使用JWT Token实现WebApi访问验证及用户登录限制

最新推荐文章于 2024-07-20 22:30:00 发布
最新推荐文章于 2024-07-20 22:30:00 发布
阅读量1.6k 收藏 8
点赞数
分类专栏: ASP.NET JWT 文章标签: jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scottfan/article/details/106268220
版权

JSON Web Token(JWT)跨域身份验证解决方案,详细说明网上很多,这里不就重点介绍了。

问题:WebApi项目开发完成后部署到服务器后WebApi方法任何人都可以调用,有些项目肯定是不允许的,也过不了安全审计。那如何解决呢,这里介绍一种使用JWT 产生Token,为每个方法加一个Token的身份验证,这样,用户在正常登录后,获取到系统为该用户产生的Token,以后,每次调用服务端的WebApi方法时,都需要把这个Token送到服务端做验证,只有正确的Token,才能访问,否则,服务端返回异常。同时,还可以通过这个Token来限制登录,同一时间,相同的用户,只允许存在一个有效用户。关于产生的Token如何存储,或者不存储也可以,这要看具体业务场景了,具体事情具体分析,本文主要是通过示例介绍一种思路,文中示例客户端使用Cookie存储,服务端使用了Redis。下面还是上代码吧。

开发工具:VS2015 

软件环境:redis

必需工具:Newtonsoft.Json.dll, RedisClient, JWT.dll

在需要加Token验证的webapi项目中加jwt.dll的引用

同时也把redisclient项目引用进来,可以上git hub下载。

然后新增一个用产生和验证Token的类JwtHelper

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using Newtonsoft.Json.Linq;
using JWT;
using JWT.Algorithms;
using JWT.Serializers;
using JWT.Exceptions;
using CSRedis;

namespace JwtToken
{
    public class JwtHelper
    {
        private const string secret = "scott";
        public static string GenerateToken(string userCode)
        {
            try
            {
                IDateTimeProvider provider = new UtcDateTimeProvider();
                var now = provider.GetNow();

                var unixEpoch = new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc); // or use JwtValidator.UnixEpoch

                var secondsSinceEpoch = Math.Round((now - unixEpoch).TotalSeconds);

                //3分钟后失效
                var payload = new Dictionary<string, object>
                {
                    { "user",userCode},
                    { "exp",secondsSinceEpoch+ 60*3 },
                    { "jti",Guid.NewGuid() }
                };

                

                IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
                IJsonSerializer serializer = new JsonNetSerializer();
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);

                var token = encoder.Encode(payload, secret);
                return token;
            }
            catch
            {
                return "";
            }
        }

        public static string VerifyToken(string Token)
        {
            string result = "";
            try
            {
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
                IJsonSerializer serializer = new JsonNetSerializer();
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);
                var json = decoder.Decode(Token, secret, verify: true);//token为之前生成的字符串
                JObject jobj = (JObject)Newtonsoft.Json.JsonConvert.DeserializeObject(json);
                string userCode = jobj["user"].ToString();
                RedisClient redis = new RedisClient("192.168.197.132", 6379);
                string originalToken = redis.Get(userCode);
                if(!Token.Equals(originalToken))
                {
                    result = "该帐号在其它地方登录";
                }
            }
            catch (TokenExpiredException)
            {
                result = "Token 过期";
            }
            catch (SignatureVerificationException)
            {
                result = "Token 不正确";
            }
            catch (Exception ex)
            {
                result = "Token 验证出错";
            }
            return result;
        }
    }
}

 然后在登录方法中,加入

string _token = JwtHelper.GenerateToken(登录ID);

将用户编码加到Token中,Token生成成功后,将该用户编码的Token存入redis并返回客户端,这里推荐将Token放入header中返加,而不是放在json中返回,放json中,容易被中途截获。

httpResponseMessage.Headers.Add("Authorization", _token);

header中的token数据

客户端在收到登录验证通过的信息后,从header中取出token保存到cookie中

$.ajax({
            url: "/api/Login/CheckLogin",
            type: "Post",
            contentType: "application/json",
            dataType: "json",
            data: JSON.stringify(objPara),
            success: function (data, textStatus, jqXHR) {
                $.cookie("Authorization", jqXHR.getResponseHeader("Authorization"), { expires: 1, path: '/' });
                
            },
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                
            }
        });

$.cookie("Authorization", jqXHR.getResponseHeader("Authorization"), { expires: 1, path: '/' })

这句代码就是通过jqXHR.getResponseHeader("Authorization")获取header上的token后保存到cookie("Authorization")中,有效时间1天,所有页面均可访问。现在用户已经获得有效Token,接下来,每访问一次webapi,都要将该token发送给服务端,然后验证。接下来有两步工作要做,发送和验证,先说发送,服务端通过header把token送过来,那客户端也应该是通过header将token送过去,先把刚存在cookie中的token取出来

var token = $.cookie("Authorization");

然后在ajax调用中加入headers的参数,如下图。

这样,token就包含在header上,被送到了服务端。

接下来,服务端如何进行验证,这部分是个重点。在这之前,先借用一下网上的一个解释说明一下,有助于理解验证方法。

将生成的Token发送给客户端后,随后,客户端的每次请求只需带上这个Token即可

一般都是将Token存放在Http请求的Headers中,也就是:context.Request.Headers,那么如何接收请求头中的Token呢?接收到Token后如何验证呢?

