jwt配置 restful_ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统

最新推荐文章于 2024-04-29 14:15:17 发布
最新推荐文章于 2024-04-29 14:15:17 发布
阅读量233 收藏
点赞数
文章标签: jwt配置 restful
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39648492/article/details/111626931
版权

为什么使用 Jwt

最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下:

  1. 移动端经常要保持长时间(1 到 2 星期)在线,但是 Session 却不好在服务端保存这么久,虽然可以持久化到数据库,但是还是挺费资源
  2. 移动端往往不是使用的网页技术,所以藏在 Cookie 里面的 SessionId 不是很方便的传递给服务端
  3. 服务端暴露给客户端的接口往往是 RESTful 风格的,这是一种无状态的 API 风格,所以身份认证的方式最好也是无状态的才好

所以我选择了使用 Jwt (Json Web Token) 这个技术。Jwt 是一种无状态的分布式的身份验证方式,与 Session 相反,Jwt 将用户信息存放在 Token 的 payload 字段保存在客户端,通过 RSA 加密的方式,保证数据不会被篡改,验证数据有效性。 下面是一个使用 Jwt 的系统的身份验证流程:

b8d9f3cd9d62fdf200526dab768fdcb9.png

可以看出,用户的信息保存在 Token 中,而 Token 分布在用户的设备中,所以服务端不再需要在内存中保存用户信息了 身份认证的 Token 传递时以一种相当简单的格式保存在 header 中,方便客户端对其进行操作

Jwt 简介

Jwt 形式的 token 一般分为 3 个部分,分别是 Header,Payload,Signature,这三个部分使用 . 分隔。其中前两部分使用 Base64 编码,未经加密处理,第三个部分使用 RSA 加密。 所以一个 Jwt 看起来大概是这个样子:

header.payload.signature

下面是一个真实的 Jwt:

eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1bmlxdWVfbmFtZSI6InplZWtvIiwicm9sZSI6IiIsIm5hbWVpZCI6MSwianRpIjoiNjNjN2Q3OWY2N2VhMDhjYjRiYzNjMmNkOTJiY2JkNTgiLCJuYmYiOjE0OTQ0MDMwMjQsImV4cCI6MTQ5NTAwNzgyMywiaWF0IjoxNDk0NDAzMDI0LCJpc3MiOiJUZXN0SXNzdWVyIiwiYXVkIjoiVGVzdEF1ZGllbmNlIn0.V7Mfi3FGOTLYV0O5DmOWju7LkDJwZNO6HZN19CHb3ekYxcoVbP51YjYAr0fUHc3RPIp3gxITzziHY-07xZ2swCaV0K-hiF5IbwpDuvyxsnlgaRxS94wKDGKSJkArC82KukCtm7IuFBxnNr6kxe7tGcebVhqtaqgnxEUg5lKtDtVI85kd17YtzBp9Vxnc3Ie0r-6KPgUa2HacCf2Pc3hkvY7tZdWZ6ininZlZ-EbcyZI2KTx-vOqdK63MS2JYSw7W2qwf89tsRsORwbB2P4dOBBFK8YSXJpeyGeJWFEMjAMkiH3AeMmW2w_H7r_6Pn-jh5gozzBei4JoHTU6RVDUg1A

Header

Header 部分一般用来记录加密算法跟 Token 类型 举个例子:

{  "alg": "HS256",  "typ": "JWT"}

Payload

Payload 存放的是一些不敏感的用户数据,因为这一部分仅仅只是使用 Base64 加密,所以不应该用来保存用户的密码之类的信息。

一个例子:

{  "sub": "1234567890",  "name": "John Doe",  "admin": true}

Signature

这一部分是 Jwt 最重要的部分,使用 header 中记录的算法进行了加密,加密方式如下:

HMACSHA256(  base64UrlEncode(header) + "." +  base64UrlEncode(payload),  secret)

所以这个部分可以用来保证用户信息不被篡改,起到验证用户身份的作用

在开发过程中,可以访问 https://jwt.io 来调试 Token 当然,为了更快的访问速度,还可以使用 这个网站

在 ASP.NET Core 中使用 Jwt

因为 Jwt 本身的特点,所以用来签发 Token 的服务器可以跟应用服务器不是同一台,这样就可以搞微服务之类的东西(反正我不懂。。。) 因此,在这篇博客中,将会创建两个 Web 应用:

  • JwtIssuer // 用来签发 Token
  • JwtAudience // 应用服务器,提供 API 的
5d365394feb5fe50eb95e6788f5ed3c5.png

首先来搭建我们的 Token 签发服务器吧!

