ASP.NET Core 8.0 JWT认证和授权

最新推荐文章于 2024-08-29 16:55:30 发布
最新推荐文章于 2024-08-29 16:55:30 发布
阅读量1.3k 收藏 25
点赞数 32
文章标签: asp.net 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44877917/article/details/140609294
版权

1,认证(Authenication)

1.1 基本步骤

  1. 安装相关nuget包:Microsoft.AspNetCore.Authentication.JwtBearer
  2. 准备配置信息
  3. 注册服务
  4. 调用中间件
  5. 实现一个 JwtHelper用于生成Token
  6. 控制器限制访问(添加Authorize标签)

1.2 Nuget 包安装

在控制台中:

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer -v 8.0.7

在包程序中:
image.png

1.3 配置信息

appsettings.json中新增节点信息:

 "JwtConfig": {
   "SecretKey": "jokdsp;fgjsiolepjhgfisroedghrdsoliughdrtiughrdikughdriughiulghrdeilug", // 密钥
   "Audience": "test",
   "Issuer": "test", // 颁发者
   "Expired": 1 // 过期时间(分钟)
 }

新增一个JwtConfig对象类,用于读取配置文件信息

public class JwtConfig {
    /// <summary>
    /// 密钥Key
    /// </summary>
    public string? SecretKey { get; set; }

    /// <summary>
    /// 接收者
    /// </summary>
    public string? Issuer { get; set; }

    /// <summary>
    /// 生效时间(分钟)
    /// </summary>
    public int Expired { get; set; }

    /// <summary>
    /// 颁发者
    /// </summary>
    public string? Audience { get; set; }

    /// <summary>
    /// 生效时间
    /// </summary>
    public DateTime NoteBeofre => DateTime.Now;

    /// <summary>
    /// 过期时间
    /// </summary>
    public DateTime Expiration => DateTime.Now.AddMinutes(Expired);

    /// <summary>
    /// 密钥
    /// </summary>
    public SecurityKey SignKey => new SymmetricSecurityKey(Encoding.UTF8.GetBytes(SecretKey));

    /// <summary>
    /// 加密后的密钥,使用SHA256
    /// </summary>
    public SigningCredentials SigningCredentials => new SigningCredentials(SignKey, SecurityAlgorithms.HmacSha256);
}

1.4 实现 JwtHelper 工具类

主要用于生成和解析 Token

using AuthWebApplication.Config;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text.Json;

namespace AuthWebApplication.Helper {
    public class JwtHelper {
        private JwtConfig _jwtConfig;

        public JwtHelper(JwtConfig config) {
            _jwtConfig = config;
        }


        public string GetAccessToken () {
            var claims = new List<Claim>() { 
                new Claim("UserID", "123456"),
                new Claim("UserName", "Admin")
            };
            var jwtSecurityToken = new JwtSecurityToken(
                    issuer: _jwtConfig.Issuer,
                    audience: _jwtConfig.Audience,
                    claims,
                    notBefore: _jwtConfig.NoteBeofre,
                    expires: _jwtConfig.Expiration,
                    signingCredentials: _jwtConfig.SigningCredentials
                );
            var token = new JwtSecurityTokenHandler().WriteToken(jwtSecurityToken);

            return token;
        }

        public List<Claim> GetClaims (HttpRequest request) {
            var authorization = request.Headers["Authorization"].ToString();
            var auth = authorization.Split(" ")[1];
            var handler = new JwtSecurityTokenHandler();
            //反解密,获取其中的Claims
            var payload = handler.ReadJwtToken(auth).Payload;
            var claims = payload.Claims;
            return claims.ToList();
        }
    }
}

1.5 注册服务和调用中间件

在这里针对services新增一个扩展方法JwtService,用于注册Jwt服务

public static class JwtService {
    public static void AddJwtService(this IServiceCollection services, ConfigurationManager config) {
        var jwtConfig = new JwtConfig();
        // 新增 JwtConfig 节点信息与 JwtConfig对象类做绑定,方便读取数据。
        config.Bind("JwtConfig", jwtConfig);
        services.AddSingleton(jwtConfig);

        // 将 JwtHelper 工具类注册为单例模式
        services.AddSingleton<JwtHelper>();

        services.AddAuthentication(option => {
            // 认证配置
            option.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
            option.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
        })
        .AddJwtBearer(options => {
            options.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters {

