asp.net core api 基于token的JWT bearer 的鉴权验证实现探索

最新推荐文章于 2024-04-25 17:05:28 发布
最新推荐文章于 2024-04-25 17:05:28 发布
阅读量1.5k 收藏 1
点赞数
文章标签: asp.net java 后端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010042660/article/details/125097177
版权

.net的各种框架啥的都不是很熟悉,当时只是想怎么实现快速校验授权确保api是通过验证之后才能打开。
我说的快速就是不需要写重复的样板代码,通过总体控制,最后发现,似乎也只能通过注解实现,不过也算是比较合理的,不然无法区分哪些需要哪些不需要了

那么实现原理就设计到cookie,session, token,前面的session是需要服务器存档用户信息的,服务器压力比较大,token的实现原理,在登录之后返回 一个token, 之后再每一个接口提交都传递token,

都传递token可以通过请求头提交也可以通过get,post这些提交,我这里探索两者均实现。

问了一些网友,说要实现便捷授权可以实现拦截器,拦截器类似注解,
那么只是单纯的拦截器还不是根本,而且我还是没看懂所以然咋自己通过写拦截器代码实现,
最后不得不直接用框架jwt bearer实现

jwt bearer 接入是只需要添加注解Auth 就可以实现对指定方法的鉴权。

using coreapiauth;
using coreapiauth.TestWebApi.AuthCenter.Utility;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;

var builder = WebApplication.CreateBuilder(args);



// Add services to the container.

builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();
//注入JWT服务
builder.Services.AddScoped<IJwtService, JwtService>();


#region 注册JWT鉴权
var issuer = "study"; //Configuration["issuer"];
var audience = "lozn"; //Configuration["audience"];
var securityKey = "4A9A70D2-B8AD-42E1-B002-553BDEF4E76F";// Configuration["SecurityKey"];


//配置认证服务
builder.Services.AddAuthentication(x =>
{
    x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
});

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) //默认授权机制名称
    .AddJwtBearer(options =>
    {


        options.TokenValidationParameters = new TokenValidationParameters();
        options.Events = new JwtBearerEvents()
        {
            OnMessageReceived = context =>
            {
                context.Token = context.Request.Query["access_token"];
                return Task.CompletedTask;
            }
        };
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true, //是否验证Issuer
            ValidateAudience = true, //是否验证Audience
            ValidateLifetime = true, //是否验证失效时间
            RequireExpirationTime = true, //过期时间
            ValidateIssuerSigningKey = true, //是否验证IssuerSigningKey
            ValidAudience = audience,
            ValidIssuer = issuer,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(securityKey)),
            //自定义校验规则:新登录后,之前的token无效
            //AudienceValidator = (audiences, securityToken, validationParameters) =>
            //{
            //    return audiences != null && audiences.FirstOrDefault().Equals(audience);
            //}
        };
    });
#endregion


var app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}


//app.UseHttpsRedirection();


//1.先开启认证
app.UseAuthentication();
//2.再开启授权
app.UseAuthorization();



app.MapControllers();

app.Run();

网上的文章似乎有些将的不是 core api,有些是core api,但是和我这边开发工具生成的模板代码又不一样,所以我这边是这样子的。
其中

app.UseAuthentication();
app.UseAuthorization();

似乎影响了最后能否正常通过鉴权,我之前是成功获取了token,但是一直卡无法鉴权成功, 请求头应该传递什么,最后得出的结论:Authorization为请求头的key ,value为Bearer 登录返回的key
也可以通过get提交,上面的完整代码之所以可以get生效是因为有如下代码生效

options.Events = new JwtBearerEvents()
        {
            OnMessageReceived = context =>
            {
                context.Token = context.Request.Query["access_token"];
                return Task.CompletedTask;
            }
        };