签发第一个 Token

由于要使用到 RSA 加密,所以先创建一个辅助类来帮助简化调用:

RSAUtils.cs

using System.IO;using System.Security.Cryptography;using Newtonsoft.Json;namespace JwtUtils{    public static class RSAUtils    {        ///         /// 从本地文件中读取用来签发 Token 的 RSA Key        ///         /// 存放密钥的文件夹路径        ///         ///         ///         public static bool TryGetKeyParameters(string filePath, bool withPrivate, out RSAParameters keyParameters)        {            string filename = withPrivate ? "key.json" : "key.public.json";            keyParameters = default(RSAParameters);            if (Directory.Exists(filePath) == false) return false;            keyParameters = JsonConvert.DeserializeObject(File.ReadAllText(Path.Combine(filePath, filename)));            return true;        }        ///         /// 生成并保存 RSA 公钥与私钥        ///         /// 存放密钥的文件夹路径        ///         public static RSAParameters GenerateAndSaveKey(string filePath)        {            RSAParameters publicKeys, privateKeys;            using (var rsa = new RSACryptoServiceProvider(2048))            {                try                {                    privateKeys = rsa.ExportParameters(true);                    publicKeys = rsa.ExportParameters(false);                }                finally                {                    rsa.PersistKeyInCsp = false;                }            }            File.WriteAllText(Path.Combine(filePath, "key.json"), JsonConvert.SerializeObject(privateKeys));            File.WriteAllText(Path.Combine(filePath, "key.public.json"), JsonConvert.SerializeObject(publicKeys));            return privateKeys;        }    }}

这个工具类能够帮助我们生成 RSA 密钥,并把生成的私钥跟公钥保存在两个文件中,还能从文件中读取密钥。

然后定义一个数据类,用来帮助我们在应用的各个地方获取加密相关的信息:

JWTTokenOptions.cs

using Microsoft.IdentityModel.Tokens;namespace JwtUtils{    public class JWTTokenOptions    {        public string Audience { get; set; }        public RsaSecurityKey Key { get; set; }        public SigningCredentials Credentials { get; set; }        public string Issuer { get; set; }    }}

接下来在 Startup.cs 中配置 Jwt 的加密选项:

public void ConfigureServices(IServiceCollection services)        {            // 省略了其他的东西                        // 从文件读取密钥            string keyDir = PlatformServices.Default.Application.ApplicationBasePath;            if (RSAUtils.TryGetKeyParameters(keyDir, true, out RSAParameters keyParams) == false)            {                keyParams = RSAUtils.GenerateAndSaveKey(keyDir);            }            _tokenOptions.Key = new RsaSecurityKey(keyParams);            _tokenOptions.Issuer = "TestIssuer"; // 签发者名称            _tokenOptions.Credentials = new SigningCredentials(_tokenOptions.Key, SecurityAlgorithms.RsaSha256Signature);            // 添加到 IoC 容器            services.AddSingleton(_tokenOptions);                        services.AddMvc();        }

接下来创建一个控制器,用来提供签发 Token 的 API

TokenController.cs

namespace JwtIssuer.Controllers{    [Route("api/[controller]")]    public class TokenController : Controller    {        private readonly JWTTokenOptions _tokenOptions;        private readonly AuthDbContext _dbContext;        public TokenController(JWTTokenOptions tokenOptions, AuthDbContext dbContext)        {            _tokenOptions = tokenOptions;            _dbContext = dbContext;        }        ///         /// 生成一个新的 Token        ///         /// 用户信息实体        /// token 过期时间        /// Token 接收者        ///         private string CreateToken(User user, DateTime expire, string audience)        {            var handler = new JwtSecurityTokenHandler();            string jti = audience + user.Username + expire.GetMilliseconds();            jti = jti.GetMd5(); // Jwt 的一个参数,用来标识 Token            var claims = new[]            {                new Claim(ClaimTypes.Role, user.Role ?? string.Empty), // 添加角色信息                new Claim(ClaimTypes.NameIdentifier, user.Id.ToString(), // 用户 Id ClaimValueTypes.Integer32),                new Claim("jti",jti,ClaimValueTypes.String) // jti,用来标识 token            };            ClaimsIdentity identity = new ClaimsIdentity(new GenericIdentity(user.Username, "TokenAuth"), claims);            var token = handler.CreateEncodedJwt(new SecurityTokenDescriptor            {                Issuer = "TestIssuer", // 指定 Token 签发者,也就是这个签发服务器的名称                Audience = audience, // 指定 Token 接收者                SigningCredentials = _tokenOptions.Credentials,                Subject = identity,                Expires = expire            });            return token;        }        ///         /// 用户登录        ///         /// 用户登录信息        /// 要访问的网站        ///         [HttpPost("{audience}")]        public IActionResult Post([FromBody]User user, string audience)        {            DateTime expire = DateTime.Now.AddDays(7);            // 在这里来验证用户的用户名、密码            var result = _dbContext.Users.First(u => u.Username == user.Username && u.Password == user.Password);            if (result == null)            {                return Json(new { Error = "用户名或密码错误" });            }            return Json(new { Token = CreateToken(result, expire, audience) });        }    }}

