asp.net core 2.0 web api基于JWT自定义策略授权

最新推荐文章于 2024-03-28 15:57:15 发布
最新推荐文章于 2024-03-28 15:57:15 发布
阅读量236 收藏
点赞数
原文链接:https://blog.51cto.com/axzxs/1965822?source=drh
版权

源码如下:

JwtToken.cs

    /// <summary>
    /// 获取基于JWT的Token
    /// </summary>
    /// <param name="username"></param>
    /// <returns></returns>
    public static dynamic BuildJwtToken(Claim[] claims, PermissionRequirement permissionRequirement)
    {
        var now = DateTime.UtcNow;
        var jwt = new JwtSecurityToken(
            issuer: permissionRequirement.Issuer,
            audience: permissionRequirement.Audience,
            claims: claims,
            notBefore: now,
            expires: now.Add(permissionRequirement.Expiration),
            signingCredentials: permissionRequirement.SigningCredentials
        );
        var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);
        var response = new
        {
            Status = true,
            access_token = encodedJwt,
            expires_in = permissionRequirement.Expiration.TotalMilliseconds,
            token_type = "Bearer"
        };
        return response;
    }

Permission.cs

/// <summary>
/// 用户或角色或其他凭据实体
/// </summary>
public class Permission
{
    /// <summary>
    /// 用户或角色或其他凭据名称
    /// </summary>
    public virtual string Name
    { get; set; }
    /// <summary>
    /// 请求Url
    /// </summary>
    public virtual string Url
    { get; set; }
}

PermissionRequirement.cs

/// <summary>
/// 必要参数类
/// </summary>
public class PermissionRequirement : IAuthorizationRequirement
{
    /// <summary>
    /// 用户权限集合
    /// </summary>
    public List<Permission> Permissions { get; private set; }
    /// <summary>
    /// 无权限action
    /// </summary>
    public string DeniedAction { get; set; }
    /// <summary>
    /// 认证授权类型
    /// </summary>
    public string ClaimType { internal get; set; }
    /// <summary>
    /// 请求路径
    /// </summary>
    public string LoginPath { get; set; } = "/Api/Login";
    /// <summary>
    /// 发行人
    /// </summary>
    public string Issuer { get; set; }
    /// <summary>
    /// 订阅人
    /// </summary>
    public string Audience { get; set; }
    /// <summary>
    /// 过期时间
    /// </summary>
    public TimeSpan Expiration { get; set; } = TimeSpan.FromMinutes(5000);
    /// <summary>
    /// 签名验证
    /// </summary>
    public SigningCredentials SigningCredentials { get; set; }
    /// <summary>
    /// 构造
    /// </summary>
    /// <param name="deniedAction">无权限action</param>
    /// <param name="userPermissions">用户权限集合</param>
    /// <summary>
    /// 构造
    /// </summary>
    /// <param name="deniedAction">拒约请求的url</param>
    /// <param name="permissions">权限集合</param>
    /// <param name="claimType">声明类型</param>
    /// <param name="issuer">发行人</param>
    /// <param name="audience">订阅人</param>
    /// <param name="signingCredentials">签名验证实体</param>
    public PermissionRequirement(string deniedAction, List<Permission> permissions, string claimType, string issuer, string audience, SigningCredentials signingCredentials)
    {
        ClaimType = claimType;
        DeniedAction = deniedAction;
        Permissions = permissions;
        Issuer = issuer;
        Audience = audience;
        SigningCredentials = signingCredentials;
    }
}

