WebApi中关于base64和jwt的联合验证

最新推荐文章于 2024-02-18 12:52:24 发布
最新推荐文章于 2024-02-18 12:52:24 发布
阅读量207 收藏
点赞数
文章标签: c#
原文链接:http://www.cnblogs.com/Spinoza/p/9697893.html
版权

用到了如鹏的代码

jwt验证

 1  public class MyAuthoFilterPostOrgInfoAttribute: AuthorizationFilterAttribute
 2     {
 3         public override void OnAuthorization(HttpActionContext actionContext)
 4         {
 5             IEnumerable<string> addToken;
 6             if (actionContext.Request.Headers.TryGetValues("addToken", out addToken))
 7             {
 8                 string tokenStr = addToken.First();
 9                 var secret = "GQDstcKsmarcccPOuXOYg9MbeJ1XT0uFiwDVvVBrk";//不要泄露
10                 try
11                 {
12                     IJsonSerializer serializer = new JsonNetSerializer();
13                     IDateTimeProvider provider = new UtcDateTimeProvider();
14                     IJwtValidator validator = new JwtValidator(serializer, provider);
15                     IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
16                     IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder);
17                     var json = decoder.Decode(tokenStr, secret, verify: true);
18                     //Console.WriteLine(json);
19                     //MessageBox.Show("解密成功" + json);
20 
21                 }
22                 catch (TokenExpiredException)
23                 {
24                     //MessageBox.Show("token过期");
25                     returnFunc(actionContext, "token过期");
26 
27                 }
28                 catch (SignatureVerificationException)
29                 {
30                     //MessageBox.Show("签名校验失败,数据可能被篡改");
31                     returnFunc(actionContext, "签名校验失败,数据可能被篡改");
32                 }
33                 catch (Exception)
34                 {
35                     returnFunc(actionContext, "身份验证未通过");
36                 }
37             }
38             //base.OnAuthorization(actionContext);
39         }
40 
41 
42         private void returnFunc(HttpActionContext actionContext,string msg)
43         {
44             ApiResult<string> result = new ApiResult<string>
45             {
46                 Code = (int)HttpStatusCode.Unauthorized,
47                 Message = msg
48 
49             };
50             string resultJson = JsonConvert.SerializeObject(result);
51             //context.
52             //actionContext.RequestContext
53 
54             actionContext.Response = new HttpResponseMessage
55             {
56                 Content = new StringContent(resultJson, Encoding.GetEncoding("UTF-8"), "application/json"),
57                 StatusCode = HttpStatusCode.Unauthorized
58             };
59         }
60     }

base64验证

 1 public class MyAuthoFilterForGetTokenAttribute: AuthorizationFilterAttribute
 2     {
 3         public override void OnAuthorization(HttpActionContext actionContext)
 4         {
 5             //base.OnAuthorization(actionContext);
 6             IEnumerable<string> getToken;
 7             if (actionContext.Request.Headers.TryGetValues("getToken", out getToken))
 8             {
 9                 //通过base64解密
10                 string tokenStr = getToken.First();
11                 byte[] bytes;
12                 string result;
13                 try
14                 {
15                     bytes = System.Convert.FromBase64String(tokenStr);
16                      result = System.Text.Encoding.UTF8.GetString(bytes);
17                     JObject jsonModel = (JObject)JsonConvert.DeserializeObject(result);
18                     string userName = jsonModel["userName"].ToString();
19                     string password = jsonModel["password"].ToString();
20                     if (userName == "admin" && password == "qwe321")
21                     {
22                         
23                     }
24                     else
25                     {
26                         returnFunc(actionContext);
27                     }
28                 }
29                 catch (Exception)
30                 {
31                     returnFunc(actionContext);
32                 }
33             }
34             else
35             {
36                 returnFunc(actionContext);
37             }
38 
39         }
40 
41 
42         private void returnFunc(HttpActionContext actionContext)
43         {
44             ApiResult<string> result = new ApiResult<string>
45             {
46                 Code = (int)HttpStatusCode.Unauthorized,
47                 Message = "未授权"
48 
49             };
50             string resultJson = JsonConvert.SerializeObject(result);
51             //context.
52             //actionContext.RequestContext
53 
54             actionContext.Response = new HttpResponseMessage
55             {
56                 Content = new StringContent(resultJson, Encoding.GetEncoding("UTF-8"), "application/json"),
57                 StatusCode = HttpStatusCode.Unauthorized
58             };
59         }
60     }

