ASP.NET Core WebAPI中使用Jwt实现用户认证

最新推荐文章于 2024-04-29 14:15:17 发布
最新推荐文章于 2024-04-29 14:15:17 发布
阅读量5.7k 收藏 7
点赞数
分类专栏: C# ASP.NET Core 文章标签: jwt json restful .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssjdoudou/article/details/107685883
版权

生成Jwt Token

AuthController

using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;
using WebAPI.Models;

namespace WebAPI.Controllers
{
    [Produces("application/json")]
    [Route("api/v1/[controller]")]
    public class AuthController : Controller
    {
        private readonly IConfiguration _configuration;

        public AuthController(IConfiguration configuration)
        {
            _configuration = configuration;
        }

        /// <summary>
        /// login
        /// </summary>
        /// <param name="request"></param>
        /// <returns></returns>
        [AllowAnonymous]
        [HttpPost]
        public IActionResult RequestToken([FromBody] TokenRequest request)
        {
            string username = request.Username;
            string password = request.Password;

            if (AuthenticationMiddleware.ValidateDomainUser(username, password))
            {
                // push the user’s name into a claim, so we can identify the user later on.
                var claims = new[]
                {
                   new Claim(ClaimTypes.Name, request.Username)
               };
                //sign the token using a secret key.This secret will be shared between your API and anything that needs to check that the token is legit.
                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["SecurityKey"]));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
                //.NET Core’s JwtSecurityToken class takes on the heavy lifting and actually creates the token.
                /**
                 * Claims (Payload)
                    Claims 部分包含了一些跟这个 token 有关的重要信息。 JWT 标准规定了一些字段,下面节选一些字段:

                    iss: The issuer of the token,token 是给谁的
                    sub: The subject of the token,token 主题
                    exp: Expiration Time。 token 过期时间,Unix 时间戳格式
                    iat: Issued At。 token 创建时间, Unix 时间戳格式
                    jti: JWT ID。针对当前 token 的唯一标识
                    除了规定的字段外,可以包含其他任何 JSON 兼容的字段。
                 * */
                var token = new JwtSecurityToken(
                    issuer: "yourdomain.com",
                    audience: "yourdomain.com",
                    claims: claims,
                    expires: DateTime.Now.AddMinutes(30),
                    signingCredentials: creds);

                var accessToken = new JwtSecurityTokenHandler().WriteToken(token);

                var response = new {

                    username = username,
                    access_token = accessToken,
                    expires_in = 1800
                };

                return Ok(response);

                //return Ok(new
                //{
                //    token = new JwtSecurityTokenHandler().WriteToken(token)
                //});
            }
            else
            {
                return BadRequest("Could not verify username and password");
            }
            
        }
    }

    public class TokenRequest
    {
        public string Username { get; set; }
        public string Password { get; set; }
    }
}

在appsettings.json中添加

"SecurityKey": "234d#;pvsfa88*sdfaf377f6d&f£$$£$sfxvgdf%"

使用jwt验证

在Startup.cs中

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.IdentityModel.Tokens;
using System.Text;

namespace WebAPI
{
    public class Startup
    {
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;
        }

        public IConfiguration Configuration { get; }

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            //添加jwt验证:
            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                .AddJwtBearer(options=> {
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidateIssuer = true,//是否验证Issuer
                        ValidateAudience = true,//是否验证Audience
                        ValidateLifetime = true,//是否验证失效时间
                        ValidateIssuerSigningKey = true,//是否验证SecurityKey
                        ValidAudience = "yourdomain.com",//Audience
                        ValidIssuer = "yourdomain.com",//Issuer,这两项和前面签发jwt的设置一致
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["SecurityKey"]))//拿到SecurityKey
                    };
                });
            services.AddMvc();
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            app.UseAuthentication();//注意添加这一句,启用验证
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }

            app.UseMvc();
        }
    }
}

如果你的前后端涉及到跨域,还需在Startup.cs中加上

public void ConfigureServices(IServiceCollection services){
    
    //其他

    services.AddCors(options =>
            {
                options.AddPolicy("cors", builder =>
                {
                    //builder.WithOrigins("http://a.example.com", "http://c.example.com") 
                    builder.AllowAnyOrigin()
                    .AllowAnyMethod()
                    .AllowAnyHeader()
                    .AllowCredentials();
                });
            });
            //"http://a.example.com", "http://c.example.com" 代表着允许访问的域,就好像给这个域开放了一个权限,允许访问的权限,可以写多个逗号分隔
            //AllowAnyMethod允许跨域策略允许所有的方法:GET/POST/PUT/DELETE 等方法  如果进行限制需要 AllowAnyMethod("GET","POST") 这样来进行访问方法的限制
            //AllowAnyHeader允许任何的Header头部标题    有关头部标题如果不设置就不会进行限制
            //AllowAnyOrigin 允许任何来源
            //AllowCredentials 设置凭据来源

    services.AddMvc();
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env){

    app.UseAuthentication();
    app.UseCors("cors"); // 加上这一句
    app.UseMvc();
}

设置超时时间

在appsettins.json中添加

"Expire_in": 10

AuthController中添加

int expires_in = int.Parse(_configuration["Expire_in"]);

完整AuthController代码

using System;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Security.Claims;
using System.Text;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;
using WebAPI.Data;
using WebAPI.Models;

namespace WebAPI.Controllers
{
    [Produces("application/json")]
    [Route("api/v1/[controller]")]
    public class AuthController : Controller
    {
        private readonly IConfiguration _configuration;

        private readonly UserTokenContext _context;

        public AuthController(IConfiguration configuration, UserTokenContext context)
        {
            _configuration = configuration;
            _context = context;
        }

        //public UserController(UserToken context)
        //{
        //    _context = context;
        //}

        /// <summary>
        /// login
        /// </summary>
        /// <param name="request"></param>
        /// <returns></returns>
        [AllowAnonymous]
        [HttpPost]
        public IActionResult RequestToken([FromBody] TokenRequest request)
        {
            string username = request.Username;
            string password = request.Password;
            
            //这里主要是用来验证用户名密码合不合法的,不重要,主要看下面if里面的就行
            if (AuthenticationMiddleware.ValidateDomainUser(username, password))
            {
                // push the user’s name into a claim, so we can identify the user later on.
                var claims = new[]
                {
                   new Claim(ClaimTypes.Name, request.Username)
               };
                //sign the token using a secret key.This secret will be shared between your API and anything that needs to check that the token is legit.
                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["SecurityKey"]));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
                //.NET Core’s JwtSecurityToken class takes on the heavy lifting and actually creates the token.
                /**
                 * Claims (Payload)
                    Claims 部分包含了一些跟这个 token 有关的重要信息。 JWT 标准规定了一些字段,下面节选一些字段:

                    iss: The issuer of the token,token 是给谁的
                    sub: The subject of the token,token 主题
                    exp: Expiration Time。 token 过期时间,Unix 时间戳格式
                    iat: Issued At。 token 创建时间, Unix 时间戳格式
                    jti: JWT ID。针对当前 token 的唯一标识
                    除了规定的字段外,可以包含其他任何 JSON 兼容的字段。
                 * */

                int expires_in = int.Parse(_configuration["Expire_in"]);

                var token = new JwtSecurityToken(
                    issuer: "yourdomain.com",
                    audience: "yourdomain.com",
                    claims: claims,
                    expires: DateTime.Now.AddMinutes(expires_in),
                    signingCredentials: creds);

                var accessToken = new JwtSecurityTokenHandler().WriteToken(token);

                UserToken userToken = new UserToken();


                //var user = _context.User
                    //.FirstOrDefault(m => m.UserName == username);

                //userToken.Id = Guid.NewGuid();
                //userToken.UserId = user.UserId;
                //userToken.Token = accessToken;
                //userToken.LoginTime = DateTime.Now;

                //_context.UserToken.Add(userToken);
                //_context.SaveChanges();

                var response = new {
                    username,
                    access_token = accessToken,
                    expires_in = expires_in
                };

                return Ok(response);
            }
            else
            {
                return BadRequest("Could not verify username or password");
            }
            
        }

        [HttpGet("checklogin")]
        [Authorize]
        public IActionResult CheckLogin() {
            return Ok();
        }

        [HttpGet("logout")]
        [Authorize]
        public IActionResult Logout()
        {
            return Ok();
        }
    }

    public class TokenRequest
    {
        public string Username { get; set; }
        public string Password { get; set; }
    }
}