现在,访问这个 API(http://localhost:port/api/token/TestAudience) 就可以获取用户的 Token 了

660ad49c4f82e7554e0c7d5fc2ba4ae7.png

在应用服务器验证 Token

在 Startup.cs 中注册 Jwt 相关的服务:

public void ConfigureServices(IServiceCollection services)        {            // 省略了其他的内容                         // 从文件读取密钥            string keyDir = PlatformServices.Default.Application.ApplicationBasePath;            if (RSAUtils.TryGetKeyParameters(keyDir, false, out RSAParameters keyparams) == false)            {                _tokenOptions.Key = default(RsaSecurityKey);            }            else            {                _tokenOptions.Key = new RsaSecurityKey(keyparams);            }            _tokenOptions.Issuer = "TestIssuer"; // 设置签发者            _tokenOptions.Audience = "TestAudience"; // 设置签收者,也就是这个应用服务器的名称            _tokenOptions.Credentials = new SigningCredentials(_tokenOptions.Key, SecurityAlgorithms.RsaSha256Signature);            services.AddAuthorization(auth =>            {                auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()                    .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme)                    .RequireAuthenticatedUser()                    .Build());            });                        // Add framework services.            services.AddMvc();        }

然后在 Startup.cs 添加 Jwt 认证中间件:

public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)        {            // 省略了其他的内容            app.UseJwtBearerAuthentication(new JwtBearerOptions            {                TokenValidationParameters = new TokenValidationParameters                {                    IssuerSigningKey = _tokenOptions.Key,                    ValidAudience = _tokenOptions.Audience, // 设置接收者必须是 TestAudience                    ValidIssuer = _tokenOptions.Issuer, // 设置签发者必须是 TestIssuer                    ValidateLifetime = true                }            });        }

接着随便创建一个 API 控制器

namespace JwtAudience.Controllers{    [Route("api/[controller]")]    public class ValuesController : Controller    {        // GET api/values        [HttpGet]        [Authorize]        public IEnumerable Get()        {            return new string[] { "value1", "value2" };        }            }}

首先编译一下应用服务器,但是不要急着运行。因为应用服务器验证 Token 是需要公钥的,所以现在去之前的签发服务器的 build 目录

6bef59929d3f71a5db321e64832d941d.png

可以看到生成了两个json文件,将其中的 key.public.json 拷贝到应用服务器的对应的目录下面,然后运行应用服务器。

如果我们直接访问应用服务器的 API,就会被挡在外面:

481da3bbb9941c02e73bf5350acd47c3.png

所以现在去把之前拿到的 token 复制出来,然后给这个请求加个请求头——Authorization 值是 Bearer 你的Token

4228c911d5a3b03251add9d41cf99237.png

这样,基本的身份验证就完成了~

有兴趣的话还可以把这个 Token 放在前面提到的用来调试 Jwt 网站上,我的 Token 的解析结果是:

54e624617c9bc17f4e0008b3983a6615.png

这里面的 iss 指的就是签发者,aud 指的是接收者,对于我们的应用服务器来说,这两个参数错了任意一个都将无法通过验证(这里就不演示了,等会儿会有测试代码~)

真的足够安全?

至此,我们已经把 Jwt 的身份认证基本实现了,但是仔细想想,却发现存在一个很严重的问题————用户的 Token 在过期时间之内根本无法手动设置失效,随之而来的还有重放攻击等等问题!

