Asp.Net Core 7.0 基于JWT角色权限认证(一)

已于 2023-12-04 13:20:13 修改
阅读量1.4k 收藏 32
点赞数 18
文章标签: .net asp.net 后端
于 2023-11-22 12:57:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63568353/article/details/134548768
版权

背景:

公司的权限认证模块比较老旧,想写一个支持多平台,同一个用户在不同平台拥有不同的角色的功能,本篇文章先基于jwt自定义基本的权限认证。

什么是JWT?

JWT是目前最流行的跨域身份验证解决方案。

JWT的官网地址:https://jwt.io/

通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有访问api的权限。

JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSAECDSA的公钥/私钥对进行签名。

简单介绍一下JWT令牌结构

JSON Web Tokens由 .分隔的三个部分组成,它们是:

  • Header 头
  • Payload 有效载荷
  • Signature 签名

JWT的详情:JWT详情

JWT安装

为了方便,本项目采用仓储模式,由Api,BizManagement,DataBase,Entity 4个模块组成,本次基于Rider开发,通过Nuget包管理器进行安装,如下所示:

项目模块组成: 

依赖组件: 

1. redis (StackExchange.Redis: 2.6.122) 查询全量数据的持久化,token的保存
2. Nlog(5.3.5) 日志记录到文件
3. Bcypt.Net-Next 用于将用户密码加密保存到数据库中
4. Mysql(Pomelo.EntityFrameworkCore.MySql: 7.0.0) 持久化Auth到数据库
5. AutoMapper(12.0.1) 实体映射
6. EFCore(7.0.13) ORM管理
 

代码部分(核心):

1.appsettings.json配置JWT的基本信息
"JWTTokenOptions": {
    "Isuser": "org.huage.auth",
    "Audience": "org.huage.auth",
    "SecurityKey": "nadjhfgkadshgoihfkajhkjdhsfaidkuahfhdksjaghidshyaukfhdjks"
  }
2.Entity模块定义配置信息实体 
//注意这里的属性名称必须和配置信息的Key相同
public class JWTTokenOptions
{
    public string Audience { get; set; }
    public string Isuser { get; set; }
    public string SecurityKey { get; set; }
    
   
}
3.依赖注入,Api模块定义一个ServiceExtension工具类,添加JwtAuthentication方法
public static void JwtAuthentication(this WebApplicationBuilder builder)
    {
        JWTTokenOptions tokenOptions = new JWTTokenOptions();//初始化
        builder.Configuration.Bind("JWTTokenOptions", tokenOptions);
        builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
            .AddJwtBearer(options =>
            {
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    //JWT有一些默认的属性,就是给鉴权时就可以筛选了
                    ValidateIssuer = true, //是否验证Issuer
                    ValidateAudience = true, //是否验证Audience
                    ValidateIssuerSigningKey = true, //是否验证SecurityKey
                    ValidAudience = tokenOptions.Audience,
                    ValidIssuer = tokenOptions.Isuser, //Issuer,这两项和前面签发jwt的设置一致
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(tokenOptions.SecurityKey))
                };
            });
    }
4.Program.cs中注入
builder.JwtAuthentication();
builder.Services.AddTransient<IJwtService,JwtService>();
//注册过滤器
builder.Services.AddControllers(o =>
{
    o.Filters.Add<YesAttribute>();
});
5.写JWT服务,主要包含生成token,验证token两个方法
接口:IJwtService
public interface IJwtService
{
    Task<string> GetToken(UserModel userModel);

    Task<List<string>> AnalysisToken(string token);