                ValidIssuer = jwtConfig.Issuer,             // 发行人
                ValidAudience = jwtConfig.Audience,         // 订阅人
                IssuerSigningKey = jwtConfig.SignKey,       // SecurityKey
                ValidateLifetime = true,                    // 验证Token有效期
                ValidateIssuer = true,                      // 是否验证Issure
                ValidateAudience = true,                    // 是否验证 Audience
                ValidateIssuerSigningKey = true,            // 是否验证SecurityKey
                RequireExpirationTime = true,               // 是否验证失效时间
                ClockSkew = TimeSpan.FromSeconds(30) // 缓冲时间,默认5分钟
            };
        });
    }
}

调用中间件,在Program.cs增加一下代码

// 要在授权之前认证,必须在身份认证中间件之前调用,比如(UserAuthorization)
app.UseAuthentication(); 
app.UseAuthorization();  // 授权

1.6 控制器配置

using AuthWebApplication.Helper;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;

namespace AuthWebApplication.Controllers {

    [ApiController]
    [Route("api/[controller]")]
    public class AccountController : ControllerBase{

        private readonly JwtHelper jwtHelper;
        public AccountController(JwtHelper jwtHelper) {
            this.jwtHelper = jwtHelper;
        }

        [HttpGet("login")]
        public Result Get() {
            
            var token = jwtHelper.GetAccessToken();
            return Result.Success(token);
        }

        [HttpGet("test")]
        [Authorize]
        public Result test () {
            return Result.Success("success");
        }

    }
}

1.7 测试调用

在这里使用ApiFox进行测试,在调用 /api/Account/login 生成 Token
image.png
在调用 /api/Account/GetTest 时传入 test,得到返回结果image.png

2,授权(Authorization)

授权是指用户可以执行那些操作,比如用户是否可以对文档的创建、编辑添加等。
授权(Authorization)认证(Authenication)是相互独立的

2.1 基本属性

Authorize允许经过身份验证的用户访问该组件,AllowAnoymous允许未身份验证的用户访问单个操作。如果 2 个属性结合使用,系统会忽略Authorize属性。
授权规则可以是 Roles(角色),Policy(策略),AuthenticationSchemes(方案)

[Authorize(Roles = "", Policy = "", AuthenticationSchemes = "")]

2.2 授权方式

基本上授权只有:Policy、Role、Scheme 这3种方式,对应 Authorize 标签的3个属性。

2.2.1 Roles 角色授权

基于角色授权,用户拥有这个角色,就能通过授权验证。
在认证时给用户添加相应的Claim,即可表示该用户拥有该角色,一个用户可以拥有多个角色。

new Claim(ClaimTypes.Role, "admin"),
new Claim(ClaimTypes.Role, "user")

ControllerAction

[ApiController]
[Route("api/[controller]")]
[Authorize(Roles = "user")]
public class TestController : ControllerBase{

    private JwtHelper _jwtHelper;
    public TestController(JwtHelper jwtHelper) {  _jwtHelper = jwtHelper; }

    [Authorize(Roles = "admin")]    // 需要用户 user和admin两个角色才可以访问
    [HttpGet("get2")]
    public string Get2 () => "Get2";
    
    [Authorize(Roles = "admin,user")]   // 拥有 admin或user 其中一个角色就能访问
    [HttpGet("get1")]               
    public Result Get1 () => Result.Success("get1");
}
2.2.2 Policy 策略授权

一个Policy可以包含一个或多个要求,可以是Roles匹配,也可以是Claims匹配等。
下面是一个基础案例,添加两个policy

  • policy1,要求Cliams必须包含一个Employee
  • policy2,要求 Claim 必须包含一个 Employee 且值必须要 1,2 或 3 其中的一个。
services.AddAuthorization(options => {
    options.AddPolicy("policy1", x => x.RequireClaim("Employee"));
    options.AddPolicy("policy2", x => x.RequireClaim("Employee", "1", "2", "3"));
});

在控制器或Action上添加标签Authorize即可生效

[Authorize(Policy = "policy1")]
public class PolicyController : ControllerBase

2.3 基于策略 Policy 的自定义授权

在配置中调用AddPolicy来注册策略,在某些情况下,可能无法采用此方式注册所有策略,在这些情况下,可以使用自定义IAuthorizationPolicyProvider来控制如何提供授权策略,比如在运行时使用外部数据源中的信息策略确定授权要求。
授权的主要方式,是通过 Handler程序判断授权,需要实现IAuthorizationHandler接口。
步骤:

