ASP.NET Core WebAPI中使用Jwt实现用户认证

最新推荐文章于 2024-09-24 08:16:10 发布
最新推荐文章于 2024-09-24 08:16:10 发布
阅读量5.8k 收藏 8
点赞数
分类专栏: C# ASP.NET Core 文章标签: jwt json restful .net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssjdoudou/article/details/107685883
版权

生成Jwt Token

AuthController

using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;
using WebAPI.Models;

namespace WebAPI.Controllers
{
    [Produces("application/json")]
    [Route("api/v1/[controller]")]
    public class AuthController : Controller
    {
        private readonly IConfiguration _configuration;

        public AuthController(IConfiguration configuration)
        {
            _configuration = configuration;
        }

        /// <summary>
        /// login
        /// </summary>
        /// <param name="request"></param>
        /// <returns></returns>
        [AllowAnonymous]
        [HttpPost]
        public IActionResult RequestToken([FromBody] TokenRequest request)
        {
            string username = request.Username;
            string password = request.Password;

            if (AuthenticationMiddleware.ValidateDomainUser(username, password))
            {
                // push the user’s name into a claim, so we can identify the user later on.
                var claims = new[]
                {
                   new Claim(ClaimTypes.Name, request.Username)
               };
                //sign the token using a secret key.This secret will be shared between your API and anything that needs to check that the token is legit.
                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["SecurityKey"]));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
                //.NET Core’s JwtSecurityToken class takes on the heavy lifting and actually creates the token.
                /**
                 * Claims (Payload)
                    Claims 部分包含了一些跟这个 token 有关的重要信息。 JWT 标准规定了一些字段,下面节选一些字段:

                    iss: The issuer of the token,token 是给谁的
                    sub: The subject of the token,token 主题
                    exp: Expiration Time。 token 过期时间,Unix 时间戳格式
                    iat: Issued At。 token 创建时间, Unix 时间戳格式
                    jti: JWT ID。针对当前 token 的唯一标识
                    除了规定的字段外,可以包含其他任何 JSON 兼容的字段。
                 * */
                var token = new JwtSecurityToken(
                    issuer: "yourdomain.com",
                    audience: "yourdomain.com",
                    claims: claims,
                    expires: DateTime.Now.AddMinutes(30),
                    signingCredentials: creds);

                var accessToken = new JwtSecurityTokenHandler().WriteToken(token);

                var response = new {

                    username = username,
                    access_token = accessToken,
                    expires_in = 1800
                };

                return Ok(response);

                //return Ok(new
                //{
                //    token = new JwtSecurityTokenHandler().WriteToken(token)
                //});
            }
            else
            {
                return BadRequest("Could not verify username and password");
            }
            
        }
    }

    public class TokenRequest
    {
        public string Username { get; set; }
        public string Password { get; set; }
    }
}

在appsettings.json中添加

"SecurityKey": "234d#;pvsfa88*sdfaf377f6d&f£$$£$sfxvgdf%"

使用jwt验证

在Startup.cs中

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.IdentityModel.Tokens;
using System.Text;

namespace WebAPI
{
    public class Startup
    {
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;
        }

        public IConfiguration Configuration { get; }

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            //添加jwt验证:
            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                .AddJwtBearer(options=> {
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidateIssuer = true,//是否验证Issuer
                        ValidateAudience = true,//是否验证Audience
                        ValidateLifetime = true,//是否验证失效时间
                        ValidateIssuerSigningKey = true,//是否验证SecurityKey
                        ValidAudience = "yourdomain.com",//Audience
                        ValidIssuer = "yourdomain.com",//Issuer,这两项和前面签发jwt的设置一致
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["SecurityKey"]))//拿到SecurityKey
                    };
                });
            services.AddMvc();
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env)
        {
            app.UseAuthentication();//注意添加这一句,启用验证
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }

            app.UseMvc();
        }
    }
}

如果你的前后端涉及到跨域,还需在Startup.cs中加上

public void ConfigureServices(IServiceCollection services){
    
    //其他

    services.AddCors(options =>
            {
                options.AddPolicy("cors", builder =>
                {
                    //builder.WithOrigins("http://a.example.com", "http://c.example.com") 
                    builder.AllowAnyOrigin()
                    .AllowAnyMethod()
                    .AllowAnyHeader()
                    .AllowCredentials();
                });
            });
            //"http://a.example.com", "http://c.example.com" 代表着允许访问的域,就好像给这个域开放了一个权限,允许访问的权限,可以写多个逗号分隔
            //AllowAnyMethod允许跨域策略允许所有的方法:GET/POST/PUT/DELETE 等方法  如果进行限制需要 AllowAnyMethod("GET","POST") 这样来进行访问方法的限制
            //AllowAnyHeader允许任何的Header头部标题    有关头部标题如果不设置就不会进行限制
            //AllowAnyOrigin 允许任何来源
            //AllowCredentials 设置凭据来源

    services.AddMvc();
}

public void Configure(IApplicationBuilder app, IHostingEnvironment env){

    app.UseAuthentication();
    app.UseCors("cors"); // 加上这一句
    app.UseMvc();
}

设置超时时间

在appsettins.json中添加

"Expire_in": 10

AuthController中添加

int expires_in = int.Parse(_configuration["Expire_in"]);

完整AuthController代码

using System;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Security.Claims;
using System.Text;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;
using WebAPI.Data;
using WebAPI.Models;

namespace WebAPI.Controllers
{
    [Produces("application/json")]
    [Route("api/v1/[controller]")]
    public class AuthController : Controller
    {
        private readonly IConfiguration _configuration;

        private readonly UserTokenContext _context;

        public AuthController(IConfiguration configuration, UserTokenContext context)
        {
            _configuration = configuration;
            _context = context;
        }

        //public UserController(UserToken context)
        //{
        //    _context = context;
        //}

        /// <summary>
        /// login
        /// </summary>
        /// <param name="request"></param>
        /// <returns></returns>
        [AllowAnonymous]
        [HttpPost]
        public IActionResult RequestToken([FromBody] TokenRequest request)
        {
            string username = request.Username;
            string password = request.Password;
            
            //这里主要是用来验证用户名密码合不合法的,不重要,主要看下面if里面的就行
            if (AuthenticationMiddleware.ValidateDomainUser(username, password))
            {
                // push the user’s name into a claim, so we can identify the user later on.
                var claims = new[]
                {
                   new Claim(ClaimTypes.Name, request.Username)
               };
                //sign the token using a secret key.This secret will be shared between your API and anything that needs to check that the token is legit.
                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["SecurityKey"]));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
                //.NET Core’s JwtSecurityToken class takes on the heavy lifting and actually creates the token.
                /**
                 * Claims (Payload)
                    Claims 部分包含了一些跟这个 token 有关的重要信息。 JWT 标准规定了一些字段,下面节选一些字段:

                    iss: The issuer of the token,token 是给谁的
                    sub: The subject of the token,token 主题
                    exp: Expiration Time。 token 过期时间,Unix 时间戳格式
                    iat: Issued At。 token 创建时间, Unix 时间戳格式
                    jti: JWT ID。针对当前 token 的唯一标识
                    除了规定的字段外,可以包含其他任何 JSON 兼容的字段。
                 * */

                int expires_in = int.Parse(_configuration["Expire_in"]);

                var token = new JwtSecurityToken(
                    issuer: "yourdomain.com",
                    audience: "yourdomain.com",
                    claims: claims,
                    expires: DateTime.Now.AddMinutes(expires_in),
                    signingCredentials: creds);

                var accessToken = new JwtSecurityTokenHandler().WriteToken(token);

                UserToken userToken = new UserToken();


                //var user = _context.User
                    //.FirstOrDefault(m => m.UserName == username);

                //userToken.Id = Guid.NewGuid();
                //userToken.UserId = user.UserId;
                //userToken.Token = accessToken;
                //userToken.LoginTime = DateTime.Now;

                //_context.UserToken.Add(userToken);
                //_context.SaveChanges();

                var response = new {
                    username,
                    access_token = accessToken,
                    expires_in = expires_in
                };

                return Ok(response);
            }
            else
            {
                return BadRequest("Could not verify username or password");
            }
            