那么访问

http://lozn.vaiwan.com/api/Auth/GetAuthData?access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCIsImN0eSI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJOaWNrTmFtZSI6Ik5ldENvcmUiLCJSb2xlIjoiQWRtaW5pc3RyYXRvciIsImV4cCI6MTY1NDA3MDY2NywiaXNzIjoic3R1ZHkiLCJhdWQiOiJsb3puIn0.7GQOQybhFLFXpL0FO31WNdm-o8MYJHS5F-y1xB-PQPU

我写的这个源码有两个地方都用到了秘钥,

其中在启动的代码中配置的是如下

options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true, //是否验证Issuer
            ValidateAudience = true, //是否验证Audience
            ValidateLifetime = true, //是否验证失效时间
            RequireExpirationTime = true, //过期时间
            ValidateIssuerSigningKey = true, //是否验证IssuerSigningKey
            ValidAudience = audience,
            ValidIssuer = issuer,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(securityKey)),
            //自定义校验规则:新登录后,之前的token无效
            //AudienceValidator = (audiences, securityToken, validationParameters) =>
            //{
            //    return audiences != null && audiences.FirstOrDefault().Equals(audience);
            //}
        };

而在登录的时候返回 token用到的代码

public string GetToken(string name)
            {
                /**
                 * Claims(Payload)
                 * Claims包含了一些跟这个token有关的重要信息。JWT标准规定的字段:
                 * 
                 * iss: The issuer of the token, 签发人
                 * sub: The subject of the token, 主题
                 * exp: Expiration Time. 过期时间(Unix时间戳格式)
                 * iat: Issued At. 签发时间(Unix时间戳格式)
                 * jti: JWT ID. 编号
                 * aud: audience. 受众
                 * nbf: Not Before. 生效时间
                 * 
                 * 除了规定的字段外,可以包含其他任何JSON兼容的字段。
                 * */
                var claims = new[]
                {
                new Claim(ClaimTypes.Name, name),
                new Claim("NickName", "NetCore"),
                new Claim("Role", "Administrator")
            };


                if (_configuration["SecurityKey"] == null)
                {
                    throw new Exception("please  config SecurityKey  issuer audience at appsettings.json");
           
                }

                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["SecurityKey"]));
                var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

                var token = new JwtSecurityToken(
                    issuer: _configuration["issuer"], //签发人
                    audience: _configuration["audience"],
                    claims: claims,
                    expires: DateTime.Now.AddMinutes(20), //20分钟有效期
                    signingCredentials: credentials);
                var tokenStr = new JwtSecurityTokenHandler().WriteToken(token);
                return tokenStr;
            }

如果两者的issuer,audience,或者key不一致,一样是无法鉴权成功的,为了确保 SecurityKey在appsetting.json里面定义我直接加了检测,不存在直接抛出异常。
就可以成功实现访问,而非返回401,如果鉴权不成功是返回401的
最后能成功实现,还是参考了如下比较有参考意义的文章,前者并没有提到怎么去传递请求头,以及configuration参数怎么传递也没提及,所以搞的我一直没成功,
完整源码暂时不放出来了,因为第一篇文章已经算文章了,而我提供的program.cs也解决了如何读取configration的问题,以及写了一篇关于配置文件configration是啥玩意的问题。

