Asp.Net Core 7.0 基于JWT角色权限认证(一)

已于 2023-12-04 13:20:13 修改
阅读量1.5k 收藏 32
点赞数 18
文章标签: .net asp.net 后端
于 2023-11-22 12:57:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63568353/article/details/134548768
版权

背景:

公司的权限认证模块比较老旧,想写一个支持多平台,同一个用户在不同平台拥有不同的角色的功能,本篇文章先基于jwt自定义基本的权限认证。

什么是JWT?

JWT是目前最流行的跨域身份验证解决方案。

JWT的官网地址:https://jwt.io/

通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有访问api的权限。

JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSAECDSA的公钥/私钥对进行签名。

简单介绍一下JWT令牌结构

JSON Web Tokens由 .分隔的三个部分组成,它们是:

  • Header 头
  • Payload 有效载荷
  • Signature 签名

JWT的详情:JWT详情

JWT安装

为了方便,本项目采用仓储模式,由Api,BizManagement,DataBase,Entity 4个模块组成,本次基于Rider开发,通过Nuget包管理器进行安装,如下所示:

项目模块组成: 

依赖组件: 

1. redis (StackExchange.Redis: 2.6.122) 查询全量数据的持久化,token的保存
2. Nlog(5.3.5) 日志记录到文件
3. Bcypt.Net-Next 用于将用户密码加密保存到数据库中
4. Mysql(Pomelo.EntityFrameworkCore.MySql: 7.0.0) 持久化Auth到数据库
5. AutoMapper(12.0.1) 实体映射
6. EFCore(7.0.13) ORM管理
 

代码部分(核心):

1.appsettings.json配置JWT的基本信息
"JWTTokenOptions": {
    "Isuser": "org.huage.auth",
    "Audience": "org.huage.auth",
    "SecurityKey": "nadjhfgkadshgoihfkajhkjdhsfaidkuahfhdksjaghidshyaukfhdjks"
  }
2.Entity模块定义配置信息实体 
//注意这里的属性名称必须和配置信息的Key相同
public class JWTTokenOptions
{
    public string Audience { get; set; }
    public string Isuser { get; set; }
    public string SecurityKey { get; set; }
    
   
}
3.依赖注入,Api模块定义一个ServiceExtension工具类,添加JwtAuthentication方法
public static void JwtAuthentication(this WebApplicationBuilder builder)
    {
        JWTTokenOptions tokenOptions = new JWTTokenOptions();//初始化
        builder.Configuration.Bind("JWTTokenOptions", tokenOptions);
        builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
            .AddJwtBearer(options =>
            {
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    //JWT有一些默认的属性,就是给鉴权时就可以筛选了
                    ValidateIssuer = true, //是否验证Issuer
                    ValidateAudience = true, //是否验证Audience
                    ValidateIssuerSigningKey = true, //是否验证SecurityKey
                    ValidAudience = tokenOptions.Audience,
                    ValidIssuer = tokenOptions.Isuser, //Issuer,这两项和前面签发jwt的设置一致
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(tokenOptions.SecurityKey))
                };
            });
    }
4.Program.cs中注入
builder.JwtAuthentication();
builder.Services.AddTransient<IJwtService,JwtService>();
//注册过滤器
builder.Services.AddControllers(o =>
{
    o.Filters.Add<YesAttribute>();
});
5.写JWT服务,主要包含生成token,验证token两个方法
接口:IJwtService
public interface IJwtService
{
    Task<string> GetToken(UserModel userModel);

    Task<List<string>> AnalysisToken(string token);

    Task<JwtSecurityTokenHandler> VerifyToken(string token);
}
 实现类:JwtService
public class JwtService : IJwtService
{
    private readonly IConfiguration _configuration;
    private readonly IHttpContextAccessor _httpContextAccessor;
    private readonly IRedisManager _redisManager;
    private readonly IUserManager _userManager;
    private readonly ILogger<JwtService> _logger;

    public JwtService(IConfiguration configuration, IHttpContextAccessor httpContextAccessor,
        IRedisManager redisManager, IUserManager userManager, ILogger<JwtService> logger)
    {
        _configuration = configuration;
        _httpContextAccessor = httpContextAccessor;
        _redisManager = redisManager;
        _userManager = userManager;
        _logger = logger;
    }

    public async Task<string> GetToken(int organizationId, UserModel dto)
    {
        var jwtTokenOptions = _configuration.GetSection("JWTTokenOptions").Get<JWTTokenOptions>();

        SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtTokenOptions.SecurityKey));

        //查询用户的角色
        var role = await _userManager.QueryRoleByUserIdAsync(organizationId, dto.Id);
        var roleNames = role.RoleModels.Select(_ => _.Name).ToList();
        var roleString = string.Join(",", roleNames);
        //new Claim("Expiration", expiresAt.ToString())
        IEnumerable<Claim> claims = new Claim[]
        {
            new Claim("UserName", dto.UserName),
            new Claim("Role", roleString)
        };

        var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        //expires: expiresAt, //60分钟有效期
        var token = new JwtSecurityToken(
            issuer: jwtTokenOptions.Isuser,
            audience: jwtTokenOptions.Audience,
            claims: claims,
            notBefore: DateTime.Now, //立即生效  DateTime.Now.AddMilliseconds(30),//30s后有效
            signingCredentials: creds);

        string returnToken = new JwtSecurityTokenHandler().WriteToken(token);

        //存到redis当中
        var dataBase = await _redisManager.SwitchDataBase(1);
        dataBase.StringSet(dto.Id.ToString(), returnToken, TimeSpan.FromMinutes(60));

        return returnToken;
    }

    /// <summary>
    /// 每次登录后刷新token有效时间。
    /// </summary>
    /// <param name="id"></param>
    /// <param name="token"></param>
    /// <returns></returns>
    public async Task<bool> RefreshToken(string id)
    {
        var dataBase = await _redisManager.SwitchDataBase(1);
        dataBase.KeyExpire(id, TimeSpan.FromMinutes(60));
        return true;
    }

    /// <summary>
    /// 解析token,拿到权限信息。
    /// </summary>
    /// <param name="token"></param>
    /// <returns></returns>
    public async Task<List<string>> AnalysisToken(string token)
    {
        try
        {
            //校验token
            var claimsPrincipal = await VerifyToken(token);

            //拿到claims
            var jwtSecurityToken = claimsPrincipal.ReadJwtToken(token);
            //拿到权限列表
            var roleString = jwtSecurityToken.Claims.FirstOrDefault(c => c.Type == "Role")?.Value;
            var roleList = roleString!.Split(",").ToList();
            return roleList;
        }
        catch (Exception e)
        {
            _logger.LogError($"AnalysisToken occur exception:{e.Message}");
            throw;
        }
    }

    /// <summary>
    /// 校验token 的有效性
    /// </summary>
    /// <param name="token"></param>
    public async Task<JwtSecurityTokenHandler> VerifyToken(string token)
    {
        var jwtTokenOptions = _configuration.GetSection("JWTTokenOptions").Get<JWTTokenOptions>();
        var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtTokenOptions!.SecurityKey));
        //校验token  ValidateLifetime = true,ClockSkew = TimeSpan.Zero //校验过期时间必须加此属性
        var validateParameter = new TokenValidationParameters()
        {
            ValidateAudience = true,
            ValidateIssuer = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = jwtTokenOptions.Isuser,
            ValidAudience = jwtTokenOptions.Audience,
            IssuerSigningKey = securityKey,
        };

        try
        {
            var tokenHandler = new JwtSecurityTokenHandler();
            //校验是否合法
            tokenHandler.ValidateToken(token, validateParameter, out SecurityToken _);
            return tokenHandler;
        }
        catch (Exception e)
        {
            _logger.LogError("Token invalid.");
            throw;
        }
    }
}

6. 自定义特性Attribute和实现过滤器(注册过滤器在第四步一起)
using System.Reflection;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Controllers;
using Microsoft.AspNetCore.Mvc.Filters;
using org.huage.AuthManagement.BizManager.service;

namespace org.huage.AuthManagement.Api.Auth;