    Task<JwtSecurityTokenHandler> VerifyToken(string token);
}
 实现类:JwtService
public class JwtService : IJwtService
{
    private readonly IConfiguration _configuration;
    private readonly IHttpContextAccessor _httpContextAccessor;
    private readonly IRedisManager _redisManager;
    private readonly IUserManager _userManager;
    private readonly ILogger<JwtService> _logger;

    public JwtService(IConfiguration configuration, IHttpContextAccessor httpContextAccessor,
        IRedisManager redisManager, IUserManager userManager, ILogger<JwtService> logger)
    {
        _configuration = configuration;
        _httpContextAccessor = httpContextAccessor;
        _redisManager = redisManager;
        _userManager = userManager;
        _logger = logger;
    }

    public async Task<string> GetToken(int organizationId, UserModel dto)
    {
        var jwtTokenOptions = _configuration.GetSection("JWTTokenOptions").Get<JWTTokenOptions>();

        SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtTokenOptions.SecurityKey));

        //查询用户的角色
        var role = await _userManager.QueryRoleByUserIdAsync(organizationId, dto.Id);
        var roleNames = role.RoleModels.Select(_ => _.Name).ToList();
        var roleString = string.Join(",", roleNames);
        //new Claim("Expiration", expiresAt.ToString())
        IEnumerable<Claim> claims = new Claim[]
        {
            new Claim("UserName", dto.UserName),
            new Claim("Role", roleString)
        };

        var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        //expires: expiresAt, //60分钟有效期
        var token = new JwtSecurityToken(
            issuer: jwtTokenOptions.Isuser,
            audience: jwtTokenOptions.Audience,
            claims: claims,
            notBefore: DateTime.Now, //立即生效  DateTime.Now.AddMilliseconds(30),//30s后有效
            signingCredentials: creds);

        string returnToken = new JwtSecurityTokenHandler().WriteToken(token);

        //存到redis当中
        var dataBase = await _redisManager.SwitchDataBase(1);
        dataBase.StringSet(dto.Id.ToString(), returnToken, TimeSpan.FromMinutes(60));

        return returnToken;
    }

    /// <summary>
    /// 每次登录后刷新token有效时间。
    /// </summary>
    /// <param name="id"></param>
    /// <param name="token"></param>
    /// <returns></returns>
    public async Task<bool> RefreshToken(string id)
    {
        var dataBase = await _redisManager.SwitchDataBase(1);
        dataBase.KeyExpire(id, TimeSpan.FromMinutes(60));
        return true;
    }

    /// <summary>
    /// 解析token,拿到权限信息。
    /// </summary>
    /// <param name="token"></param>
    /// <returns></returns>
    public async Task<List<string>> AnalysisToken(string token)
    {
        try
        {
            //校验token
            var claimsPrincipal = await VerifyToken(token);

            //拿到claims
            var jwtSecurityToken = claimsPrincipal.ReadJwtToken(token);
            //拿到权限列表
            var roleString = jwtSecurityToken.Claims.FirstOrDefault(c => c.Type == "Role")?.Value;
            var roleList = roleString!.Split(",").ToList();
            return roleList;
        }
        catch (Exception e)
        {
            _logger.LogError($"AnalysisToken occur exception:{e.Message}");
            throw;
        }
    }

    /// <summary>
    /// 校验token 的有效性
    /// </summary>
    /// <param name="token"></param>
    public async Task<JwtSecurityTokenHandler> VerifyToken(string token)
    {
        var jwtTokenOptions = _configuration.GetSection("JWTTokenOptions").Get<JWTTokenOptions>();
        var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtTokenOptions!.SecurityKey));
        //校验token  ValidateLifetime = true,ClockSkew = TimeSpan.Zero //校验过期时间必须加此属性
        var validateParameter = new TokenValidationParameters()
        {
            ValidateAudience = true,
            ValidateIssuer = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = jwtTokenOptions.Isuser,
            ValidAudience = jwtTokenOptions.Audience,
            IssuerSigningKey = securityKey,
        };

        try
        {
            var tokenHandler = new JwtSecurityTokenHandler();
            //校验是否合法
            tokenHandler.ValidateToken(token, validateParameter, out SecurityToken _);
            return tokenHandler;
        }
        catch (Exception e)
        {
            _logger.LogError("Token invalid.");
            throw;
        }
    }
}

