net WebApi集成JWT实现对接口的鉴权

最新推荐文章于 2024-08-08 20:19:15 发布
最新推荐文章于 2024-08-08 20:19:15 发布
阅读量1.5k 收藏 5
点赞数 1
分类专栏: ASP.NET 文章标签: c# asp.net 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44310519/article/details/105121355
版权

.net WebApi集成JWT实现对接口的鉴权

1.Nuget搜索JWT,安装最新版即可

在这里插入图片描述

1.自定义鉴权所需的对象(贴上我定义的对象,可根据自己的需求进行更改)

    /// <summary>
    /// JWT 签名认证对象、用于签发与校验Token
    /// </summary>
    public class Signature
    {
        /// <summary>
        /// 签发人名称
        /// </summary>
        public const string issName = "Rain.Wang";
        /// <summary>
        /// 构造器
        /// </summary>
        /// <param name="roles"></param>
        /// <param name="iss"></param>
        /// <param name="aud"></param>
        /// <param name="effectiveTime">签名有效时间,分钟</param>
        public Signature(string[] roleIn,string audIn, int effectiveTime) {
            this.role = roleIn;
            this.iss = issName;
            this.aud = audIn;
            //DateTime 转时间戳自行百度
            long time = SystemUtils.timeToTimeSpan(DateTime.Now) ;
            this.iat = time;
            this.exp = time + effectiveTime * 60 * 1000;
        }

        /// <summary>
        /// 用户权限集合
        /// </summary>
        public string[] role { get; set; }

        /// <summary>
        /// jwt的过期时间,时间戳形式
        /// </summary>
        public long exp { get; set; }

        /// <summary>
        /// jwt的签发时间
        /// </summary>
        public long iat { get; set; }

        /// <summary>
        /// jwt的签发人
        /// </summary>
        public string iss { get; set; }

        /// <summary>
        /// jwt的接收人用户名
        /// </summary>
        public string aud { get; set; }


    }

2.JWTUtils(自己封装的JWT工具类)

原始网页参考:https://github.com/jwt-dotnet/jwt

 
    public static class JWTUtils
    {
        /// <summary>
        /// JWT私钥
        /// </summary>
        private  const string secret = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";

        /// <summary>
        /// 生成Token
        /// </summary>
        /// <param name="signature"></param>
        /// <returns></returns>
        public static string  creatToken(Signature signature) {
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serializer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
            var token = encoder.Encode(signature, secret);
            //Console.WriteLine(token);
            return token;
        }

        /// <summary>
        /// 解密Token
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>

        public static String  tokenToSignatureJson(String token) {
            try
            {
                IJsonSerializer serializer = new JsonNetSerializer();
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);

                var json = decoder.Decode(token, secret, verify: true);
                Console.WriteLine(json);
                return json;
            }
            catch (TokenExpiredException)
            {
                Console.WriteLine("Token has expired;"+ "令牌已过期");
                return "fail";
            }
            catch (SignatureVerificationException)
            {
                Console.WriteLine("Token has invalid signature;"+ "令牌的签名无效");
                return "fail";
            }

        }
    }

3.RequestAuthorizeAttribute(接口请求过滤器)

    public class RequestAuthorizeAttribute : AuthorizeAttribute
    {
        /// <summary>
        /// 权限数组
        /// </summary>
        public string[] roles { get; set; }

        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
          
            //从http请求的头里面获取身份验证信息,验证是否是请求发起方的token
            var authorization = actionContext.Request.Headers.Authorization;

            //此接口不需要权限、所有人均可访问
            if (roles == null || roles.Length < 1)
            {
                base.IsAuthorized(actionContext);
            }
            //签名认证信息存在
            else if ((authorization != null) && (authorization.Parameter != null))
            {
                //校验Token是否合法
                if (Authentication(authorization.Parameter))
                {
                    base.IsAuthorized(actionContext);
                }
                else
                {
                    //授权失败
                    HandleUnauthorizedRequest(actionContext);
                }
            }
            //接口需要权限认证,但无Token,返回拒绝响应此请求
            else {
                var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
                bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
                if (isAnonymous) base.OnAuthorization(actionContext);
                else HandleUnauthorizedRequest(actionContext);
            }