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class YesAttribute : Attribute,IAuthorizationFilter
{
    public string Roles { get; set; }

    public YesAttribute()
    {
    }

    //自定义权限认证
    public async void OnAuthorization(AuthorizationFilterContext context)
    {
        //如果不携带这个参数则不校验
        if (! context.ActionDescriptor.EndpointMetadata.Any(item => item is YesAttribute))
        {
            return;
        }
        //如果方法标有AllowAnonymousAttribute则跳过权限检查
        if (context.ActionDescriptor.EndpointMetadata.Any(item => item is AllowAnonymousAttribute))
        {
            return;
        }
        //拿到token
        string userToken = context.HttpContext.Request.Headers["token"].ToString(); //获取token
        if (string.IsNullOrEmpty(userToken))
        {
            context.Result = new ContentResult() { StatusCode = 403, Content = "Headers no token,please check." };  //没有Cookie则跳转到登陆页面
            return;
        }
        else
        {
            //拿到jwt服务来校验
            var jwtService = context.HttpContext.RequestServices.GetService<IJwtService>();
            //解析token,拿到role集合。
            var roles =await jwtService!.AnalysisToken(userToken);
            if (! roles.Any())
            {
                context.Result = new ContentResult() { StatusCode = 401, Content = "Please check the roles you owned." };
                return;
            }
            //获取attribute的roles;
            var methodInfo = ((ControllerActionDescriptor)context.ActionDescriptor).MethodInfo;
            var attribute = methodInfo.GetCustomAttribute<YesAttribute>();
            if (attribute ==null)
            {
                context.Result = new ContentResult() { StatusCode = 401, Content = "Please check the roles you owned." };   
                return;
            }
            
            var attributeRoles = attribute.Roles;
            var a = attributeRoles.Split(",").ToHashSet();
            var of = roles.ToHashSet().IsSupersetOf(a);
            if (!of)
            {
                context.Result = new ContentResult() { StatusCode = 401, Content = "You don't have this role" };
            }
        }
       
    }
}
7.测试,在AuthenticationController中定义Login()和Test()
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using org.huage.AuthManagement.Api.Auth;
using org.huage.AuthManagement.BizManager.Helper;
using org.huage.AuthManagement.BizManager.Redis;
using org.huage.AuthManagement.BizManager.service;
using org.huage.AuthManagement.Entity.Managers;
using org.huage.AuthManagement.Entity.Request;
using StackExchange.Redis;

namespace org.huage.AuthManagement.Api.Controllers;

[ApiController]
[Route("/[controller]/[action]")]
public class AuthenticationController : Controller 
{
    private readonly ILogger<AuthenticationController> _logger;

    private readonly IJwtService _jwtService;
    private readonly IUserManager _userManager;
    private readonly IRedisManager _redisManager;
    public AuthenticationController(IJwtService jwtService, IUserManager userManager, IRedisManager redisManager, ILogger<AuthenticationController> logger)
    {
        _jwtService = jwtService;
        _userManager = userManager;
        _redisManager = redisManager;
        _logger = logger;
    }

    /// <summary>
    /// 过去时间由redis控制,不再jwt里面设置,不好refresh 时间
    /// </summary>
    /// <param name="request"></param>
    /// <returns></returns>
    [HttpPost]
    [AllowAnonymous]
    public async Task<string> Login(LoginRequest request)
    {
        if (string.IsNullOrEmpty(request.Phone) || string.IsNullOrEmpty(request.PassWord))
            return "Account and Password is must.";

        string userId = "";
        IDatabase dataBase =null;
        try
        {
            //查询数据库校验参数
            var user = await _userManager.QueryUserByPhone(request.Phone);
            
            userId = user.Id.ToString();
            //密码加密
            var realPwd = PwdBCrypt.Encryption(request.PassWord);
            if (!user.Phone.Equals(request.Phone) || !user.PassWord.Equals(realPwd))
            {
                return "Account or Password wrong.";
            }

            //切库,token专门设立一个库
            dataBase = await _redisManager.SwitchDataBase(1);
            
            var x = await dataBase.StringGetAsync(userId);
            var token=x.ToString();
            if (string.IsNullOrEmpty(token))
            {
                //首次登录 ,生成token
                token = await _jwtService.GetToken(request.OrganizationId,user);
            }
            else
            {
                //校验token
                await _jwtService.VerifyToken(token);
                //刷新过期时间
                await _jwtService.RefreshToken(userId);
            }
            
            //将token 放到请求头
            Response.Headers.Add(new KeyValuePair<string, StringValues>("Authorization",token));
            
            return "Login success.";
        }
        catch (Exception e)
        {
            //删除token
            await dataBase.KeyDeleteAsync(userId);
            return "Login credentials have expired, please log in again";
        }
    }