controller

  1  public class ValueController: AbpApiController
  2     {
  3         private readonly IOrganizationAppService _orgService;
  4 
  5        
  6        public ValueController(IOrganizationAppService orgService)
  7         {
  8             this._orgService = orgService;
  9         }
 10         [HttpGet]
 11        
 12         public async  Task<string>  GetOrgInfo()
 13         {
 14             EntityDto<int> entity = new EntityDto<int>();
 15             entity.Id = 1;
 16             OrganizationListDto org = new OrganizationListDto();
 17             try
 18             {
 19                  org = await _orgService.GetOrganizationByIdAsync(entity);
 20             }
 21             catch (Exception ex)
 22             {
 23                 string ex1 = ex.ToString();
 24                 throw;
 25             }
 26             
 27             return  JsonConvert.SerializeObject(org);
 28         }
 29         [HttpGet]
 30         public  string Get()
 31         {
 32             return "OK";
 33         }
 34 
 35 
 36         [MyAuthoFilterForGetToken]
 37         public IHttpActionResult GetToken()
 38         {
 39 
 40             //返回jwt加密
 41             double exp = (DateTime.UtcNow.AddSeconds(60) - new DateTime(1970, 1, 1)).TotalSeconds;
 42             var payload = new Dictionary<string, object>
 43                             {
 44                                 { "userName", "admin" },
 45                                 { "password", "qwe321" },
 46                                 {"exp",exp }
 47                             };
 48             var secret = "GQDstcKsx0NHjPOuXOYg9MbeJ1XT0uFiwDVvVBrk";//不要泄露
 49             IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
 50             IJsonSerializer serializer = new JsonNetSerializer();
 51             IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
 52             IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
 53             string token = encoder.Encode(payload, secret);
 54             //textBox1.Text = token;
 55 
 56             ApiResult<string> result = new ApiResult<string>
 57             {
 58                 Code = 200,
 59                 Message ="请求成功",
 60                 ReturnValue=token
 61                 
 62             };
 63              //JsonConvert.SerializeObject(result);
 64             return Json(result);
 65         }
 66 
 67         [HttpPost]
 68         [MyAuthoFilterPostOrgInfo]
 69         public async Task<IHttpActionResult> PostOrgInfo([FromBody]JObject par)
 70         {
 71             //var varlue11 = value;
 72             string data = par["data"].ToString();
 73             
 74             string dataDeal = data.Replace("\r\n ", " ").Replace("\\", " ").Trim();
 75             List<OrganizationEditDtoForInterface> orgInfoList = JsonConvert.DeserializeObject<List<OrganizationEditDtoForInterface>>(dataDeal);
 76 
 77             //验证字段是否完整???
 78 
 79 
 80             //验证数据重复性
 81             foreach (var orgInfo in orgInfoList)
 82             {
 83                 
 84                 if (_orgService.CheckIsExitOrgName(orgInfo.OrgName,0))
 85                 {
 86 
 87                     return Json(returnFunc((int)HttpStatusCode.Forbidden, "已存在服务商"));
 88                 }
 89                 
 90             }
 91 
 92             //验证完重复性,现在开始存数据
 93            bool isSucceed =  await _orgService.CreateOrganizationForInterfaceAsync(orgInfoList);
 94 
 95             if (isSucceed)
 96             {
 97                 return Json(returnFunc((int)HttpStatusCode.OK,"数据保存成功"));
 98             }
 99             else
100             {
101                 return Json(returnFunc((int)HttpStatusCode.Forbidden, "数据保存失败"));
102             }
103 
104             
105             //return "PostOrgInfo";
106         }
107 
108         public ApiResult<string> returnFunc(int statueCode,string msg)
109         {
110             ApiResult<string> result = new ApiResult<string>
111             {
112                 Code = statueCode,
113                 Message = msg
114 
115             };
116             return result;
117         }
118 
119         public string Post([FromBody] LoginModel2 model)
120         {
121             if (model.UserName=="admin"&&model.Password=="321")
122             {
123                 return "Ok,userName=" + model.UserName;
124             }
125             else
126             {
127                 return "Bad";
128             }
129 
130         }
131 
132 
133     }

 