        }

        [HttpGet("checklogin")]
        [Authorize]
        public IActionResult CheckLogin() {
            return Ok();
        }

        [HttpGet("logout")]
        [Authorize]
        public IActionResult Logout()
        {
            return Ok();
        }
    }

    public class TokenRequest
    {
        public string Username { get; set; }
        public string Password { get; set; }
    }
}

测试

Postman

http://localhost:3019/api/v1/auth Post请求

请求体,放在Postman的Body中

{
    "username":"shajia_shan",
    "password":"123456"
}

看一下接口拦截

先写一个UserController

using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;

namespace WebAPI.Controllers
{
    [Route("api/v1/[controller]")]
    [ApiController]
    public class UserController : ControllerBase
    {
        // GET api/values
        [HttpGet]
        [Authorize]//添加Authorize标签,可以加在方法上,也可以加在类上
        public IEnumerable<string> Get()
        {
            return new string[] { "value1", "value2" };
        }
        // GET api/values/5
        [HttpGet("{id}")]
        public string Get(int id)
        {
            return "value";
        }
    }
}

打开Postman

http://localhost:3019/api/v1/user Get请求

Authorization选择Bearer Token,填入刚刚登录接口返回的access_token

返回200表示认证成功, 如果token超时或者没有填,接口返回401。

[WebApi]ASP.Net Core 使用JWT认证(3.1版本,5.0也可以使用
德仔
01-25 1008
ASP.Net Core 使用JWT认证 JWT简单介绍 开始编码 JWT简单介绍 关于JWT网上有很多介绍,这里就不介绍了,本文主要以实现为主。 JWT由3部分构成: HEADER 、PAYLOAD 、SIGNATURE HEADER :包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了加密的对象类型是JWT,加密算法是HMAC SHA-256 {"alg":"HS256","typ":"JWT"} PAYLOAD :主要包含一些声明信息(claim),这些声明是key-v
记录一次ASP.NET 3.1 Webapi使用JWT认证过程
APPLEHU09的博客
07-05 1391
框架:asp.net 3.1IDE:VS2019一、创建一个.NET CORE 3.1的webapi项目,这里创建过程就不赘述了,使用VS2019一步步创建即可;二、创建完后需要NuGet Package手动添加Microsoft.AspNetCore.Authentication.JwtBearer库。三、为方便接口测试,我们先加入swagger接口帮助文档(1)手动添加Swashbuckle.AspNetCore.SwaggerGen;Swashbuckle.AspNetCore.SwaggerUI;U
ASP.NET Core WebAPI 使用 JWT 验证
极客神殿
04-04 1568
为了保护 WebAPI 仅提供合法的使用者存取,有很多机制可以做,透过 JWT (JSON Web Token) 便是其一种方式,这篇示范如何使用官方所提供的 System.IdentityModel.Tokens.Jwt 扩充套件,处理呼叫 API 的来源是否为合法的使用者身分。 顺道一提,要产生 JWT Token 有很多套件可以帮助开发者快速建立,JWT 这个 NuGet 套件就是其一个,但这裡我使用官方所提供的 System.IdentityModel.Tokens.Jwt 扩充套件来处理,虽然
无需ASP.NET Core Identity的JWT认证解决方案
最新发布
gitblog_00358的博客
09-24 320
无需ASP.NET Core Identity的JWT认证解决方案 ASPNETCore2JwtAuthentication Jwt Authentication without ASP.NET Core Identity 项目地...
Asp.NetCore3.1 WebApi 使用Jwt 授权认证使用
qq_18932003的博客
10-13 676
1:导入NuGet包 Microsoft.AspNetCore.Authentication.JwtBearer 2:配置 jwt相关信息 3:在 startUp public void ConfigureServices(IServiceCollection services){ #region JWT 认证 services .AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options =&gt