  1. 自定义一个 Requirement实现 IAuthorizationRequirement
  2. 自定义 Handler 程序继承 AuthorizationHandler<TRequirement> 并重写HandleRequirementAsync方法。
  3. 实现策略提供的PolicyProvider来动态添加策略。
2.3.1 实现 AuthorizeAttribute

新增属性,继承AuthorizeAttribute为我们添加额外属性来增加自定义授权,属性Policy不可为 null。

public class PermissionAttribute  : AuthorizeAttribute{
    const string _permission = "_auth_permission:";
    public string? per { 
        get {
            return per;    
        } 
        set {
            // Policy 为必须值,在为per更改时,与Policy同步。
            // 如果为null,自定义的策略则不会响应。
            Policy = _permission + value?.ToString();
        } 
    }
    public PermissionAttribute(string per) {
        this.per = per;
    }
    public PermissionAttribute () {
    }
}
2.3.2 实现 Requirement
public class PermissionRequirement : IAuthorizationRequirement{
    public string? per { get; set; }
    public PermissionRequirement(string per) { this.per = per;}
}

属性 per 表示权限名

2.3.3 实现策略提供程序 PolicyProvider

通过配置的方式添加策略不灵活,无法动态添加。通过实现IAuthorizationPolicyProvider并添加到DI中,可实现动态Policy
IAuthorizationPolicyProvider默认实现为DefaultAuthorizationPolicyProvider
实现一个PolicyProvider代码如下:

public class PermissionPolicyProvider : DefaultAuthorizationPolicyProvider,IAuthorizationPolicyProvider {

    // 只能使用一个授权策略,如果自定义实现不处理所有策略,他应该退回到默认实现(在这里继承DefaultAuthorizationPolicyProvider,使用原有的实现。)
    public PermissionPolicyProvider (IOptions<AuthorizationOptions> options) : base(options) {
    }

    public async new Task<AuthorizationPolicy> GetDefaultPolicyAsync () {
        return await base.GetDefaultPolicyAsync ();
    }

    public async new Task<AuthorizationPolicy?> GetFallbackPolicyAsync () {
        return  await base.GetFallbackPolicyAsync();
    }

    // 通过字符串名称进行查找
    public new Task<AuthorizationPolicy?> GetPolicyAsync (string policyName) {

        if(policyName.StartsWith("_auth_permission")){
            var policy = new AuthorizationPolicyBuilder();
            var targetName = policyName.Substring("_auth_permission:".Length);
            policy.AddRequirements(new PermissionRequirement(targetName));
            var build = policy.Build();

            if(build == null) {

            }
            return Task.FromResult(build);
        }

        // 如果名称与期望的格式不匹配,使用默认实现。
        return base.GetPolicyAsync(policyName);
    }
}

**注意:**只会生效最后一个添加的PolicyProvider,自定义 Provider 必须实现IAuthorizationPolicyProvider,否则添加到 DI 不生效。

2.3.4 实现 Handler
public class PermissionAuthorizationHandler : AuthorizationHandler<PermissionRequirement> {
    private ILogger<PermissionAuthorizationHandler> _logger;

    public PermissionAuthorizationHandler(ILogger<PermissionAuthorizationHandler> logger) {
        _logger = logger;
    }   

    Dictionary<string, List<string>> keys = new Dictionary<string, List<string>>() {
        // 为1123 添加test2的查询和添加权限
        {"1123", new List<string> {"test.get", "test.add"} }
    };

    // 检查上下文是否符合给全要求
    protected override Task HandleRequirementAsync (AuthorizationHandlerContext context, PermissionRequirement requirement) {

        var claim = context.User.Claims.FirstOrDefault(x => x.Type == "UserID");
        if(claim == null) {
            _logger.LogWarning("未找到Permission 相关权限。");
            return Task.CompletedTask;
        }

        // 权限判断,可以是外部数据,数据库等权限配置。
        if(!keys.ContainsKey(claim.Value)) {
            context.Fail();
            return Task.CompletedTask;
        }
        var rule = keys[claim.Value].FirstOrDefault(x => x == requirement.per);
        if(rule == null) {
            context.Fail();
            return Task.CompletedTask;
        }