测试

Postman

http://localhost:3019/api/v1/auth Post请求

请求体,放在Postman的Body中

{
    "username":"shajia_shan",
    "password":"123456"
}

看一下接口拦截

先写一个UserController

using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;

namespace WebAPI.Controllers
{
    [Route("api/v1/[controller]")]
    [ApiController]
    public class UserController : ControllerBase
    {
        // GET api/values
        [HttpGet]
        [Authorize]//添加Authorize标签,可以加在方法上,也可以加在类上
        public IEnumerable<string> Get()
        {
            return new string[] { "value1", "value2" };
        }
        // GET api/values/5
        [HttpGet("{id}")]
        public string Get(int id)
        {
            return "value";
        }
    }
}

打开Postman

http://localhost:3019/api/v1/user Get请求

Authorization选择Bearer Token,填入刚刚登录接口返回的access_token

返回200表示认证成功, 如果token超时或者没有填,接口返回401。

请叫我算术嘉
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[WebApi]ASP.Net Core 使用JWT认证(3.1版本,5.0也可以使用
德仔
01-25 980
ASP.Net Core 使用JWT认证 JWT简单介绍 开始编码 JWT简单介绍 关于JWT网上有很多介绍,这里就不介绍了,本文主要以实现为主。 JWT由3部分构成: HEADER 、PAYLOAD 、SIGNATURE HEADER :包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了加密的对象类型是JWT,加密算法是HMAC SHA-256 {"alg":"HS256","typ":"JWT"} PAYLOAD :主要包含一些声明信息(claim),这些声明是key-v
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
菜鸟的专栏
12-28 9228
C# ASP.NET Core Web API 身份授权(JWT)验证
net core 使用jwt
最新发布
qq_51172697的博客
04-29 1161
1. 安装必要的包首先,确保你的.NET Core项目安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
ASP.NET Core WebAPI 使用 JWT 验证
极客神殿
04-04 1490
为了保护 WebAPI 仅提供合法的使用者存取,有很多机制可以做,透过 JWT (JSON Web Token) 便是其一种方式,这篇示范如何使用官方所提供的 System.IdentityModel.Tokens.Jwt 扩充套件,处理呼叫 API 的来源是否为合法的使用者身分。 顺道一提,要产生 JWT Token 有很多套件可以帮助开发者快速建立,JWT 这个 NuGet 套件就是其一个,但这裡我使用官方所提供的 System.IdentityModel.Tokens.Jwt 扩充套件来处理,虽然
记录一次ASP.NET 3.1 Webapi使用JWT认证过程
APPLEHU09的博客
07-05 1318
框架:asp.net 3.1IDE:VS2019一、创建一个.NET CORE 3.1的webapi项目,这里创建过程就不赘述了,使用VS2019一步步创建即可;二、创建完后需要NuGet Package手动添加Microsoft.AspNetCore.Authentication.JwtBearer库。三、为方便接口测试,我们先加入swagger接口帮助文档(1)手动添加Swashbuckle.AspNetCore.SwaggerGen;Swashbuckle.AspNetCore.SwaggerUI;U
ASP.NET编程知识】.net core webapi jwt 更为清爽的认证详解.docx
05-15
.NET Core WebAPI认证机制是使用 JSON Web TokenJWT)来实现的。JWT 是一种基于 Token认证机制,它可以提供一种安全的方式来验证用户的身份。下面是关于 .NET Core WebAPI JWT 认证的详细知识点: 配置 在...
ASP.NET Core Web APIToken验证
06-26
ASP.NET Core Web API采用Token进行身份验证。...主要技术:ASP.NET Core Web API , JWT , Json web token 包括获取TokenToken验证,生成Token等内容 具体可参考个人文章【ASP.NET Core Web APIToken验证】
详解ASP.NET Core Web ApiJWT刷新Token