.Net Core WebApi集成JWT实现身份认证
刘城的博客
01-17 2869
为什么使用JWTJWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。适用于多客户端的前后端解决方案,JWT 是无状态化的,更适用于 RESTful 风格的接口验证。本文主要介绍使用JWT进行接口身份认证。 一.准备工作 (1).添加NuGet程序包 Microsoft.AspNetCore.Authe...
.NET Core WebAPI集成JWT实现身份验证
NBI大数据可视化
11-01 534
前两篇文章给大家介绍了在.NET Core如何使用Swagger的文章,那今天给大家分享一下JWT 在做接口开发的同学可能都有感受,我的接口如何保护的问题,如果没有身份验证,那不是接口完全暴露在外面,任意使人调用,这显然不是我们想要的一种结果。当然做身份验证的方式有多种,今天给大家讲一种比较流行了,标准的身份验证JWT 什么是JWT? 随着技术的发展,分布式web应用的普及,通过session管...
ASP.NET编程知识】.net core webapi jwt 更为清爽的认证详解.docx
05-15
.NET Core WebAPI认证机制是使用 JSON Web TokenJWT)来实现的。JWT 是一种基于 Token认证机制,它可以提供一种安全的方式来验证用户的身份。下面是关于 .NET Core WebAPI JWT 认证的详细知识点: 配置 在...
.NET6WebAPI使用Sqlserver+JWT增删改查
06-26
在本项目,".NET6WebAPI使用Sqlserver+JWT增删改查"是一个基于最新.NET框架.NET6构建的Web应用程序示例,主要用于演示如何利用ASP.NET Core Web API与SQL Server数据库进行数据操作,以及结合JWTJSON Web Tokens...
ASP.NET Core Web APIToken验证
06-26
ASP.NET Core Web API采用Token进行身份验证。...主要技术:ASP.NET Core Web API , JWT , Json web token 包括获取TokenToken验证,生成Token等内容 具体可参考个人文章【ASP.NET Core Web APIToken验证】
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
.Net WebAPi JWT身份验证
11-07
.NetFrameWork 4.6.2 WebAPI 实现JWT身份验证,简单的Demo程序
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
netCore3.1 WebApi 使用JWT 授权认证使用实例
dotnet-一个基于aspnetcore2xmysqljwt开发的webapi项目
08-15
一个基于asp.net core 2.x mysql jwt开发的webapi项目
ASP.NET Core 使用 JWT 实现令牌认证及授权范例程序代码
07-02
介绍如何在ASP.NET CORE使用JWT实现令牌认证和授权。
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
weixin_33795093的博客
09-07 1316
一、前言 明人不说暗话,跟着阿笨一起玩WebApi!开发提供数据的WebApi服务,最重要的是数据的安全性。那么对于我们来说,如何确保数据的安全将会是需要思考的问题。在ASP.NET WebService服务可以通过SoapHead验证机制来实现,那么在ASP.NET WebApi我们应该如何保证我们的接口安全呢?在上此分享课程阿笨给大家带来了传统的基于Session方式的Token签...
ASP.NET Core WebAPI使用JWT Bearer认证和授权
weixin_30546189的博客
12-13 663
目录 为什么是 JWT Bearer 什么是 JWT JWT 的优缺点 在 WebAPI 使用 JWT 认证 刷新 Token 使用授权 简单授权 基于固定角色的授权 基于策略的授权 自定义...
Vue axios 前端 ASP.Net Core WebAPI 后台JWT Token 认证
yyshenxiang_1的博客
04-20 1340
Vue axios 前端 ASP.Net Core WebAPI 后台JWT Token 认证1、ASP.Net Core WebAPI JWT Token 认证2、Vue axios 访问3、总结 1、ASP.Net Core WebAPI JWT Token 认证 ASP.Net Core Web API 应用程序。 控制器: [Route("[controller]/[action]")] [ApiController] public class AuthControll
ASP.NET Core Web ApiJWT(一)
weixin_30362233的博客
07-16 146
前言 最近沉寂了一段,主要是上半年相当于休息和调整了一段时间,接下来我将开始陆续学习一些新的技术,比如Docker、Jenkins等,都会以生活实例从零开始讲解起,到时一并和大家分享和交流。接下来几节课的内容将会讲解JWT,关于JWT的原理解析等等园子里大有文章,就不再叙述,这里我们讲解使用和一些注意的地方。 为什么要使用JWT.NET Core之前对于Web应用程序跟踪用户登...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值