自定义策略类PermissionHandler.cs

/// <summary>
/// 权限授权Handler
/// </summary>
public class PermissionHandler : AuthorizationHandler<PermissionRequirement>
{    
    /// <summary>
    /// 验证方案提供对象
    /// </summary>
    public IAuthenticationSchemeProvider Schemes { get; set; }
    /// <summary>
    /// 自定义策略参数
    /// </summary>
    public PermissionRequirement Requirement
    { get; set; }
    /// <summary>
    /// 构造
    /// </summary>
    /// <param name="schemes"></param>
    public PermissionHandler(IAuthenticationSchemeProvider schemes)
    {
        Schemes = schemes;
    }  
    protected override async Task HandleRequirementAsync(AuthorizationHandlerContext context, PermissionRequirement requirement)
    {
        赋值用户权限       
        Requirement = requirement;
        //从AuthorizationHandlerContext转成HttpContext,以便取出表求信息
        var httpContext = (context.Resource as Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext).HttpContext;
        //请求Url
        var questUrl = httpContext.Request.Path.Value.ToLower();  
        //判断请求是否停止
        var handlers = httpContext.RequestServices.GetRequiredService<IAuthenticationHandlerProvider>();
        foreach (var scheme in await Schemes.GetRequestHandlerSchemesAsync())
        {
            var handler = await handlers.GetHandlerAsync(httpContext, scheme.Name) as IAuthenticationRequestHandler;
            if (handler != null && await handler.HandleRequestAsync())
            {
                context.Fail();
                return;
            }
        }
        //判断请求是否拥有凭据,即有没有登录
        var defaultAuthenticate = await Schemes.GetDefaultAuthenticateSchemeAsync();
        if (defaultAuthenticate != null)
        {
            var result = await httpContext.AuthenticateAsync(defaultAuthenticate.Name);
            //result?.Principal不为空即登录成功
            if (result?.Principal != null)
            {
                httpContext.User = result.Principal;
                //权限中是否存在请求的url
                if (Requirement.Permissions.GroupBy(g => g.Url).Where(w => w.Key.ToLower() == questUrl).Count() > 0)
                {
                    var name = httpContext.User.Claims.SingleOrDefault(s => s.Type == requirement.ClaimType).Value;
                    //验证权限
                    if (Requirement.Permissions.Where(w => w.Name == name && w.Url.ToLower() == questUrl).Count() <= 0)
                    {
                        //无权限跳转到拒绝页面
                        httpContext.Response.Redirect(requirement.DeniedAction);
                    }
                }
                context.Succeed(requirement);
                return;
            }
        }
        //判断没有登录时,是否访问登录的url,并且是Post请求,并助是form表单提交类型,否则为失败
        if (!questUrl.Equals(Requirement.LoginPath.ToLower(), StringComparison.Ordinal) && (!httpContext.Request.Method.Equals("POST")
           || !httpContext.Request.HasFormContentType))
        {
            context.Fail();
            return;
        }
        context.Succeed(requirement);     
    }
}

先设置配置文件,用户可以定义密匙和发生人,订阅人

“Audience”: {

"Secret": "ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890",

"Issuer": "gsw",

"Audience": "everone"

}

在ConfigureServices中注入验证(Authentication),授权(Authorization),和JWT(JwtBearer)

Startup.cs

    public void ConfigureServices(IServiceCollection services)
    {
        //读取配置文件
        var audienceConfig = Configuration.GetSection("Audience");
        var symmetricKeyAsBase64 = audienceConfig["Secret"];
        var keyByteArray = Encoding.ASCII.GetBytes(symmetricKeyAsBase64);
        var signingKey = new SymmetricSecurityKey(keyByteArray);
        var tokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = signingKey,
            ValidateIssuer = true,
            ValidIssuer = audienceConfig["Issuer"],
            ValidateAudience = true,
            ValidAudience = audienceConfig["Audience"],
            ValidateLifetime = true,
            ClockSkew = TimeSpan.Zero
        };
        var signingCredentials = new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256);
        services.AddAuthorization(options =>
        {
            //这个集合模拟用户权限表,可从数据库中查询出来
            var permission = new List<Permission> {
                          new Permission {  Url="/", Name="admin"},
                          new Permission {  Url="/api/values", Name="admin"},
                          new Permission {  Url="/", Name="system"},
                          new Permission {  Url="/api/values1", Name="system"}
                      };
            //如果第三个参数,是ClaimTypes.Role,上面集合的每个元素的Name为角色名称,如果ClaimTypes.Name,即上面集合的每个元素的Name为用户名
            var permissionRequirement = new PermissionRequirement("/api/denied", permission, ClaimTypes.Role, audienceConfig["Issuer"], audienceConfig["Audience"], signingCredentials);
            options.AddPolicy("Permission",
                      policy => policy.Requirements.Add(permissionRequirement));
        }).AddAuthentication(options =>
        {
            options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
            options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
        })
        .AddJwtBearer(o =>
        {
            //不使用https
            o.RequireHttpsMetadata = false;
            o.TokenValidationParameters = tokenValidationParameters;
        });
        //注入授权Handler
        services.AddSingleton<IAuthorizationHandler, PermissionHandler>();
        services.AddMvc();
    }