        }


        public bool Authentication(String token) {
            try
            {
                //Token校验结果
                string tokenDecrypt = JWTUtils.tokenToSignatureJson(token);
                //token校验失败
                if (tokenDecrypt == "fail")
                {
                    return false;
                }

                else
                {

                    Signature signature = JsonConvert.DeserializeObject<Signature>(tokenDecrypt);

                    //校验签名的有效时间是否合法
                    if (signature.iat > SystemUtils.timeToTimeSpan(DateTime.Now) || signature.exp < SystemUtils.timeToTimeSpan(DateTime.Now))
                    {
                        return false;
                    }

                    else
                    {
                    //此处我为了省事,大家可自定义修改
                        //查询数据库用户中是否存在此授权信息中的用户
                        string sql = "select * from [dbo].[user] where jobNumber=@aud";
                        List<user> listUser = SqlConnectService.select<user>(sql, signature);
                        if (listUser.Count > 0)
                        {
                            //判断该用户是否有访问此接口的权限
                            for (int i = 0; i < this.roles.Length; i++)
                            {
                                if (signature.role.Contains(this.roles[i]))
                                {
                                    return true;
                                }
                            }
                            
                            return false;
                        }
                        else
                        {
                            return false;
                        }
                    }
                }
            }catch(Exception e) {
                Console.WriteLine(e);
                return false;
            }


        }
                       
    }

最后贴上Controller层的代码

  public class DeptController : ApiController
    {
        [HttpGet]
        [RequestAuthorize(roles = new String[] { "admin", "user" })]
        public Object deptSelect() {
            
            return "此接口直服务于 { admin, user }";
        }

        [HttpGet]
        [RequestAuthorize(roles = new String[] { "qq"})]
        public Object deptSelect1()
        {

            return "";
        }

        /// <summary>
        /// 生成Token
        /// </summary>
        /// <returns></returns>
        [HttpGet]
        public IHttpActionResult getToken() {
            Signature signature = new Signature(new String[] { "admin", "user" },"admin",30);
           return Json<String >(JWTUtils.creatToken(signature));
        }

    }

说明:

1.自己先生成Token
2.将Token写入请求头 记住要加 (Bearer )Bearer 后面有个空格!空格!空格!
3.再接口上方添加 [RequestAuthorize]

