.NetCore的Toekn验证(附源码)

最新推荐文章于 2024-04-29 14:15:17 发布
最新推荐文章于 2024-04-29 14:15:17 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: .NET/.NET CORE 文章标签: NET Core JwtBearer JWT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sgs595595/article/details/102856977
版权

先简单说下JSON Web Token, 然后使用.NET Core内置的JWT验证机制.
Demo Source Code
AspNetCore JwtBearer Source Code

JSON Web Token

是什么

  1. JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。
    数据格式为: Header.Payload.Signature
  2. 生成JWT Token
    JWT的数据签名(Signature)是对Payload中的数据, 按照Header中指定的加密算法, 加上Server端的密钥进行签名生成的.
    • Signature = Payload + Algorithm(Header) + Security(私有)
    • 通过签名反推出密钥的可能性很小, 并且密钥是Server端私有的, 可以定期更换

使用

JWT多用来验证请求的有效性
下面是简单的使用流程

  1. 用户post{username, password}到server, 请求token, server生成后返回token
  2. 得到token后, client端保存token: cookie/sessionStorage/localStorage
  3. 以后每当发起请求, 将token放到请求头: headers: { ‘Authorization’: token },
  4. server收到请求后, 会根据密钥及token中的payload生成新的signature并与token的中signature进行对比, 二者一致则验证通过

优势

  1. token的自验证性,减轻了服务端压力
    server通过JWT的header, payload和signature就可以验证用户, 不需要再去查询数据库
  2. JWT不仅可以用于认证,也可以用于交换信息。有效使用JWT,可以降低服务器查询数据库的次数
    JWT的payload中可以存储用户名, 权限, 过期时间等非安全信息, 解析token本身就可以取得
  3. JWT的自验证性, 非常适合单页面程序, 多点登录
  4. 通过将token放在请求头并使用https访问, 防范跨站脚本攻击(xss)和跨站攻击(csrf)
  5. 通过生成refresh token验证access token的实效性, 控制access token的有效时间, 解决无法回收token访问权限的问题

劣势

  1. 因为自验证性, 无法及时回收访问权限, token一旦被分发, 就会一直有效, 可以通过减少生效时间使用

.NET Core的JWT验证机制

.NET Core的JWT验证机制基于authentication中间件, 注入JWT服务后, 需要authenrize的请求都会使用token验证
Demo Source Code
AspNetCore JwtBearer Source Code

  1. 注入内置的JWT service
public void ConfigureServices(IServiceCollection services)
{
	  
	services.AddAuthentication(x =>
		{
			x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
			x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
		})
		.AddJwtBearer(x =>
		{
			x.RequireHttpsMetadata = false;
			x.TokenValidationParameters = new TokenValidationParameters
			{
				ValidateIssuerSigningKey = true,
				IssuerSigningKey = new SymmetricSecurityKey("your secret key"),
				ValidateIssuer = false,
				ValidateAudience = false
			};
		});
}
  1. 生成有效的token
var tokenDescriptor = new SecurityTokenDescriptor
	{
		Subject = new ClaimsIdentity(new[]
		{
			new Claim("your token payload")
		}),
		// token的有效时间
		Expires = DateTime.UtcNow.AddMinutes(),
		SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key),
			SecurityAlgorithms.HmacSha256Signature)
	};

var tokenHandler = new JwtSecurityTokenHandler();
result = tokenHandler.WriteToken(tokenHandler.CreateToken(tokenDescriptor));
4. 通过属性标签[Authorize]添加token验证的请求
[Authorize]支持class级别和接口级别的指定