验证TOKEN时就需要构建 MVC Action 过滤器(AuthorizeAttribute)了,不过在构建 AuthorizeAttribute 之前,有必要对 AuthorizeAttribute 说明下,如下:

首先,AuthorizeAttribute 类位于System.Web.Http 命名空间下及System.Web.Mvc命名空间下,

一般情况下,如果你需要对C# MVC 控制器的访问作认证与授权,你需要用System.Web.Mvc命名空间下的 AuthorizeAttribute ,如果你需要对C# API 控制器的访问作认证与授权,你需要用System.Web.Http 命名空间下的 AuthorizeAttribute !

看完这个解释,接下来,需要新建一个验证属性类ApiTokenCheck,这里只针对webapi方法验证,所以类继承自System.Web.Http.AuthorizeAttribute

using System;
using System.Collections.Generic;
using System.Linq;
using System.Net.Http;
using System.Web;
using System.Web.Http;
using System.Web.Http.Controllers;

namespace JwtToken
{
    public class ApiTokenCheck : AuthorizeAttribute
    {
        public override void OnAuthorization(HttpActionContext context)
        {
            var authHeader = context.Request.Headers.FirstOrDefault(a => a.Key == "Authorization");//获取接收的Token
            if (context.Request.Headers == null)
            {
                context.Response = context.Request.CreateErrorResponse(System.Net.HttpStatusCode.Unauthorized, new HttpError("Token 不正确"));
            }
            if(!context.Request.Headers.Any())
            {
                context.Response = context.Request.CreateErrorResponse(System.Net.HttpStatusCode.Unauthorized, new HttpError("Token 不正确"));
            }
            if(authHeader.Key == null)
            {
                context.Response = context.Request.CreateErrorResponse(System.Net.HttpStatusCode.Unauthorized, new HttpError("Token 不正确"));
            }
            var token = authHeader.Value.FirstOrDefault();
            string Verify = JwtHelper.VerifyToken(token);
            if(Verify != "")
            {
                context.Response = context.Request.CreateErrorResponse(System.Net.HttpStatusCode.Unauthorized, new HttpError(Verify));
            }
            
        }
    }
}

建好后,在需要进行验证的webapi方法加上验证属性即可

加了[ApiTokenCheck]的方法被请求调用时,都会先触发OnAuthorization方法进行验证,验证不通过通过下列代码返回异常信息给浏览器

context.Response = context.Request.CreateErrorResponse(System.Net.HttpStatusCode.Unauthorized, new HttpError(Verify));