转载于:https://www.cnblogs.com/Spinoza/p/9697893.html

weixin_30337251
关注
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 4196
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController新建Login接口来获取Token。在appsettings.json配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
decode-jwt:一个执行base64编码和解码的go库
05-12
解码jwt Go库可帮助您解码JSON Web令牌(JWT) 请阅读 ,了解有关JWT的更多详细信息 如何使用这个库 您可以克隆此库并运行以下命令: go run jwtDecode.go -jwt=awtee123455 如果您不提供-jwt的参数,那么您将收到一条用法消息 在系统安装库 运行命令: go get github.com/jbelmont/decode-jwt 假设您已经安装并设置了GOPATH ,则可以简单地运行: jwt-decode -jwt=aTokenHere 您可能需要将$GOPATH/bin添加到.bashrc和.zshrc配置文件的PATH变量。 样品运行 go run jwtDecode.go -jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmF
jwtbase64base64url
weixin_45543674的博客
02-15 5470
base64编码 效果:使用64个可打印的字符来表示二进制数据的方法。 A-Z a-z 0-9 + / 一共64个字符,本质上是进行表示,并不是加密(但如果打乱字符顺序,也可以达到加密的效果) 具体原理见博客:[一篇文章弄懂Base64编码原理_mijichui2153的博客-CSDN博客]() base64Url编码 base64编码将’+’、’/‘替换成’-’、’_’,将=去掉,就成为了base64url编码,因为这三个字符在url有特殊意义。 JWT json web token JWT是一种用户认证
JWT加密
weixin_30405421的博客
11-29 202
JWT是一种加密算法,为了防止请求的信息在传输途被拦截修改 JWT的引用: install-package jwt JWF由三部分组成:Header,Payload,Signature Payload放的是传输的数据 Header和Payload部分的内容是Base64编码,可以轻松的解码,所以Payload不要放机密信息 Signature是Header,Payload和Se...
JWT令牌,常见加密算法,Base64笔记
没有
01-11 3986
JWT令牌: 是客户端和服务器进行数据安全传输的一种标准: 组成: 头 (指定签名的加密算法方式), 负载(主要子自定义信息内容), 签名(头部Base64+负载Base64通过加密算法和密钥生成的) 作用:防止令牌信息被篡改; JWT令牌优点: 1.jwt基于json,非常方便解析 2.可以在令牌自定义丰富的内容,易扩展; 3、通过非对称加密算法及数字签名技术,JWT防止篡改,安全性高。 4、...
04 SS之JWTbase64
最新发布
m0_46671240的博客
02-18 1056
Token是一项规范和标准(接口)JWT(JSON Web Token)是具体可以生成,校验,解析等动作Token的技术(实现类)JWT只通过算法实现对Token合法性的验证,不依赖数据库存储系统,因此可以做到跨服务器验证,只要密钥和算法相同,不同服务器程序生成的Token可以互相验证JWT 默认是不加密,但也是可以加密的。生成原始 Token 以后,可以用密钥再加密一次。JWT 不仅可以用于认证,也可以用于交换信息。有效使用 JWT,可以降低服务器查询数据库的次数。
.Net WebAPi JWT身份验证
11-07
在.NET WebAPI,我们可以使用`System.IdentityModel.Tokens.Jwt`库来处理JWT的生成和验证。首先,需要安装NuGet包`System.IdentityModel.Tokens.Jwt`和`Microsoft.IdentityModel.Tokens`。 接下来,我们需要创建...
Webapi_JWT_Authentication-master_webapi_jwt_token_
10-03
在"Webapi_JWT_Authentication-master"项目,开发者可能已经实现了以上步骤,包括用户注册、登录接口,JWT的生成和验证,以及基于JWT的授权逻辑。具体实现可能包括使用特定的库,如`System.IdentityModel.Tokens....
Core5 WebApi JWT验证登录+注入依赖Demo
12-12
【标题】"Core5 WebApi JWT验证登录+注入依赖Demo" 涉及到的关键技术主要集在.NET Core 5框架下的WebAPI开发、JSON Web Token(JWT验证以及依赖注入。这里将详细介绍这些核心概念。 1. **WebAPI**: WebAPI是...
web api JWT token认证
04-24
Web API可以使用OAuth2或OpenID Connect库,如Microsoft.AspNetCore.Authentication.JwtBearer,来实现JWT验证间件。该间件会在每个请求检查JWT,并在有效时设置ClaimsPrincipal,这样API就可以根据用户...
jwt认证基本使用,控制登录接口返回的数据格式,base64使用,自定义基于jwt的认证类
yikenaoguazi的博客
11-14 585