6. 自定义特性Attribute和实现过滤器(注册过滤器在第四步一起)
using System.Reflection;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCore.Mvc.Controllers;
using Microsoft.AspNetCore.Mvc.Filters;
using org.huage.AuthManagement.BizManager.service;

namespace org.huage.AuthManagement.Api.Auth;

[AttributeUsage(AttributeTargets.Class | AttributeTargets.Method)]
public class YesAttribute : Attribute,IAuthorizationFilter
{
    public string Roles { get; set; }

    public YesAttribute()
    {
    }

    //自定义权限认证
    public async void OnAuthorization(AuthorizationFilterContext context)
    {
        //如果不携带这个参数则不校验
        if (! context.ActionDescriptor.EndpointMetadata.Any(item => item is YesAttribute))
        {
            return;
        }
        //如果方法标有AllowAnonymousAttribute则跳过权限检查
        if (context.ActionDescriptor.EndpointMetadata.Any(item => item is AllowAnonymousAttribute))
        {
            return;
        }
        //拿到token
        string userToken = context.HttpContext.Request.Headers["token"].ToString(); //获取token
        if (string.IsNullOrEmpty(userToken))
        {
            context.Result = new ContentResult() { StatusCode = 403, Content = "Headers no token,please check." };  //没有Cookie则跳转到登陆页面
            return;
        }
        else
        {
            //拿到jwt服务来校验
            var jwtService = context.HttpContext.RequestServices.GetService<IJwtService>();
            //解析token,拿到role集合。
            var roles =await jwtService!.AnalysisToken(userToken);
            if (! roles.Any())
            {
                context.Result = new ContentResult() { StatusCode = 401, Content = "Please check the roles you owned." };
                return;
            }
            //获取attribute的roles;
            var methodInfo = ((ControllerActionDescriptor)context.ActionDescriptor).MethodInfo;
            var attribute = methodInfo.GetCustomAttribute<YesAttribute>();
            if (attribute ==null)
            {
                context.Result = new ContentResult() { StatusCode = 401, Content = "Please check the roles you owned." };   
                return;
            }
            
            var attributeRoles = attribute.Roles;
            var a = attributeRoles.Split(",").ToHashSet();
            var of = roles.ToHashSet().IsSupersetOf(a);
            if (!of)
            {
                context.Result = new ContentResult() { StatusCode = 401, Content = "You don't have this role" };
            }
        }
       
    }
}
7.测试,在AuthenticationController中定义Login()和Test()
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Primitives;
using Newtonsoft.Json;
using org.huage.AuthManagement.Api.Auth;
using org.huage.AuthManagement.BizManager.Helper;
using org.huage.AuthManagement.BizManager.Redis;
using org.huage.AuthManagement.BizManager.service;
using org.huage.AuthManagement.Entity.Managers;
using org.huage.AuthManagement.Entity.Request;
using StackExchange.Redis;

namespace org.huage.AuthManagement.Api.Controllers;

[ApiController]
[Route("/[controller]/[action]")]
public class AuthenticationController : Controller 
{
    private readonly ILogger<AuthenticationController> _logger;

    private readonly IJwtService _jwtService;
    private readonly IUserManager _userManager;
    private readonly IRedisManager _redisManager;
    public AuthenticationController(IJwtService jwtService, IUserManager userManager, IRedisManager redisManager, ILogger<AuthenticationController> logger)
    {
        _jwtService = jwtService;
        _userManager = userManager;
        _redisManager = redisManager;
        _logger = logger;
    }

