.Net Core 配置JWT鉴权

于 2024-07-03 11:33:06 发布
阅读量905 收藏 16
点赞数 22
文章标签: .netcore
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54629917/article/details/140143851
版权

引言

在现代Web应用中,安全地验证用户身份是至关重要的。JSON Web Tokens(JWT)作为一种流行的无状态身份验证机制,提供了一种安全、高效的方式来处理分布式系统中的用户认证问题。本文将详细探讨如何在.NET Core应用程序中配置和使用JWT进行身份验证。

理解JWT

JWT是一种紧凑且自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。它可用于身份验证和信息交换,具有以下特点:

  • 无状态和可扩展性:JWT 不依赖于服务器存储会话信息,易于在分布式系统中扩展。
  • 跨域认证:JWT 可以轻松地在不同域之间传递,适用于单点登录(SSO)场景。
  • 安全性:使用强加密算法确保令牌的安全性。
  • 自包含:令牌内包含所有用户状态信息,无需查询数据库。

前提条件

在开始之前,请确保环境中已安装了以下工具和库:

  • .NET Core SDK
  • Visual Studio Code或Visual Studio
  • NuGet包管理器
  • JWT相关库,如System.IdentityModel.Tokens.JwtMicrosoft.IdentityModel.Tokens

步骤1:配置JWT认证服务

首先找到项目中的Startup.cs 进行配置JWT认证服务

services.AddSwaggerGen(c =>
            {
                //向 API 文档中的响应(Response)中添加自定义的响应头(Response Headers)
                c.OperationFilter<AddResponseHeadersFilter>();
                //向 API 文档中的每个 API 操作的摘要(Summary)中添加授权信息(Authorization)
                c.OperationFilter<AppendAuthorizeToSummaryOperationFilter>();
                //向 API 文档中的每个 API 操作添加安全要求(Security Requirements)
                c.OperationFilter<SecurityRequirementsOperationFilter>("Bearer");//安全定        义名
//添加安全定义
                c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
                {
                    In = ParameterLocation.Header,
                    Type = SecuritySchemeType.ApiKey,
                    Description = "直接在下框中输入Bearer {token}(注意两者之间是一个空格)",
                    Name = "Authorization",
                    BearerFormat = "JWT",
                    Scheme = "Bearer"
                });
                //添加安全要求
                c.AddSecurityRequirement(new OpenApiSecurityRequirement
                {
                  {
                    new OpenApiSecurityScheme
                    {
                      Reference=new OpenApiReference
                      {
                        Type=ReferenceType.SecurityScheme,
                        Id="Bearer"
                      },
                      /*Scheme="Bearer",
                      BearerFormat = "JWT",
                      Name = "Authorization",
                      In = ParameterLocation.Header,
                      Type=SecuritySchemeType.ApiKey,*/
                    },
                    new string[] {}
                  }
                });
    

            });



#region JWT
            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                .AddJwtBearer(options =>
                {
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidateIssuerSigningKey = true,
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration.GetSection("JwtAuthorize:Secret")?.Value ?? "")),//"SDMC-CJAS1-SAD-DFSFA-SADHJVF"
                        ValidateIssuer = true,
                        ValidIssuer = Configuration.GetSection("JwtAuthorize:Issuer")?.Value ?? "",
                        ValidateAudience = true,
                        ValidAudience = Configuration.GetSection("JwtAuthorize:Audience")?.Value ?? "",
                        ValidateLifetime = true,
                        ClockSkew = TimeSpan.FromDays(1)//令牌失效时间
                    };
                });
            #endregion

步骤2:配置JWT认证服务

 找到Configure添加鉴权

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            app.UseAuthentication();//添加鉴权
            app.UseAuthorization();
        }

步骤3:创建身份验证控制器

创建一个控制器来处理登录并发放JWT(这里只做简易测试 后续根据自己业务存储一些用户基本信息):

    [Authorize]
    [ApiController]
    [Route("api/[Controller]/[action]")]
    public class SupplierController : BaseController
{
    