在需要授的Controller上添加授权特性

[Authorize("Permission")]

PermissionController类有两个方法,一个是登录,验证用户名和密码是否正确,如果正确就发放Token,如果失败,验证失败,别一个成功登后的无权限导航action。

[Authorize("Permission")]
public class PermissionController : Controller
{
    /// <summary>
    /// 自定义策略参数
    /// </summary>
    PermissionRequirement _requirement;
    public PermissionController(IAuthorizationHandler authorizationHander)
    {
        _requirement = (authorizationHander as PermissionHandler).Requirement;
    }
    [AllowAnonymous]
    [HttpPost("/api/login")]
    public IActionResult Login(string username,string password,string role)
    { 
        var isValidated = username == "gsw" && password == "111111";
        if (!isValidated)
        {
            return new JsonResult(new
            {
                Status = false,
                Message = "认证失败"
            });
        }
        else
        { 
            //如果是基于角色的授权策略,这里要添加用户;如果是基于角色的授权策略,这里要添加角色
            var claims =new Claim[]{ new Claim(ClaimTypes.Name, username),new Claim(ClaimTypes.Role, role) };
            //用户标识
            var identity = new ClaimsIdentity(JwtBearerDefaults.AuthenticationScheme); 
            identity.AddClaims(claims);
            //登录
            HttpContext.SignInAsync(JwtBearerDefaults.AuthenticationScheme, new ClaimsPrincipal(identity));
            var token = JwtToken.BuildJwtToken(claims, _requirement);
            return new JsonResult(token);
        }
    }
    [AllowAnonymous]
    [HttpGet("/api/denied")]
    public IActionResult Denied()
    {
        return new JsonResult(new
        {
            Status = false,
            Message = "你无权限访问"
        });
    }
}

下面定义一个控制台(.NetFramewrok)程序,用RestSharp来访问我们定义的web api,其中1为admin角色登录,2为system角色登录,3为错误用户密码登录,4是一个查询功能,在startup.cs中,admin角色是具有查询/api/values的权限的,所以用admin登录是能正常访问的,用system登录,能成功登录,但没有权限访问/api/values,用户名密码错误,访问/aip/values,直接是没有授权的

class Program
{
///
/// 访问Url
///
static string _url = “http://localhost:39286”;
static void Main(string[] args)
{
dynamic token = null;
while (true)
{
Console.WriteLine("1、登录【admin】 2、登录【system】 3、登录【错误用户名密码】 4、查询数据 ");
var mark = Console.ReadLine();
var stopwatch = new Stopwatch();
stopwatch.Start();
switch (mark)
{
case “1”:
token = AdminLogin();
break;
case “2”:
token = SystemLogin();
break;
case “3”:
token = NullLogin();
break;
case “4”:
AdminInvock(token);
break;
}
stopwatch.Stop();
TimeSpan timespan = stopwatch.Elapsed;
Console.WriteLine(KaTeX parse error: Expected 'EOF', got '}' at position 46: …); }̲ } …“状态:{response.StatusCode} 返回结果:{content}”);
}
}
东莞网站建设www.zg886.cn