    /// <summary>
    /// 加载页面的时候调用这个方法,然后判断是否有token.
    /// </summary>
    [HttpGet]
    public async Task<bool> NoPwdLogin()
    {
        try
        {
            //无密码登录,解析token信息
            string userToken = Request.Headers["token"].ToString();
            await _jwtService.AnalysisToken(userToken);
            return true;
        }
        catch (Exception e)
        {
            _logger.LogWarning("user token is valid,please login.");
            return false;
        }
    }


    /// <summary>
    /// 退出登录
    /// </summary>
    /// <param name="userId"></param>
    /// <returns></returns>
    [HttpGet]
    public async Task<IActionResult> Logout(int userId)
    {
        //删除redis中的token,页面跳转到登录页面
        await _redisManager.HashDeleteFiled(RedisKeyGenerator.UserToken(), userId.ToString());
        //页面跳转
        return new RedirectResult("/index/login");
    }

    [HttpGet]
    [Yes(Roles = "admin")]
    public void Test()
    {
        Console.WriteLine("in");
    }
}
先登录成功后,再调用Tes()方法,在请求头中携带上token参数   
     

其余辅助代码:

1. 登录密码加密:
(注意这里存在的坑,自定义Salt会出现BCrypt.Net.SaltParseException: Invalid salt version,随意可以先BCrypt.Net.BCrypt.GenerateSalt(),拿到salt后设置常量。)
public static class PwdBCrypt
{
    private const string PwdSalt = "$2a$11$jY8wPl8a0t6vaSQDz/Y1KO";
    
    /// <summary>
    /// 给密码加密
    /// </summary>
    /// <param name="pwd"></param>
    /// <returns></returns>
    public static string Encryption(string pwd)
    {
        return BCrypt.Net.BCrypt.HashPassword(pwd,PwdSalt);
    }
}