[Authorize]
public class RepairController : ControllerBase
[Authorize]
[HttpGet("data")]
public ActionResult Get()
aaa_dai
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Toekn验证机制的java案例
程序员王老五
09-08 852
这几天因为项目的需求,我负责的项目需要跟另外一个项目的进行数据交互。在对接中我们就要考虑数据安全的问题。之前没有怎么接触过。这几天从网上搜了相关的资料,自己总结了一下,写了一个Demo,写的很粗糙,希望大家提提意见。 首先,得我说明一下,整个验证的流程: 1、第一次握手,客户端发向服务端发起请求,服务端生成公钥和私钥,保留私钥,返回公钥给客户端 2、第二次握手,客户端获取到公钥,用公钥将
【基于C#+vue项目源码】快速开发框架Vue.NetCore
08-02
Vue + C#.NetCore前后端分离,不一样的快速开发框架(提供Vue2/Vue3版本) 框架核心 快速开发(基础功能全部由代码生成器生成) 支持前端、后台自定义业务代码扩展,后台提供了大量常用扩展与通用类 前端、后台提供了近...
详解ASP.NET Core Token认证
10-20
主要介绍了详解ASP.NET Core Token认证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。
ASP.NET Core Token认证
dingti6779的博客
07-14 752
翻译:Token Authentication in ASP.NET Core 令牌认证(Token Authentication)已经成为单页应用(SPA)和移动应用事实上的标准。即使是传统的B/S应用也能利用其优点。优点很明白:极少的服务端数据管理、可扩展性、可以使用单独的认证服务器和应用服务器分离。 如果你对令牌(token)不是太了解,可以看这篇文章(overview of...
net core 使用jwt
qq_51172697的博客
04-29 1273
1. 安装必要的包首先,确保你的.NET Core项目中安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
从token中获取用户信息
qq_32733803的博客
08-05 4868
1 在拦截器中解析token并将用户信息加入headrs中。/// 获取用户id。2 编写获取header中用户信息。3 接口获取用户信息。
深入理解token
rizon886的博客
02-10 4219
摘要: Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位 不久前,我在在前后端分离实践中提到了基于 Token 的认证,现在我们稍稍深入一些。 通常情况下,我们在讨论某个技术的时候,都是从问题开始。那么第一个问题: 为什么要用 Token?(无状态token开始比较有用) 而要回答这个问题很简单——因为它能解决问题! 可以解决哪些问题呢? ...
token详解
理想主义的花最终会盛开在浪漫主义的土壤里,我的热情永远不会熄灭在现实的平凡之中,我们终将上岸,阳光万里。
04-11 4873
本篇博客主要从什么是token?为什么要使用token?如何使用token?项目实例这几个方面讲解token,通过本篇博客能够对token能够有更深入的理解,并且有思路应用在具体项目中。多角度看问题,多个维度看问题能够更加深入的理解和学习到该知识点。例如5w2h的方式。
NETCore中使用JWT
qq_40600379的博客
07-03 8568
NETCore中使用JWT 什么是JWT? ​ JSON Web Token(简称JWT),是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。 JWT常用于哪些场景? ​ 授权:适用于单点登录。例:当用户登录成功时,服务器会返回一个token给当前登录用户,且用户登录后访问系统的各个模块都应携带该token进行请求,当token过期时,则不允许用户访问系统模块。 ​ 信息交换:jwt是各端(客户端、服务器端)之间安全地传输信息的好方法。因
ASP.NETCORE教程—源码
07-11
第⼀课基本概念 基本概念 Asp.Net Core Mvc是.NET Core平台下的⼀种Web应⽤开发框架 符合Web应⽤特点 .NET Core跨平台解决⽅案 MVC设计模式的⼀种实现 环境准备 安装最新版 安装最新版 第⼆课控制器的介绍 ...
AspNetCore.Grid.Web-develop_.netcore_asp.netcore_GirdView_源码
10-02
在`.netcore asp.netcore GridView`中,GridView控件通常与`DbContext`或`IQueryable`接口配合使用,通过 Razor Pages 或者MVC模式来呈现数据。它支持多种数据源,包括EF Core(Entity Framework Core)和Dapper等...
基于C#的ExDUIR.NETCore应用程序设计源码
最新发布
05-26
ExDUIR.NETCore是基于C#开发的NETCore版本的应用程序,该项目包含212个文件,其中包括93个PNG图片文件、91个C#源文件、3个CSPROJ文件、3个JPEG图片文件、2个PUBXML文件、2个BIN文件、2个DLL文件、2个USER文件、2个...
Vue.NetCore-master_volvue_vue.netcore_vue.netcore_vol_volnetcore
10-03
"Vue.NetCore-master_volvue_vue.netcore_vue.netcore_vol_volnetcore"这个标题可能指的是一个项目,该项目结合了Vue.js和.NET Core,用于前端和后端的开发。"master"通常表示这是项目的主要分支,意味着是最稳定或...
c# .netcore3.1 SignalR Demo源码 实现简易聊天室功能 服务器客户端双向通信 WebScoket
07-20
c# .netcore3.1 SignalR Demo 实现简易聊天室功能,包括用户进入、发送消息、实时接收消息、用户退出、实时查询在线人数, 本项目为SignalIR学习Demo,由本人编写。运行时在浏览器访问http://127.0.0.1:端口号/index...
Asp.NetCore示例代码-权限验证-过滤器-设计模式等
02-12
在Asp.NetCore框架中,开发人员经常遇到各种挑战,如权限验证、过滤器的使用以及设计模式的应用。本示例代码集旨在帮助开发者更好地理解和应用这些关键概念。以下是关于这些主题的详细讨论: 1. **Asp.NetCore**:...
NetCore开发学习四_源码.zip
06-13
.Net Core开发学习(四) ——Blazor(MVVM)应用文章配套项目源码,帮助大家学习和理解,该课程持续更新,谢谢大家的支持。
ASP.NET Core Web API之Token验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 6211
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
使用token进行用户身份验证
sqlgao22的博客
08-05 6529
使用token进行用户身份验证 参考文章:https://blog.csdn.net/u014799292/article/details/88365086 写的很详细,具体讲解了token的原理. 为什么使用token 以前都是使用session: 当用户第一次通过浏览器使用用户名和密码访问服务器时,服务器会验证用户数据,验证成功后在服务器端写入session数据,向客户端浏览器返回sessio...
.net core API 项目token验证JWT方法)
gengjia_的博客
12-02 5275
API token验证笔记
.NETCore微服务构建实战:含源码解析
资料中还介绍了API网关的概念,并提供了相关的源码供学习者实践。此外,还探讨了微服务架构的优点和缺点,以及在分布式系统中的数据库管理和中间层解决方案,如SOA和微服务架构。" 在讲解中,首先提到了单体架构,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值