	代码小白,仅供大家参考,有问题的可以互相交流。
王雨祥
关注
专栏目录
.Net 8.0 Web API下使用JWT登录和鉴权
weixin_51328876的博客
07-05 1317
.Net 8.0 Web API下使用JWT登录和鉴权
WebApi授权拦截——重写AuthorizeAttribute
08-12
webapi重写Authorize的HandleUnauthorizedRequest,让服务端返回json,并且把401改为其他状态码来避免被重定向
NET8中WebAPI使用JWT入门教程
最新发布
郑林的专栏
08-08 967
说明NET8环境中WebAPI中如何使用JWT的入门教程
.NET WebAPI 运用JWT鉴权授权
weixin_65987730的博客
09-05 1281
.NET WebAPI 运用JWT鉴权授权
webapi使用JWT进行授权认证
积跬步,至千里
02-27 5076
1,在asp.net mvc 中常用的是 Cooke+Session 或者 form 认证(实际也是Cooke)的方式,当然都是mvc中在 webapi中也是可以使用的,那么上面的两种方式这里就不多写了,后面有时间写,今天最主要是 JWT的认证方式 2,简单说明一下,JWT是什么。JWT 全称 JSON Web Tokens ,是一种规范化的 token。是对 token 这一技术提出一套规范...
C#】.Net Framework框架使用JWT
小5聊的博客
07-26 6750
本篇文章主要简单讲讲,.Net Framework框架下使用JWT的代码例子,以及他们的基本概念。
ASP.NET FrameWork Web Api JWT Token验证和Attribute拦截器创建和调用Demo
weixin_45381269的博客
10-10 4946
ASP.NET FrameWork Web Api JWT Token验证和Attribute拦截器创建和调用Demo
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
综上所述,这个项目提供了一个完整的示例,展示了如何在.NET6 Web API集成JWT鉴权,并通过Swagger进行接口测试。这对于学习和实践Web API的安全开发具有很高的参考价值。开发者可以根据这个模板进行扩展,添加...
ASP.NET Core WebApi基于JWT实现接口授权验证
跟着阿笨一起玩NET
07-14 1429
一、ASP.Net Core WebApi JWT课程前言 我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给...
SpringBoot集成SpringSecurity和JWT做登陆鉴权实现
08-19
在本文中,我们将深入探讨如何使用SpringBoot与SpringSecurity及JWT(JSON Web Token)结合,以实现登录鉴权功能。SpringBoot因其简化配置和与其他框架的无缝集成,成为了开发小型应用的理想选择。前后端分离的架构...
webapi 身份验证DEMO
12-22
WebApiDemo是webapi摘要验证的demo
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
WebAPI的使用
Kevin's life
03-01 1141
Web API 和 WCF 的比较 WCF特点 1、这个也是基于SOAP的,数据格式是XML 2、这个是Web Service(ASMX)的进化版,可以支持各种各样的协议,像TCP,HTTP,HTTPS,Named Pipes, MSMQ. 3、WCF的主要问题是,它配置起来特别的繁琐 4、它不是开源的,但可以被任意一个了解XML的人使用 5、它可以部署应用程序中或者IIS上或者Windows服务...
ASP.NET Core与Dapper和VS 2017使用JWT身份验证WEB API并在Angular2客户端应用程序中使用它
寒冰屋的专栏
12-14 890
目录 介绍 背景 步骤1 创建ASP.NET Core Web API项目 Fitness.JWT.API项目说明 使用代码 startup.cs JwtIssuerOptions.cs JwtController.cs identity.FindFirst("FitnessJWT") JwtAuthTestController.cs 第2步:Angular2 / 4用于客...
.net MVC下鉴权认证(一)
飞翔的学习笔记
07-31 775
.net MVC下鉴权认证过滤器实现
webapi整合dapper、swagger发布restful风格服务
赵晨的博客
03-08 249
一、NuGet工具下载Dapper、Swashbuckle.AspNetCore.Swagger等相关依赖,创建的项目中会自动生成相关代码,具体配置网上有很多,请自行搜索。 二、使用dapper读取数据库,自动映射到对象中。 /// <summary> /// 读取数据表解释 /// </summary> /// <returns></returns> public List<Comm.
ASP.NET Core 8.0 WebApi 从零开始学习JWT登录认证
qq_44695769的博客
03-14 7250
我一起写后端Api我都是直接裸连的,但是现在为了规范一些,我还是打算上一个JWT功能Jwt其实也不是特别难,就是第一次配置的时候容易被绕晕。Jwt的策略我暂时先跳过了,对于解决普通问题一般来说已经够用了。
JWT - 令牌认证(认证流程和原理、Jwt 工具类、搭配 Redis 使用)
热门推荐
CYK_byte的博客
10-13 1万+
1. 首先前端将用户名和密码发送给后端后端对用户名和密码校验成功后,会将用户 id 和其他信息作为 payload ,然后将其分别进行 Base64 编码,拼接,最后再签名,形成一个 JWT(Token). 形成的 JWT 就形同 xxx.yyy.zzz 这种结构的字符串.http 协议是一种无状态的协议,也就意味着当用户第一次通过用户名和密码登录成功以后,下一次再请求的时候,用户还需要再进行登录才行,因为根据 http 协议,我们不能知道是哪个用户发出的请求.
Spring Boot与JWT-Spring Security实现REST API安全防护
在Spring Boot中,Spring Security是一个强大的安全框架,它可以轻松地与JWT集成实现API鉴权和授权。通过配置Spring Security,我们可以定义哪些URL需要保护,以及如何处理JWT的验证和解析。例如,我们可以创建...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值