            //这里生成了Token
        [AllowAnonymous] //跳过授权验证
        [HttpPost]
        public async Task<string> GetTokenTest()
        {
            //登录成功
            var claims = new Claim[]
            {
                    /*new Claim(ClaimTypes.Name,writer.WriteName),
                    new Claim("ID",writer.ID.ToString()),
                    new Claim("UserName",writer.WriteLoginName),*/
            };
            //issuer代表颁发Token的Web应用程序,audience是Token的受理者
            var token = new JwtSecurityToken(
                issuer: _configuration.GetSection("JwtAuthorize:Issuer")?.Value ?? "",
                audience: _configuration.GetSection("JwtAuthorize:Audience")?.Value ?? "",
                claims: claims,
                notBefore: DateTime.Now,
                expires: DateTime.Now.AddDays(1),//token有效时间
                signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration.GetSection("JwtAuthorize:Secret")?.Value ?? "")), SecurityAlgorithms.HmacSha256)
            );
            var jwtToken = new JwtSecurityTokenHandler().WriteToken(token);
            return jwtToken;
        }

}

生成了Token后再增加一个接口用于测试授权

        //[AllowAnonymous] 没有这个的话就需要进行授权验证通过后才可调用到接口
        [HttpPost]
        public async Task<string> getTk(int id)
        {
            return "";
        }

运行项目后调用该接口后得到的结果如下:

401错误场景

1. 用户未登录,代码报401,应该回到登录页

2. 登录用户的token过期 

步骤4:测试JWT鉴权

由此可见,这个就需要用户登录后的Token信息 或者Token过期了 那么就没有权限访问了。

所以在这之前需要模拟登录操作得到Token返回给前端进行存储

调用GetTokenTest方法获取Token

得到Token后就需要在需要访问调用的接口下增加Authorization,下面使用PostMan测试工具再次测试getTK这个接口方法看能否成功调用

 