        // 成功
        context.Succeed(requirement);
        // 失败
        //context.Fail();
        return Task.CompletedTask;
    }
}

运行HandleRequirementAsync时, 会将用户的 Claim 中 ClaimType 为 userId 的项取出,检测是否有执行权限。
在 Programe.cs 中,将自定义的 PolicyProvider 和 Handler 添加到DI中:

services.AddSingleton<IAuthorizationPolicyProvider, PermissionPolicyProvider>();
services.AddSingleton<IAuthorizationHandler, PermissionAuthorizationHandler>();
2.3.5 在 Action 或 Controller 中
[ApiController]
[Route("api/[controller]")]
public class Test2Controller : ControllerBase{
    [HttpGet("get")]
    [Permission(per = "test.get")]
    public Result get() => Result.Success("success");

    [HttpGet("add")]
    [Permission(per = "test.add")]
    public Result add () => Result.Success("add");

    [HttpGet("edit")]
    [Permission(per = "test.edit")]
    public Result edit () => Result.Success("edit");
}
2.3.6 测试

在上述案例中,定义只可执行带有test.get``test.add标签的 Action。
image.png
image.png
未定义edit,在访问时会出现 403 未授权。
image.png

2.4 自定义AuthorizationMiddleware

自定义IAuthorizationMiddlewareResultHandler处于授权结果,用于:

  1. 返回自定义的响应
  2. 增强默认质询或禁止响应。
public class SampleAuthorizationMiddlewareResultHandler : IAuthorizationMiddlewareResultHandler
{
    private readonly AuthorizationMiddlewareResultHandler defaultHandler = new();

    public async Task HandleAsync(
        RequestDelegate next,
        HttpContext context,
        AuthorizationPolicy policy,
        PolicyAuthorizationResult authorizeResult)
    {
        // If the authorization was forbidden and the resource had a specific requirement,
        // provide a custom 404 response.
        if (authorizeResult.Forbidden
            && authorizeResult.AuthorizationFailure!.FailedRequirements
                .OfType<Show404Requirement>().Any())
        {
            // Return a 404 to make it appear as if the resource doesn't exist.
            context.Response.StatusCode = StatusCodes.Status404NotFound;
            return;
        }

        // Fall back to the default implementation.
        await defaultHandler.HandleAsync(next, context, policy, authorizeResult);
    }

在 Program.cs 中注册 IAuthorizationMiddlewareResultHandler 的实现:

builder.Services.AddSingleton<
    IAuthorizationMiddlewareResultHandler, SampleAuthorizationMiddlewareResultHandler>();
weixin_44877917
关注
  • 32
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ASP.NET Core认证授权
子昊
01-27 3490
认证 认证是安全体系的第一道屏障。当访问者的请求进入的时候,认证体系通过验证对方提供的凭证来确定它的真实身份。认证体系只有在证实了访问者的真实身份之后才允许它进入。.NET Core提供了多种认证方式。但是它们的实现都是一样的。都是基于同一个认证模型的。 ASP.NET Core认证功能是通过内置的一个认证组件来提供的。这个组件在处理分发给它的请求时会按照指定的认证方案从请求中提取能够验证用户真实身份的数据。我们一般把这种数据称为安全令牌。在ASP.NET Core应用下的安全令牌也叫做认证票据。
ASP NET Core 认证授权 4 JwtBearer认证
qq_43678418的博客
01-20 592
ASP NET Core 认证授权 4 JwtBearer认证
asp.net core api+jwt+swagger CRM管理系统 后台接口
11-29
asp.net core api+jwt+swagger CRM管理系统 后台接口
ASP.NET Core使用JWT认证授权的方法
01-19
demo地址: https://github.com/william0705/JWTS 名词解析 认证 : 识别用户是否合法 授权: 赋予用户权限 (能访问哪些资源) 鉴权: 鉴定权限是否合法 Jwt优势与劣势 优势 1、 无状态 token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , 服务端更容易水平扩展, 由于无状态, 又会导致它最大缺点 , 很难注销 2、 支持跨域访问 Cookie是不允许垮域访问的,token支持 3、 跨语言 基于标准化的 JSON Web Token (JWT) , 不依赖特定某一个语言 , 例如生成的Token可以对多
.NET8发布后,AOT解决了JWT Authentication
dotNET跨平台
11-16 1397
随着.NET8发布,AOT的JWT Authentication也完成了,这样,构建一个基本的AOT API成为了可能,可以把AOT引入到一些简单的API项目中来了。关于AOT的好处,请参照:https://learn.microsoft.com/zh-cn/aspnet/core/fundamentals/native-aot?view=aspnetcore-8.0。下面是一增加JWT Auth...
ASP.NET Core 8.0 WebApi 从零开始学习JWT登录认证
qq_44695769的博客
03-14 7020
我一起写后端Api我都是直接裸连的,但是现在为了规范一些,我还是打算上一个JWT功能Jwt其实也不是特别难,就是第一次配置的时候容易被绕晕。Jwt的策略我暂时先跳过了,对于解决普通问题一般来说已经够用了。
ASP.NET Core高级之认证授权(二)--JWT认证后端完整实现
物联网大联盟
01-10 2719
本文是一个基于JWT认证的完整的前后端实现代码案例。
.Net 8.0 Web API下使用JWT登录和鉴权
weixin_51328876的博客
07-05 1226
.Net 8.0 Web API下使用JWT登录和鉴权
ASP.NET Core 基于JWT认证(二)
weixin_30906701的博客
03-18 190
ASP.NET Core 基于JWT认证(二) 上一节我们对 Jwt 的一些基础知识进行了一个简单的介绍,这一节我们将详细的讲解,本次我们将详细的介绍一下 Jwt在 .Net Core 上的实际运用。 环境 .Net Core 2.2 Visual Studio 2017 ASP.NET Core WebAPI2 在上一篇文章中,我们详细的介绍了JWT的知识,这一次,我们将进行一次实战的...
快速理解ASP.NET Core认证授权
dotNET跨平台
01-04 1705
ASP.NET Core认证授权已经不是什么新鲜事了,微软官方的文档对于如何在ASP.NET Core中实现认证授权有着非常详细深入的介绍。但有时候在开发过程中,我们也往往会感觉无从...
.net core使用Jwt授权验证
l2Hyacinth的博客
10-30 799
最近学习了下.net core使用Jwt授权验证,写个笔记加深印象。.net core中已经集成了Jwt,只需要添加引用即可,比较简单。使用的.net core2.2版本 没有详细解释Jwt相关信息,只做实际应用,网上有很多相关资料 1、创建一个.net core api项目,以下为项目结构 2、项目创建好之后新建一个名为Models的文件夹(存放接口返回统一格式数据的类) ResponseR...
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
.NET Core使用JWT授权鉴权
weixin_49336442的博客
04-01 2801
Microsoft.AspNetCore.Authentication.JwtBearer,可以让应用接收Bearer Token的一个http://ASP.NET Core中间件。AuthenticateController用于实现用户的登陆,生成JWT Token并返回给用户,OrderController用于对用户权限进行测试。
.net core webapi 的 JWT 授权认证
rush_peng的博客
06-12 2255
传统的授权认证: 传统验证基于Cookies和Session;但是由于http是无状态的(第一次和第二次发送的http请求没有任何区别),所以这种模式有很多局限,比如在多服务器集群时就无法使用; 和asp.net相比,core的不同,是在实例化类之前,就先进行身份认证,身份认证完了以后,再完成授权; 基于Token的授权认证 下边是基于token验证的流程图: 授权服务器发送的token由私钥加密; API得到的token,用公钥解密; Token令牌的组成: 最终API如何能确定这个token就是
ASP.NET Core WebAPI中使用JWT Bearer认证授权
dotNET跨平台
12-15 3412
为什么是 JWT BearerASP.NET CoreMicrosoft.AspNetCore.Authentication 下实现了一系列认证, 包含 Cooki...
.NetCore集成JWT(JSON Web Tokens)作为认证方式
学习和分享
08-01 361
在.NET Core中集成JWT(JSON Web Tokens)是一种常见的认证方式,它允许你在用户和服务器之间安全地传输信息。JWT通常用于身份验证和信息交换,因为它们可以被签名和加密。
基于 ASP.NET的教材管理信息系统的设计与实现(最新定制开发,阿龙原创设计)✅
最新发布
程序员阿龙的博客
08-29 1855
​ 博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值