ting2909
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
WebApiJwt:具有身份和MySQL的Asp.NET Core 2.0 WebApi JWT身份验证
02-04
WebApiJwt 具有身份和MySQL的Asp.NET Core 2.0 WebApi JWT身份验证 讲解
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
net coreJWT
最新发布
qq_43826626的博客
03-28 897
在开发程序中需要,通常需要对程序进行身份验证和授权,JWT是一种安全传输标准,各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET 中,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。通常的办法是使用session来实现,用户登陆后,生成唯一session保存在服务器内存中,当浏览器再次访问时,http中携带了session,服务器根据该id取到信息实现缺点:用户过多占用服务器资源 每次响应都要向服务器获取一次session。
.NET6平台开发WebApi—使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
dotNET跨平台
08-23 1520
目录① 存储角色/用户所能访问的 API② 实现 IAuthorizationRequirement 接口③ 实现 TokenValidationParameters④ ...
三分钟学会.NET Core Jwt 策略授权认证
终极冥帝
12-27 2162
一.前言时光小说 https://wap.youxs.org/   大家好我又回来了,前几天讲过一个关于Jwt的身份验证最简单的案例,但是功能还是不够强大,不适用于真正的项目,是的,在真正面对复杂而又苛刻的客户中,我们会不知所措,就现在需要将认证授权这一块也变的复杂而又实用起来,那在专业术语中就叫做自定义策略API认证,本次案例运行在.NET Core 3.0中,最后我们将在swagg...
.net core使用Jwt授权验证
10-30
.net core使用Jwt授权验证,使用版本为.net core2.2,微软已经集成使用很方便
.net core api JWT Token使用
Lzysnd的博客
12-10 8431
一、项目>管理Nuget包 安装 二、.appsettings.json添加 "JWT": { "Secret": "~!@#$%^&*()_+qwertyuiopasldkh[o51485421ajshk^%*)kasd", // 密钥 "Issuer": "kfjdhf", // 颁发者 "Audience": "kfjdhf", // 接收者 //"Expired": 30 // 过期时间(30min) } 三、ConfigureS...
.NET CORE JWT
weixin_38141762的博客
10-14 346
nuget添加包:Microsoft.AspNetCore.Authentication.JwtBearer Startup.cs ConfigureServices services.Configure<TokenManagement>(Configuration.GetSection("tokenManagement")); var token = Configuration.GetSection("tokenManagement").Get<TokenManageme
.NET Core JWT
qq_36694046的博客
10-03 2272
标准中注册的声明: iss:jwt签发者 sub:jwt所面向的用户 aud:接收jwt的一方 exp:jwt的过期时间,这个过期时间必须要大于签发时间 nbf:定义在什么时间之前,该jwt都是不可用的 iat:jwt的签发时间 jti:jwt的唯一身份标识,主要用来作为一次性的token,从而回避重放攻击。 以上是转发别的博客 1.导入jwt包 2.staup设置 app.UseAuthentication(); app.UseAuthorization(); 3.配...
.net core 3.1 jwt刷新token
07-05
.net core 3.1 jwt刷新token
asp.net基于JWTweb api身份验证及跨域调用实践
10-18
主要介绍了asp.net基于JWTweb api身份验证及跨域调用实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
.NET Core使用JWT授权鉴权
weixin_49336442的博客
04-01 2671
Microsoft.AspNetCore.Authentication.JwtBearer,可以让应用接收Bearer Token的一个http://ASP.NET Core中间件。AuthenticateController用于实现用户的登陆,生成JWT Token并返回给用户,OrderController用于对用户权限进行测试。
NETCore中使用JWT
qq_40600379的博客
07-03 8416
NETCore中使用JWT 什么是JWT? ​ JSON Web Token(简称JWT),是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。 JWT常用于哪些场景? ​ 授权:适用于单点登录。例:当用户登录成功时,服务器会返回一个token给当前登录用户,且用户登录后访问系统的各个模块都应携带该token进行请求,当token过期时,则不允许用户访问系统模块。 ​ 信息交换:jwt是各端(客户端、服务器端)之间安全地传输信息的好方法。因
.net core jwt 授权验证
aifan2109的博客
05-22 235
代码我参考了一本书Modern API Design with ASP.NET Core 2 Building Cross-Platform Back-End Systems 网上也有一个很牛https://jasonwatmore.com/post/2018/08/14/aspnet-core-21-jwt-authentication-tutorial-with-exampl...
.net coreJWT(一)
q3230034的博客
08-02 723
前言 jwt是无状态,jwt信息只需要保存在客户端,无状态登录优势:分布式部署,jwt是通过token进行,jwt最重要部分是数字数字签名(VERIFY SIGNATURE),数字签名是通过非对称加密算法RSA,需要通过服务器私钥进行验证,如果私钥不丢失,基本上绝对安全(因为token是明文)。 JWT优缺点 优点:无状态,简单,方便,完美支持分布式部署 非对称加密,Token安全性高 缺点:1:因为是无状态,一经发布无法取消。(无解) 2:明文传递,token安全性低,知识通过base64加密 (使用ht
.Net Core使用JWT
飞翔的学习笔记
08-08 5920
.Net Core使用JWT 1.新建WebApi项目JwtDemo 2.通过nuget安装JWT.Net 根据你的版本自行选择合适的版本 3.分别建立三个实体类LoginDto,PlayloadDto,TokenDto public class LoginDto { public string UserId { get; set; } public string Password { get; set; } } public c
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件中配置 Web API 路由: ```csharp public static void Register...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值