结论

通过上述步骤,成功在.NET Core应用程序中配置了JWT鉴权。JWT提供了一种灵活、安全的方式来处理身份验证和授权,适用于需要高扩展性和安全性的Web应用。

谌vv
关注
  • 22
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于JWT.NET的使用(详解)
08-28
下面小编就为大家分享一篇基于JWT.NET的使用详解,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
.net 使用jwt进行身份认证
m0_47659279的博客
09-10 4779
什么是身份认证和鉴权 举个例子 假设有这么一个小区,小区只允许持有通行证的人进入,陌生人如果想直接进入小区会被保安拦住,他必须先办理通行证才会被允许进入 类比身份认证和鉴权体系 一个人要访问我的一个机密的接口,我首先需要知道你是谁,搞清楚你是谁的过程就是身份认证,如果我搞不清楚你是谁,那你就是陌生人,身份认证失败。 身份认证通过,并不一定就允许访问我的机密的接口,因为身份认证只是让我知道了你是谁,但是我还不知道你有没有访问我接口的权限,因此还需要进行鉴权鉴权就是在身份认证的基础上来查阅你是否有访问某接口
JWT.NET的使用
songjuntao8的专栏
02-23 1537
JWT.NET的使用 JWT是什么 JWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为一个开放的标准(RFC 7519),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 JWT的结构 JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signatur...
【C#】.Net Framework框架使用JWT
最新发布
小5聊的博客
07-26 5876
本篇文章主要简单讲讲,.Net Framework框架下使用JWT的代码例子,以及他们的基本概念。
.NET三种开源的jwt组件
软件开发学习交流
01-04 849
JWT验证是现在比较流行的验证方式,在分布式网站中比较常用,它是替代传统session、cookie等传统验证比较优先的一种方式。.NET也对JWT支持,并有自己的原生组件。.NET 平台上有许多开源的 jwt(JSON Web Token)组件可供选择。本文将介绍三种开源的jwt组件,供大家使用参考
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
综上所述,这个项目提供了一个完整的示例,展示了如何在.NET6 Web API中集成JWT鉴权,并通过Swagger进行接口测试。这对于学习和实践Web API的安全开发具有很高的参考价值。开发者可以根据这个模板进行扩展,添加...
ASP.NET Core学习之使用JWT认证授权详解
12-16
概述 认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, ...
ASP.NET Core使用JWT认证授权的方法
01-19
鉴权: 鉴定权限是否合法 Jwt优势与劣势 优势 1、 无状态 token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , 服务端更容易水平扩展, 由于无状态, 又会导致它最大缺点 , 很难注销 2...
.net core webapi jwt 更为清爽的认证详解
10-16
主要介绍了.net core webapi jwt 更为清爽的认证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
【ASP.NET编程知识】ASP.NET Core学习之使用JWT认证授权详解.docx
05-15
ASP.NET Core 使用 JWT 认证授权详解 在 ASP.NET Core 中,使用 JWT(JSON Web Token)认证授权是一种常见的身份验证方式。本文将详细介绍 JWT 的优势和劣势,以及在 ASP.NET Core 中如何集成 JWT 认证。 认证和...
.net6 基本使用JWT生成Token,模拟用户登录,启动api授权,需要登录携带token才能请求数据,基本给用户添加权限管理
热门推荐
weixin_44442366的博客
04-07 1万+
1. 创建好项目,添加一个控制器,新建用户登录api接口和接收用户登录信息类Dto Dto就包含两个字段,账号和密码 2. 安装NuGet包,搜索JWT,安装图下这个包 3. 在appsettings.json添加JWT加密需要的私钥,发布者等相关配置信息,私钥用户可以自定义。 私钥:SecretKey 发布者:Issuer 接收者:Audience "Authentication": { "SecretKey": "nadjhfgkadshgoihfkajhkjdhsfaidkuahfh
如何简单的在 ASP.NET Core 中集成 JWT 认证?
dotNET跨平台
07-31 5538
前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相...
.net core的使用JWT身份认证模式
山鹰的专栏
12-11 5047
1.使用JWT身份认证模式,引入库:IdentityServer4.AccessTokenValidation 2.在StartUp.cs中添加加密秘钥串: public static readonly SymmetricSecurityKey symmetricKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes("need_to_ge...
.net core 3.1 使用jwt完成登录验证
qq_26900081的博客
01-14 1万+
nuget安装:Microsoft.AspNetCore.Authentication.JwtBearer 3.1.0 版本 一、添加配置文件 "Authentication": { "JwtBearer": { "IsEnabled": "true", "SecurityKey": "Demo_C421AAEE0D114E9C1", "Iss...
NETCore中使用JWT
qq_40600379的博客
07-03 8569
NETCore中使用JWT 什么是JWT? ​ JSON Web Token(简称JWT),是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。 JWT常用于哪些场景? ​ 授权:适用于单点登录。例:当用户登录成功时,服务器会返回一个token给当前登录用户,且用户登录后访问系统的各个模块都应携带该token进行请求,当token过期时,则不允许用户访问系统模块。 ​ 信息交换:jwt是各端(客户端、服务器端)之间安全地传输信息的好方法。因
MVC中JWT.Net的使用
GISer修炼空间
04-21 4401
1、JWT 1.1 基于 Token 的身份验证方法 使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local St...
ASP.Net Core 3.1 中使用JWT认证(笔记)
Kilven
05-01 4667
一、JWT原理: 1、传统的登录方式:浏览器输入用户名密码,服务器端检验通过后,根据用户信息生成一个token,将token和userID存到数据库或者session中,并将token返回给前端存入cookie。之后客户端访问时会带上cookie中的信息,服务端根据客户端提供的信息对比来验证登录的客户有效性。 存在弊端:问题1:如果出现XSS(Cross-Site Scripting)跨站请求...
asp.netJWT来实现token以此取代Session
weixin_33691817的博客
03-31 514
先说一下为什么要写这一篇博客吧,其实个人有关asp.net 会话管理的了解也就一般,这里写出来主要是请大家帮我分析分析这个思路是否正确。我以前有些有关Session的也整理如下: 你的项目真的需要Session吗? redis保存session性能怎么样? asp.net mvc Session RedisSessionStateProvider锁的实现 用redis来实现Session保存的一个...
JWT来保护我们的ASP.NET Core Web API
weixin_34273479的博客
11-13 215
  在上一篇博客中,自己动手写了一个Middleware来处理API的授权验证,现在就采用另外一种方式来处理这个授权验证的问题,毕竟现在也 有不少开源的东西可以用,今天用的是JWT。   什么是JWT呢?JWT的全称是JSON WEB TOKENS,是一种自包含令牌格式。官方网址:https://jwt.io/,或多或少应该都有听过这个。   先来看看下面的两个图:   站点是通过R...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值