Jwt官方也没有提供很好的应对方法,现在就只有一条路可以走,就是把失效的 Token 加入黑名单。只要能够让 Token 失效,之后应对这些安全问题就只是策略上的选择。

在 Jwt 的官方说明中,jti 这个参数就是用来标识 Token 的。所以,让一个 Token 失效只需要把这个 Token 中的 jti 加入应用服务器的数据库的黑名单就好了。

得益于微软对 Identity 良好的设计,我们可以很容易的拓展默认的 Jwt 认证规则

首先创建一个 ValidJtiRequirement 类

public class ValidJtiRequirement : IAuthorizationRequirement{}

嗯,他的结构就是这么简单。。。

然后创建一个用来验证这个 Requirement 的 ValidJtiHandler

public class ValidJtiHandler : AuthorizationHandler{    private readonly AudienceDbContext _dbContext;    public ValidJtiHandler(AudienceDbContext dbContext)    {        _dbContext = dbContext;    }    protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, ValidJtiRequirement requirement)    {        // 检查 Jti 是否存在        var jti = context.User.FindFirst("jti")?.Value;        if (jti == null)        {            context.Fail(); // 显式的声明验证失败            return Task.CompletedTask;        }        // 检查 jti 是否在黑名单        var tokenExists = _dbContext.BlackRecords.Any(r => r.Jti == jti);        if (tokenExists)        {            context.Fail();        }        else        {            context.Succeed(requirement); // 显式的声明验证成功        }        return Task.CompletedTask;    }}

最后,稍微的修改一下注册服务时的代码

services.AddAuthorization(auth =>{    auth.AddPolicy("Bearer", new AuthorizationPolicyBuilder()        .AddAuthenticationSchemes(JwtBearerDefaults.AuthenticationScheme)        .RequireAuthenticatedUser()        .AddRequirements(new ValidJtiRequirement()) // 添加上面的验证要求        .Build());});// 注册验证要求的处理器,可通过这种方式对同一种要求添加多种验证services.AddSingleton();

最后再来提供一个使 Token 失效的 API

namespace JwtAudience.Controllers{    [Route("api/[controller]")]    public class TokenController : Controller    {        private readonly AudienceDbContext _dbContext;        public TokenController(AudienceDbContext dbContext)        {            _dbContext = dbContext;        }        [HttpGet]        public IActionResult Get() => Json(_dbContext.BlackRecords);        ///         /// 使用户的 Token 失效        ///         ///         [Authorize("Bearer")]        [HttpDelete]        public IActionResult Delete()        {            // 从 payload 中提取 jti 字段            var jti = User.FindFirst("jti")?.Value;            var userId = User.FindFirst(ClaimTypes.NameIdentifier)?.Value;            if (jti == null)            {                HttpContext.Response.StatusCode = 400;                return Json(new { Result = false });            }            // 把这个 jti 加入数据库            _dbContext.BlackRecords.Add(new BlackRecord { Jti = jti, UserId = userId });            _dbContext.SaveChanges();            return Json(new {Result = true});        }    }}

这里需要注意的是,因为拓展了默认的验证策略,所以需要在 Authorize 这个特性钦定使用 Bearer 策略:

[Authorize("Bearer")]

但是这样就容易在编码的时候出现拼写错误,所以来创建一个继承自这个特性的BearerAuthorize类。

namespace JwtAudience{    ///     /// Jwt 验证    ///     public class BearerAuthorizeAttribute : AuthorizeAttribute    {        public BearerAuthorizeAttribute() : base("Bearer") { }    }}

现在我们就可以使用[BearerAuthorize]来替代[Authorize]

至此,使 token 失效的能力就具备了。

然后附带一份测试代码,用来检验认证过程是否符合我们的预期: https://coding.net/u/zeeko/p/JwtApplication/git/blob/master/Test/Test.cs

升级到 Asp.Net Core 2.0 (2017/08/29)

花了一天时间来把项目升级到 2.0,并不是因为 API 变化很大,而是之前的 bug 有些多,修起来有些慢。

首先要升级 Program.cs 里面的 Main 函数:

public class Program{    public static void Main(string[] args)    {        BuildWebHost(args).Run();    }    public static IWebHost BuildWebHost(string[] args) =>        WebHost.CreateDefaultBuilder(args)            .UseStartup()            .Build();}

看起来更简短了一些。

接下来升级认证配置,按照官方的说明,所有的 app.UseXxxAuthentication 方法都变成了 service.AddAuthentication(XxxSchema).AddXxx(),所以改动不是很大:

JwtIssuer/Startup.cs/ConfigureServices

services.AddAuthentication().AddJwtBearer(jwtOptions =>{    jwtOptions.TokenValidationParameters = new TokenValidationParameters    {        IssuerSigningKey = _tokenOptions.Key,        ValidAudience = _tokenOptions.Audience,        ValidIssuer = _tokenOptions.Issuer,        ValidateLifetime = true    };});