一.昨日回顾 1 分页功能 -三个类:普通分页,偏移分页,游标分页 -每个类都有几个属性:查询的字段,每页显示的条数,每页最多显示的条数,游标分页有个排序 -定义一个类,继承上面3个其一个,重写字段 -继承了APIView:实例化得到分页对象,把要分页的数据传入,返回分页后的数据,序列化,可以按照自己定制的规则返回,也可也使用page.get_paginated_response(ser.data) -如果继承了ListModelMixin和GenericAPIVie
springboot整合jwt_Spring Boot整合JWT实现用户认证(附源码)
weixin_39807954的博客
11-26 114
作者:LTLAYXhttps://dwz.cn/yv1Do6e3推荐阅读1. Java 性能优化:教你提高代码运行的效率2. 基于token的多平台身份认证架构设计3. select count(*)底层究竟做了什么?4. Springboot启动原理解析初探JWT什么是JWTJWT(Json Web Token),是一种工具,格式为XXXX.XXXX.XXXX的字符串,JWT以一种安全的方式在用...
【SpringSecurity】九、Base64JWT
llg___的博客
08-31 1006
JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,用于在各方之间作为JSON对象安全地传输信息。此信息可以通过数字签名进行验证和信任。JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。官方网址:https://jwt.io/调试页面:https://jwt.io/学习文档:https://jwt.io/introduction/授权:一次登录后,后续请求携带token,校验合法的token,则允许访问系统的资源。
JWT加密原理
weixin_30861459的博客
07-28 214
JWT加密原理 JWT: JSON Web Token的缩写,是REST接口的一种安全策略,也是一种安全的规范,使用JWT可以让我们在用户端和服务端建立一种可靠的通信保障。 使用简介: 用户端登录成功后,服务器会生成一个token给到用户端,token里面包含用户信息(用户id),用户后续携带该token进行请求访问,服务器从用户的请求成功解析token信息,则说明用户的...
4、聊聊常见的加密与JWT
划水的小白白
09-28 2918
文章目录一、加密算法/编码二、JWT:2.1 概念:2.2 确认网站使用JWT:2.3 实际例子:2.4 结构(三部分):2.5 攻击思路:2.6 其他: 一、加密算法/编码 常见的: md5(大多数网站已经开始加盐) SHA-1、2、256等(与md5同属于哈希算法) AES(加密模式、填充、数据库、密码、偏移量),可选以上5种方法对内容进行加密,且输出可以选base64与hex(16进制)两种。 假设一串特殊的base64解码(密文存在“
jwt学习、手写jwtjwt加密解密
好幸运
12-06 1037
jwt官网:https://jwt.io/ JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是: Header Payload Signature 一个典型的JWT看起来是这个样子的: xxxxx.yyyyy.zzzzz 第一部分 Header header典型的由两部分组成:token的类型(“JWT”)和算法名称(比如:HMAC SHA256或者RSA等等)。 'alg' "HS256" 'typ' "JWT" 然后,用Ba..
Jwt隐藏大坑,通过源码揭晓
Gui.H的博客
05-25 1088
前言 JWT是目前最为流行的接口认证方案之一,有关JWT协议的详细内容,请参考:https://jwt.io/introduction 今天分享一下在使用JWT在项目遇到的一个问题,主要是一个协议的细节,非常容易被忽略,如果不是自己遇到,或者去看源码的实现,我估计至少80%的人都会栽在这里,下面来还原一下这个问题的过程,由于这个问题出现有一定的概率,不是每次都会出现,所以才容易掉坑里。 集成JWT 在Asp.Net Core集成JWT认证的方式在网络上随便一搜就能找到一堆,主要有两个步骤: 在IOC容
细说——JWT攻击
LainWith的博客
01-05 6088
JSON Web Token (JWT) 是一种标准化格式,用于在系统之间发送加密签名的 JSON 数据。它们理论上可以包含任何类型的数据,但最常用于发送有关用户信息的声明,作为身份验证、会话处理和访问控制机制的一部分。与经典会话令牌不同,服务器需要的所有数据都存储在 JWT 本身的客户端。这使得 JWT 成为高度分布式网站的热门选择,在这些网站,用户需要与多个后端服务器无缝交互。它一般会放置在、**Cookie**或者请求体里面。
ASP.NET WEBAPI 的身份验证和授权
weixin_33912638的博客
07-28 2085
定义 身份验证(Authentication):确定用户是谁。 授权(Authorization):确定用户能做什么,不能做什么。 身份验证 WebApi 假定身份验证发生在宿主程序称。对于 web-hosting,宿主是 IIS。这种情况下使用 HTTP Module 进行验证验证时,宿主会创建一个表示安全上下文的主体对象(实现 IPrincipal),将它附加到当前线程。主体对...
Angular JWT身份验证实践与原理解析
"Angular应用程序JWT(Json Web Token)身份验证实现,包括JWT的工作原理、与传统Session认证的区别以及优缺点分析。" 在Angular开发JWT令牌身份验证是一种常见的安全实践,它允许用户在多个服务之间安全地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值