OK,到这里,token生成,保存,发送,接收,验证 ,验证结果返回这个流程就结束了。

如有描述不清楚的地方,也可以直接看代码。

本文代码位置:https://github.com/ScottFan/CsharpJwtToken

scottfan
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebApi_基于Token的身份验证——JWT(z)
oooo
08-03 7082
基于Token的身份验证——JWT JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符串,形式为: A.B.C A由JWT头部信息header加密得到B由JWT用到的身份验证信息json数据加密得到C由A和B加密得到,是校验部分 怎样生成A? header格式为: { "typ": "JWT", "
用户登录 JWT TOKEN
jweicao的博客
06-10 1173
引入 jwt 扩展 安装jwt 扩展 composer require firebase/php-jwt 直接在 composer.json / require / 下 云行 composer update 更新 "firebase/php-jwt": "^5.2", 控制器 public function login(Request $request) { //接收表单参数 $params = input(); // 用来 捕获错误
推荐项目:WebApi.Jwt - 简单JWT身份验证解决方案
gitblog_00082的博客
05-23 308
推荐项目:WebApi.Jwt - 简单JWT身份验证解决方案 项目地址:https://gitcode.com/cuongle/WebApi.Jwt 1. 项目介绍 在构建现代Web API时,安全性和可扩展性是开发者的核心关注点。WebApi.Jwt是一个针对ASP.NET Web API的轻量级身份验证库,它简化了JSON Web Token (JWT)的集成,为你的API提供了强大而灵活的...
JWT(json web token
关中汉子的博客
06-30 134
文章出自:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
.NET Core Web API项目配置JWT验证
最新发布
roc_wei_chen的博客
07-20 877
本文介绍.NET Core WebAPI如何搭建JWT授权验证
asp.net中用到的JWT身份验证 JWT.dll 下载
08-07
token 生成验证工具类,亲测可用,使用教程参见:https://www.cnblogs.com/footmark/p/10654386.html
JWT(json web token加密算法) for C# dll 文件,亲测可用
07-02
json web token for C# dll文件,亲测可用,直接添加引用即可
c# JSON WEB TOKEN JWT.dll
07-18
生成token工具,webapi 接口 token JWTWeb API身份验证Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。
ASP.NET FrameWork Web Api JWT Token验证和Attribute拦截器创建和调用Demo
weixin_45381269的博客
10-10 4512
ASP.NET FrameWork Web Api JWT Token验证和Attribute拦截器创建和调用Demo
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
在.NET6平台上开发WebAPI应用时,为了实现安全的用户身份验证和授权,通常会采用JSON Web Tokens(JWT)机制。JWT是一种轻量级的身份验证标准,它允许服务端为客户端颁发一个令牌,该令牌包含了用户的相关信息,且在...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
在"Webapi_JWT_Authentication-master"项目中,开发者可能已经实现了以上步骤,包括用户注册、登录接口,JWT的生成和验证,以及基于JWT的授权逻辑。具体实现可能包括使用特定的库,如`System.IdentityModel.Tokens....
webapi登陆验证四种方式.docx
07-19
文档提供了webapi登陆验证的四种方式(FORM身份验证、集成WINDOWS验证、Basic基础认证、Digest摘要认证)。让你轻松完成webapi的登录验证
ASP.NET Core Web APIToken验证
06-26
ASP.NET Core Web API采用Token进行身份验证。 主要技术:ASP.NET Core Web API , JWT , Json web token 包括获取TokenToken验证,生成Token等内容 具体可参考个人文章【ASP.NET Core Web APIToken验证
web api JWT token认证
04-24
Web API中可以使用OAuth2或OpenID Connect库,如Microsoft.AspNetCore.Authentication.JwtBearer,来实现JWT验证中间件。该中间件会在每个请求中检查JWT,并在有效时设置ClaimsPrincipal,这样API就可以根据用户...
JWT Token生成及验证
07-16
JSON Web TokenJWT)是一种开放的标准(RFC 7519),定义了一种紧凑的、自包含的方式来安全地在各方之间传输信息作为一...通过`JWTToken`这个压缩包文件,你可能可以找到更多关于JWT在C#中的具体实现示例和最佳实践。
ASP.NET Core Web API用户身份验证
lweiyue的专栏
05-07 4509
ASP.NET Core Web API用户身份验证的方法有很多,本文只介绍JWT方法。JWT实现了服务端无状态,在分布式服务、会话一致性、单点登录等方面凸显优势,不占用服务端资源。简单来说,JWT验证过程如下所示:(1)通过用户名和密码获取一个Token。(2)访问API时,加上这个TokenToken包含过期时间、用户角色等信息,可以在多种场合灵活使用
asp.net mvc使用JWT代替session,实现单点登陆
热门推荐
i李泳谦谦谦谦谦
05-31 1万+
使用JWT取代session,实现单点登陆1. 什么是Token?2. 什么是JWT?3. Token与Session比较传统Session所暴露的问题Token验证机制4. ASP.NET MVC如何使用jwt实现单点登陆 1. 什么是Token? 什么是tokentoken可以理解为是一种令牌,常用在计算机身份认证。在与服务器进行数据传输之前,会进行身份核验。 2. 什么是JWT? 什么是...
WebApi使用JWT认证(二)
极客神殿
06-20 735
这是第二部:实现NetCore上的WebApi使用JWT认证 1、NetCore新建一个WebApi的项目 2、打开AppSettings.json,添加Jwt的信息,这里为了演示而已 { "Logging": { "IncludeScopes": false, "Debug": { "LogLevel": { "Default": "Warning" } }, "Console": { "LogLevel": {
webApi登录鉴权
qq_42172560的博客
03-31 1957
1- 登录获取token /// <summary> /// 登录获取token /// </summary> /// <returns></returns> [HttpPost] [CustomAllowAnonymousAttribute]// 在全局注册的情况下 有这个标记就不去走校验方法 public string LoginGetToken(st
JWT Token实现用户登录验证详解
在现代Web应用程序中,后台用户登录-Token模块是一个关键的安全组件,用于实现基于JSON Web Token (JWT) 的用户身份验证JWT 是一种轻量级的身份凭证,它被设计为在客户端和服务端之间传输,允许用户在不暴露敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值