JwtAudience/Startup.cs/ConfigureServices

services.AddAuthentication().AddJwtBearer(jwtOptions =>{    jwtOptions.TokenValidationParameters = new TokenValidationParameters    {        IssuerSigningKey = _tokenOptions.Key,        ValidAudience = _tokenOptions.Audience,        ValidIssuer = _tokenOptions.Issuer,        ValidateLifetime = true    };});

至此,需要升级的地方就修改好了,但是到目前为止还是无法运行,因为有些在 1.0 里面没有严格检验的地方开始报错了。

第一个地方是 ValidJtiHandler,之前在注册的时候,生命周期选的是单例并没有报错,但是因为这个类依赖了一个生命周期是 Scoped 的对象—— AudienceDbContext,这会引发一个异常,解决方法是把 ValidJtiHandler 也改成 Scoped:

services.AddScoped();

第二个地方是 RSAParameters 在 2.x 里面,它的私钥属性不能被 Json.Net 序列化,解决方法也很简单,加一个对应的类似 DTO 的类:

class RsaParameterStorage{    public byte[] D { get; set; }    public byte[] DP { get; set; }    public byte[] DQ { get; set; }    public byte[] Exponent { get; set; }    public byte[] InverseQ { get; set; }    public byte[] Modulus { get; set; }    public byte[] P { get; set; }    public byte[] Q { get; set; }}

然后在导出私钥前将 RSAParameters 映射成一个 RsaParameterStorage对象,然后使用 Json.Net 来序列化,映射使用的是我自己写的一个 Mapper(所以升级项目只花了几十分钟,调教 Mapper 花了一天),代码更改如下:

// 转换成 json 字符串static string ToJsonString(this RSAParameters parameters){    var content = parameters.Map().To();    return JsonConvert.SerializeObject(content);}// 从文件中读取keyParameters = JsonConvert.DeserializeObject(File.ReadAllText(filePath)).Map().To();
weixin_39648492
关注
ASP.Net Core使用JWT认证(3.1版本,5.0也可以使用)学不会你打我
qq_44471484的博客
06-28 1858
ASP.Net Core使用JWT认证JWT简单介绍开始编码功能快捷键。合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 JWT简单介绍 关于JWT网上有很多介绍,这里就不介绍了,本文主要以实现为主。 JWT由3部分构成: HEADER
如何使用Swagger为.NET Core 3.0应用添加JWT授权说明文档
weixin_33008495的博客
10-30 1178
简介 本教程采用WHY-WHAT-HOW黄金圈思维模式编写,黄金圈法则强调的是从WHY为什么学,到WHAT学到什么,再到HOW如何学。从模糊到清晰的学习模式。大家的时间都很宝贵,我们做事前先想清楚为什么要做,学完能达到什么样的目标,然后我们再考虑要达到这个目的,通过什么样的方法来实现。 尝试一些事,遭遇失败后从中学习,比什么事都不做更好。—马克.佐克伯 为什么要学? 对于开发人员来说,*调...
asp.net core jwt配置
weixin_30828379的博客
07-24 188
https://www.cnblogs.com/royzshare/p/10114198.html 转载于:https://www.cnblogs.com/baiqian/p/11236310.html
net core 使用jwt
最新发布
qq_51172697的博客
04-29 1577
1. 安装必要的包首先,确保你的.NET Core项目中安装了处理JWT相关的包,比如和。可以通过NuGet包管理器来安装。
asp.net core 集成JWT(一)
weixin_30247781的博客
06-13 1169
【什么是JWT】   JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。   JWT的官网地址:https://jwt.io/   通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有访问api的权限。   JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用...
ASP.NET Core 使用 JWT 搭建分布式状态身份验证系统
weixin_30823001的博客
05-10 245
升级到 Asp.Net Core 2.0 (2017/08/29 更新) 为什么使用 Jwt 最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下: 移动端经常要保持长时间(1 到 2 星期)在线,但是 Session 却不好在服务端保存这么久,虽然可以持久化到数据库,但是还是挺费...
aspnet-core-jwt-authentication-api:ASP.NET Core 2.2 JWT身份验证API
01-30
ASP.NET Core 2.2 JWT身份验证API是一个用于构建安全Web API的重要框架组件,它允许开发者在客户端和服务器之间使用JSON Web Tokens (JWTs)进行身份验证JWTs是一种轻量级的身份验证机制,适用于分布式系统,因为...
asp net core 2.1中如何使用jwt(从原理到精通)
10-17
ASP.NET Core 2.1中的JWT(JSON Web Token)是一种常用的身份验证机制,它提供了无状态分布式的认证方案,特别适合于RESTful API服务。JWT使用避免了传统Session存储用户信息的需求,而是将用户信息编码在Token...
AspNetCoreEnterpriseApp:带有Web API,JWT,Polly,Refit,RabbitMQ等的ASP.NET Core App
03-19
ASP.NET Core中,JWT通常用于实现OAuth2的Bearer令牌验证,用户通过获取JWT,可以在无需再次提供身份验证凭据的情况下访问受保护的API资源。 4. Polly:Polly是.NET中的一个容错处理库,旨在帮助开发者实现应用...
ASP.NET源码——Kilosail System Framework Examples_framework.zip
10-10
ASP.NET框架基于.NET Framework或.NET Core(对于跨平台支持),提供了多种编程模型,如Web Forms、MVC(Model-View-Controller)、Web API和Blazor。这些模型各有特点,适用于不同的应用场景。例如,Web Forms适合...
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
.net core api JWT Token使用
Lzysnd的博客
12-10 8600
一、项目>管理Nuget包 安装 二、.appsettings.json添加 "JWT": { "Secret": "~!@#$%^&*()_+qwertyuiopasldkh[o51485421ajshk^%*)kasd", // 密钥 "Issuer": "kfjdhf", // 颁发者 "Audience": "kfjdhf", // 接收者 //"Expired": 30 // 过期时间(30min) } 三、ConfigureS...
net core mvc项目下JWT实现自定义JWT过滤属性
qq_48024671的博客
02-22 579
在添加完这些之后,我们就可以新建一个AuthAttribute通过继承和实现Attribute,IAuthorizationFilter,代码如下// 在这里执行您的自定义授权逻辑if (!// 如果未通过授权,返回 403 ForbiddenContent = JsonConvert.SerializeObject(new { message = "Unauthorized:认证失败" }) // 或者使用其他序列化方式return;//获取token//验证token是否为空。
.Net Core使用JWT
飞翔的学习笔记
08-08 6006
.Net Core使用JWT 1.新建WebApi项目JwtDemo 2.通过nuget安装JWT.Net 根据你的版本自行选择合适的版本 3.分别建立三个实体类LoginDto,PlayloadDto,TokenDto public class LoginDto { public string UserId { get; set; } public string Password { get; set; } } public c
ASP.NET Core MVC 项目 创建JWT搭配WebApi和MinimalApi实现输出Token
Vin Cente
04-02 1540
一:新建WebApi项目 二:添加关键类 三:修改appsettings.json文件 四:修改Program.cs文件 五:添加控制器AuthenticationController 六:结果截图
NETCore使用JWT
qq_40600379的博客
07-03 8656
NETCore使用JWT 什么是JWT? ​ JSON Web Token(简称JWT),是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。 JWT常用于哪些场景? ​ 授权:适用于单点登录。例:当用户登录成功时,服务器会返回一个token给当前登录用户,且用户登录后访问系统的各个模块都应携带该token进行请求,当token过期时,则不允许用户访问系统模块。 ​ 信息交换:jwt是各端(客户端、服务器端)之间安全地传输信息的好方法。因
ASP.NET Core MVC 使用 JWT 的示例
一个九零后程序猿开发日志
07-05 1214
Core MVC 项目。
vue项目+.net core mvc token jwt权限验证
weixin_42524279的博客
05-13 4097
参考: https://www.cnblogs.com/lyl6796910/p/6648891.html https://www.cnblogs.com/lyl6796910/p/6648891.html 1, .net core使用jwt验证 首先创建一个类 JwtSeetings public class JwtSeetings { /// <summary...
.net coreJWT(一)
q3230034的博客
08-02 761
前言 jwt是无状态jwt信息只需要保存在客户端,无状态登录优势:分布式部署,jwt是通过token进行,jwt最重要部分是数字数字签名(VERIFY SIGNATURE),数字签名是通过非对称加密算法RSA,需要通过服务器私钥进行验证,如果私钥不丢失,基本上绝对安全(因为token是明文)。 JWT优缺点 优点:无状态,简单,方便,完美支持分布式部署 非对称加密,Token安全性高 缺点:1:因为是无状态,一经发布无法取消。(无解) 2:明文传递,token安全性低,知识通过base64加密 (使用ht
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值