本篇文章只是简单实现JWT加过滤器的基本权限认证,后续会扩展为基于组织,用户,角色,权限模式的认证模式。

Remark:源代码正在整理,后续贴上。

无灵的说
关注
.Net Core 集成JWT授权验证 从页面到API详解
商务合作 / 项目定制 / 学习交流。个人vx:lovely_wml
12-06 2457
.Net Core集成JWT授权验证,创建项目、配置项目、控制器页面、页面提交、API处理全过程详解
课程3:ASP.NET Core 身份验证 - Cookie
成长的足迹
04-19 1350
身份验证在MSDN叫做Authorization,其目的就是验证Http请求,只有验证通过,才能访问特定的资源。 在Asp.Net Core提供非常多的Authorization方式。 在MSDN官方文档,我们也可以看到有以下的验证方式【截图是Asp.Net Core 7.0,各个版本有差异】:今天我们重点来,讲解Cookies验证,这是我们比较经常用到的方式之一。
JWT认证
Yietong的博客
10-12 1813
上面我们都是基于auth_user表去做签发认证的,但是我们日常基本程序都是自定义的表来做认证,所以我们来试试自定义user表models.pyviews.py# # 登录后才能访问,加一个认证类,# # 使用jwt提供的认证类必须要配合权限类使用## 自定义的用户签发tokentry:# 根据user签发token【三部分,头,荷载,签名】# 使用jwt模块签发token的函数,生成token。
c# .net core项目中使用JWT进行权限校验
最新发布
weixin_40970711的博客
08-14 257
简介JWT(JSON Web Token)是一种开放标准(RFC 7519),它提供了一种在网络应用间安全传输信息的简洁、自包含的方式。JWT主要用于身份验证和授权机制,是一种轻量级的、可扩展的、自包含的身份验证和授权解决方案。以下是JWT的详细介绍:JWT的组成JWT由三部分组成:头部(Header)、载荷(Payloa...
Asp.Net Core 7.0 基于JWT组织用户角色权限认证(二)
weixin_63568353的博客
11-24 255
上一篇我们已经完成了权限校验以及授权的部分,本篇接下来我们分析一下如何基于组织用户角色进行权限管理。在本项目中,支持建立多组织,同一用户支持在不同组织下授予不同的角色。由于本人是新人,如果有好的见解或者看法欢迎和我沟通,互相学习进步。
.NET 7 的 JWT 配置太方便了!
zls365365的博客
07-06 254
微软宣布 .NET 7 preview5 有一些较大的改进, 包括 JWT 身份验证的简化和自动配置。我安装了 preview 5 尝试了新的 JWT 身份配置。如果您想把现有的项目更新到 .Net 7 preview 5, 下面是一个快速更新的命令。UpdateallMicrosoft.AspNetCore.*packagereferencesto7.0.0...
ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
dotNET跨平台
08-23 1586
目录① 存储角色/用户所能访问的 API② 实现 IAuthorizationRequirement 接口③ 实现 TokenValidationParameters④ ...
使用OAuth2客户端凭据保护的ASP.NET Core WebAPI
04-11
标题中的“使用OAuth2客户端凭据保护的ASP.NET Core WebAPI”指的是在ASP.NET Core构建的Web API服务中,通过OAuth2的客户端凭据(Client Credentials)授权模式来实现安全控制。OAuth2是一种授权框架,它允许第三方...
ASP.NET Core 2.2 官方教程,netcore入门教程,C#
09-11
ASP.NET Core 2.2是微软推出的一款开源、跨平台的Web应用开发框架,它基于.NET Core,旨在提供高效、可移植、模块化的应用程序构建能力。这个官方教程为开发者提供了全面的学习资源,无论你是初学者还是有经验的.NET...
.net core 网站微信登录
siwegeshi的博客
09-28 1165
1.通过代码容器绘制二维码 <div id="light" class="white_content"> <div id="login_container" style="position:absolute;left:16%;"></div> <a href="javascript:void(0)" onclick="closeDialog()" style="float:right;">关闭</a></div> <d
详解.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute)
10-17
主要介绍了.Net Core 权限验证与授权(AuthorizeFilter、ActionFilterAttribute),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
.NET7之MiniAPI(特别篇) :Preview5优化了JWT验证(上)
dotNET跨平台
06-23 583
.NET7的Preview5中,优化了asp.net core中的JWT验证,不用像以前繁琐了,更重要的是带来了一组生成Token的工具,可以让开发人员或测试人员不需登录获取Token,而达到测试的目的。创建项目现在来看一下怎么使用,首选创建项目,/是无验证,/myhome是有验证varbuilder=WebApplication.CreateBuilder(ar...
JWT权限验证
weixin_53216033的博客
06-29 1068
JWT,全称JSON Web Tokens,是一种开放标准(RFC 7519)定义的方式,用于在双方之间安全地传输信息。这些信息可以包括用户的身份信息、角色权限等。JWT通过编码、签名等方式保证传输的信息的安全性和可验证性。JWT不是一种只能做权限验证的工具,而是一种标准化的数据传输规范,所以只要是在系统之间进行简短而又需要一定安全保护的数据传输都可以使用JWT规范来传输。而规范是不受平台限制的,所以JWT是可以跨平台使用的。在JWT中,Claim(生称)的用途主要是存储和传递用户身份信息和其他相关数据。
权限验证-JWT认证
Hello_super的博客
06-11 1235
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
.net core权限认证
weixin_33816821的博客
07-11 832
在Startup类中添加授权和验证的注入对象和中间件1.在ConfigureServices方法注入对象//验证注入 services.AddAuthentication ( opts=>opts.DefaultScheme=Microsoft.AspNetCore.Authentication.Cookies.CookieAuthenticationDefaul...
springBoot 的jwt实现权限认证
qq_45515347的博客
08-27 3289
jwt原理以及使用springboot实现一个简单实例
Jwt添加用户角色
世界既不黑也不白,而是一道精致的灰。
08-23 1106
Jwt添加用户角色 1.打开authoricate控制器 2.找到登陆api,接下来会将身份角色加入到claim中 一.claim解析 2.api的权限就是根据claim要求 //1.确定你是不是你也就是登陆,是有航空公司决定的,确定你后,发放登机牌 //2.确定你能坐什么舱是机组人员的来决定的 //3.登陆和授权严格区分 1.这样登陆和授权分开,就不用再验证发生改变后,也改变授权了 2.claim是对于所有身份验证体系而言,jwt只是其中一个应用 二.角色的使用 var cl
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值