https://www.cnblogs.com/xhubobo/p/14428578.html

https://blog.csdn.net/ma_jiang/article/details/106858593

吉凶以情迁
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
详解ASP.NET Core Token认证
10-20
主要介绍了详解ASP.NET Core Token认证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
.NetCore源码阅读笔记系列之Security (四) Authentication & AddJwtBearer
weixin_30865427的博客
11-23 1140
接下来我们在来看下AddJwtBearer,这个与AddOpenIdConnect不太一样,后者是远程发起身份认证请求是一种主动发起式的,多用于web等客户端,验证发生在身份认证服务端,而前者是一种被动接受,比如接受一个Token并根据某种规则校验,多用于服务性质的接口,而校验发生在服务本生 与前面一样,我们只关注JwtBearerHandler的处理即可 在JwtBearer中,我们可以通过...
.NetCore开发Jwt认证实现JwtUtil
xdpcxq的专栏
10-29 621
从令牌中获取数据声明 ///组装Claims 对称秘钥,签名证书
ASP.NET Core 认证与授权[4]:JwtBearer认证
weixin_33861800的博客
11-03 636
在现代Web应用程序中,通常会使用Web, WebApp, NativeApp等多种呈现方式,而后端也由以前的Razor渲染HTML,转变为Stateless的RESTFulAPI,因此,我们需要一种标准的,通用的,无状态的,与语言无关的认证方式,也就是本文要介绍的JwtBearer认证。 目录 Bearer认证 JWT(JSON WEB TOKEN) 头部(Header) 载荷(Payloa...
ASP.NET Core Web APIToken验证
绳锯木断,水滴石穿,专心写文,无问西东!!!
06-26 5325
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token。,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。
.Net Core 2.1 JWT Bearer 的认证
SmileSB101-(ZXB)的博客
07-26 5974
起因 最近想要学习一下 .net core 2.1 相关的知识,即是因为工作需要亦是在微服务和 docker 化的今天不得不去了解了解 .net coreAPI 第一步即是安全,即为认证(Authorization)以及授权(Authorization) Authorization 认证 这次项目中在公司第一次接触到了 Oauth2.0 认证 token,其中使用的type 是Bearer...
JWT权限验证
qq_42832611的博客
03-16 1095
DotnetCore使用Jwt在awagger中进行权限验证
.NET 6 WebApi Swagger 配置 JWT token+Authorize认证
qq_61325957的博客
05-03 3240
所以读者姥爷如果只是单纯返回token的时候,记得在控制器右上角的Authorize里 先写Bearer+空格+你的token。然后 我们还要启用验证,还是在program.cs下,注意顺序,不能乱,一定要先认证、再授权 ,否则会验证失败。我这里下载的是6.0版本的 下载自信版提示报错和自己的版本不搭配,大家看自己core的版本而定吧。在这里稍稍提醒一下各位读者,在token接口里,我返回token串是写的。好了,今天的分享到这里,希望能够帮助到你,我们下期见。然后再去点击刚才的控制器。
需要授权的API,必须在请求头中使用Authorization字段提供token令牌
wssg1206的博客
09-09 152
使用intercepter向请求头新建一个Authorization。
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
.NET6平台开发WebApi—使用JWT进行用户鉴权和测试源码
02-21
1.用.Net6平台WebApi项目开发 2.使用jwt给用户颁发密钥 3.swagger验证配置 4.接口jwt验证密钥方法 5.运行就能使用
ASP.NET Core 3.1 JWT token实现与应用
04-25
Core 3.1 JWT token实现与应用
ASP.NET基于WEB的选课系统
大叔_爱编程 的博客
04-19 757
设计本系统的目的是对选课信息进行管理。学生选课系统维护模块主要完成的是系统管理与维护功能。课题研究过程中,首先对系统管理模块进行了详尽的需求分析,经分析得到系统管理模块主要完成如下的功能:用户基本信息、选课信息的录入,查看,修改,删除等,同时还具有查询各个模块的功能,数据备份,数据还原 ,注销等功能。系统管理模块是整个系统的指挥中心,保证整个系统在校园网上安全有效地运作。之后根据需求提出了系统管理模块的总体设计方案,并据此进行了详细设计和编码实现。系统使用B/S结构设计和开发,系统的编码实现基于VS.NET
windows10 安装iis 跑asp.net
最新发布
一只不知疲倦的学习猿
04-25 132
iis配置
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 455
都是符合我们的预期的。
string模拟实现
m0_73969414的博客
04-23 1541
c++中string的模拟实现,面试必会知识点
ASP.NET WebApi 基于JWT实现Token签名认证(发布版)
05-17
首先,我们需要安装 `Microsoft.AspNet.WebApi` 和 `Microsoft.Owin.Security.Jwt` NuGet 包。 接下来,我们需要在 `WebApiConfig.cs` 文件中配置 Web API 路由...这样,我们就成功地基于 JWT 实现Token 签名认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值