上是这样的:•用户使用用户名密码来请求服务器•服务器进行验证用户的信...
ASP.NET Core Token认证
dingti6779的博客
07-14 752
翻译:Token Authentication in ASP.NET Core 令牌认证(Token Authentication)已经成为单页应用(SPA)和移动应用事实上的标准。即使是传统的B/S应用也能利用其优点。优点很明白:极少的服务端数据管理、可扩展性、可以使用单独的认证服务器和应用服务器分离。 如果你对令牌(token)不是太了解,可以看这篇文章(overview of...
ASP.NET Core实现一个Token base身份认证实例
10-20
本文将详细介绍如何在ASP.NET Core实现一个基于Token身份认证实例,重点在于使用JWT(Json Web Tokens)作为Token实现方式。 传统的Web身份认证通常依赖于Cookie或Session,但这在多终端、API驱动的应用场景...
ASP.NET编程知识】在ASP.NET Core实现一个Token base身份认证实例.docx
05-21
ASP.NET Core 实现一个 Token base身份认证实例可以使用微软提供的 API,例如 JwtSecurityTokenHandler,通过设置身份认证的参数和生成密钥,我们可以实现一个安全、可靠的身份认证系统。
详解在ASP.NET Core使用Angular2以及与Angular2的Token base身份认证
10-20
实现身份验证时,通常采用Token-Based身份验证,例如OAuth2或JWT(JSON Web Tokens)。在ASP.NET Core,我们可以使用`Microsoft.AspNetCore.Authentication.JwtBearer`包来处理JWT。首先,通过NuGet或`dotnet ...
asp.net core 添加breaer token认证
学无止境! 无休无止!
05-25 953
Step 1.增加配置信息和配置类 增加一个类与配置信息绑定 public class JWTConfig { public string Issuer { get; set; } public string Audience { get; set; } public string IssuerSigningKey { get; set; } public int AccessTokenExpiresMinutes { .
.net core API 项目token验证(JWT方法)
gengjia_的博客
12-02 5274
API token验证笔记
Asp.Net Core基于Session的身份验证的实现
10-18
主要介绍了Asp.Net Core基于Session的身份验证的实现
基于ASP.NET Core数据保护生成验证token示例
10-20
本篇文章主要介绍了基于ASP.NET Core数据保护生成验证token,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
webapi 身份验证DEMO
12-22
WebApiDemo是webapi摘要验证的demo
.Net Core基于JWT的token的权限认证
frace3510的博客
04-01 3118
.Net Core基于JWT的token的权限认证
ASP.NET Core 3.1 JWT token测试
搬砖客的博客
04-25 1941
0. Bearer TokenToken 令牌) 为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播的,token表示令牌,简称JWT)。 1. 引入包 新建 .Core WebApi项目,并引入包 install-package Microsoft.AspNetCore.Aut
.netcore 判断是否 ajax 请求_.NET Core 认证基于Identity Server 4 Token的JwtToken认证
weixin_33302571的博客
12-03 310
(给DotNet加星标,提升.Net技能)转自:郑小超cnblogs.com/GreenLeaves/p/12164056.html前言介绍JwtToken认证之前,必须要掌握.NET Core认证系统的核心原理,如果你还不了解,请参考《.NET Core认证组件源码解析》,且必须对jwt有基本的了解,如果不知道,请百度.最重要的是你还需要掌握identityserver4的基本用法,关...
Asp.net Core3.1 Jwt认证 简单使用
youwen1988的专栏
12-27 889
Asp.net Core 3.1 JWT 初体验,简单实现JWT认证
ASP.NET Core 8.0 WebApi 从零开始学习JWT登录认证
qq_44695769的博客
03-14 4981
我一起写后端Api我都是直接裸连的,但是现在为了规范一些,我还是打算上一个JWT功能Jwt其实也不是特别难,就是第一次配置的时候容易被绕晕。Jwt的策略我暂时先跳过了,对于解决普通问题一般来说已经够用了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值