12-16
见过一些使用JWT的童鞋会将JWT过期时间设置成很长,有的几个小时,有的一天,有的甚至一个月,这么做当然存在问题,如果被恶意获得访问令牌,那么可在整个生命周期使用访问令牌,也就是说存在冒充用户身份,此时...
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
ASP.NET Core Web API用户身份验证
lweiyue的专栏
05-07 4209
ASP.NET Core Web API用户身份验证的方法有很多,本文只介绍JWT方法。JWT实现了服务端无状态,在分布式服务、会话一致性、单点登录等方面凸显优势,不占用服务端资源。简单来说,JWT的验证过程如下所示:(1)通过用户名和密码获取一个Token。(2)访问API时,加上这个TokenToken包含过期时间、用户角色等信息,可以在多种场合灵活使用
ASP.NET Core Web ApiJWT(一)
weixin_30362233的博客
07-16 120
前言 最近沉寂了一段,主要是上半年相当于休息和调整了一段时间,接下来我将开始陆续学习一些新的技术,比如Docker、Jenkins等,都会以生活实例从零开始讲解起,到时一并和大家分享和交流。接下来几节课的内容将会讲解JWT,关于JWT的原理解析等等园子里大有文章,就不再叙述,这里我们讲解使用和一些注意的地方。 为什么要使用JWT.NET Core之前对于Web应用程序跟踪用户登...
ASP.NET Core高级之认证与授权(二)--JWT认证前后端完整实现
物联网大联盟
01-10 2230
本文是一个基于JWT认证的完整的前后端实现代码案例。
asp.net Core Web api 适配jwt认证
ALI_SAf的博客
12-27 395
2.引入包Microsoft.Extensions.Configuration、Microsoft.Extensions.Configuration.Json、Microsoft.Extensions.Configuration.Binder(配置时关联包)14、 下面该解析Token 了,试一下,添加一个接口,步骤同上,先获取token,然后绑定token,最后调用一下解析接口,看结果我们已经解析成功了。创建一个AppSettings.cs类,存放读取配置信息的函数代码如下。
.net core 5 新建webapi实现JWT登录验证
weixin_43333600的博客
05-21 1059
.net core 5 新建webapi 实现JWT登录权限
.NET CoreJWT+Auth2.0实现SSO,附完整源码(.NET6)
xuhss_com的博客
05-30 1767
🚀 优质资源分享 🚀 学习路线指引(点击解锁) 知识定位 人群定位 🧡 Python实战微信订餐小程序 🧡 进阶级 本课程是python flask+微信小程序的完美结合,从项目搭建到腾讯云部署上线,打造一个全栈订餐系统。 💛Python量化交易实战💛 入门级 手把手带你打造一个易扩展、更安全、效率更高的量化交易系统 目录 一、简介 二、实现目标 1、一处登录,全部登录 2、一处退出,全部退出 3、双token机制 三、功能实现和核心代码 1、一处登录,全部登录实现
Asp.net core [单点登录sso] JWT用户身份验证的具体实现
csdn2990的博客
09-27 4707
什么是 JWTJSON WEB TOKEN JWT官网 下面我们来具体实现 先为服务创建一个jwt 1.先给项目安装相应的包 如图: 提醒一下,这玩意要和你.net core框架版本一致。我用的3.1稳定版 接下来我们来在服务端使用JWT创建Token代码如下: [AllowAnonymous]//允许所有人访问 [HttpPost("login")] public IActionResult login([FromBody] LoginDto loginDto)
.Net Core使用JWT
飞翔的学习笔记
08-08 5955
.Net Core使用JWT 1.新建WebApi项目JwtDemo 2.通过nuget安装JWT.Net 根据你的版本自行选择合适的版本 3.分别建立三个实体类LoginDto,PlayloadDto,TokenDto public class LoginDto { public string UserId { get; set; } public string Password { get; set; } } public c
Asp .NetCore Jwt授权登录
林一怂儿
04-11 896
命运这种东西,生来就是要被踏于足下的,如果你还未有力量反抗它,只需怀着勇气等待。 环境 .Net Core 6.0 工具 Visual Studio 2022 流程 新建项目 我这里是这样新建的,当然也可以使用Visual Studio的可视化新建。 dotnet new webapi --name AspNetCoreJwtAuthorize 添加依赖 编辑.csproj文件 <Project Sdk="Microsoft.NET.Sdk.Web"> <Proper.
js-cookie设置token过期时间_详解ASP.NET Core Web ApiJWT刷新Token_实用技巧
06-02
好的,针对您的问题,我可以给您一些关于js-cookie设置token过期时间以及ASP.NET Core Web APIJWT刷新Token的实用技巧。 首先,关于js-cookie设置token过期时间,可以通过以下代码实现: ```javascript // 设置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值