    /// <summary>
    /// 过去时间由redis控制,不再jwt里面设置,不好refresh 时间
    /// </summary>
    /// <param name="request"></param>
    /// <returns></returns>
    [HttpPost]
    [AllowAnonymous]
    public async Task<string> Login(LoginRequest request)
    {
        if (string.IsNullOrEmpty(request.Phone) || string.IsNullOrEmpty(request.PassWord))
            return "Account and Password is must.";

        string userId = "";
        IDatabase dataBase =null;
        try
        {
            //查询数据库校验参数
            var user = await _userManager.QueryUserByPhone(request.Phone);
            
            userId = user.Id.ToString();
            //密码加密
            var realPwd = PwdBCrypt.Encryption(request.PassWord);
            if (!user.Phone.Equals(request.Phone) || !user.PassWord.Equals(realPwd))
            {
                return "Account or Password wrong.";
            }

            //切库,token专门设立一个库
            dataBase = await _redisManager.SwitchDataBase(1);
            
            var x = await dataBase.StringGetAsync(userId);
            var token=x.ToString();
            if (string.IsNullOrEmpty(token))
            {
                //首次登录 ,生成token
                token = await _jwtService.GetToken(request.OrganizationId,user);
            }
            else
            {
                //校验token
                await _jwtService.VerifyToken(token);
                //刷新过期时间
                await _jwtService.RefreshToken(userId);
            }
            
            //将token 放到请求头
            Response.Headers.Add(new KeyValuePair<string, StringValues>("Authorization",token));
            
            return "Login success.";
        }
        catch (Exception e)
        {
            //删除token
            await dataBase.KeyDeleteAsync(userId);
            return "Login credentials have expired, please log in again";
        }
    }

    /// <summary>
    /// 加载页面的时候调用这个方法,然后判断是否有token.
    /// </summary>
    [HttpGet]
    public async Task<bool> NoPwdLogin()
    {
        try
        {
            //无密码登录,解析token信息
            string userToken = Request.Headers["token"].ToString();
            await _jwtService.AnalysisToken(userToken);
            return true;
        }
        catch (Exception e)
        {
            _logger.LogWarning("user token is valid,please login.");
            return false;
        }
    }


    /// <summary>
    /// 退出登录
    /// </summary>
    /// <param name="userId"></param>
    /// <returns></returns>
    [HttpGet]
    public async Task<IActionResult> Logout(int userId)
    {
        //删除redis中的token,页面跳转到登录页面
        await _redisManager.HashDeleteFiled(RedisKeyGenerator.UserToken(), userId.ToString());
        //页面跳转
        return new RedirectResult("/index/login");
    }

    [HttpGet]
    [Yes(Roles = "admin")]
    public void Test()
    {
        Console.WriteLine("in");
    }
}
先登录成功后,再调用Tes()方法,在请求头中携带上token参数   
     

其余辅助代码:

1. 登录密码加密:
(注意这里存在的坑,自定义Salt会出现BCrypt.Net.SaltParseException: Invalid salt version,随意可以先BCrypt.Net.BCrypt.GenerateSalt(),拿到salt后设置常量。)
public static class PwdBCrypt
{
    private const string PwdSalt = "$2a$11$jY8wPl8a0t6vaSQDz/Y1KO";
    
    /// <summary>
    /// 给密码加密
    /// </summary>
    /// <param name="pwd"></param>
    /// <returns></returns>
    public static string Encryption(string pwd)
    {
        return BCrypt.Net.BCrypt.HashPassword(pwd,PwdSalt);
    }
}

本篇文章只是简单实现JWT加过滤器的基本权限认证,后续会扩展为基于组织,用户,角色,权限模式的认证模式。

Remark:源代码正在整理,后续贴上。

无灵的说
关注
  • 18
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JWT认证
Yietong的博客
10-12 1606
上面我们都是基于auth_user表去做签发认证的,但是我们日常基本程序都是自定义的表来做认证,所以我们来试试自定义user表models.pyviews.py# # 登录后才能访问,加一个认证类,# # 使用jwt提供的认证类必须要配合权限类使用## 自定义的用户签发tokentry:# 根据user签发token【三部分,头,荷载,签名】# 使用jwt模块签发token的函数,生成token。
ASP.NET Core 中使用 JWT 实现令牌认证及授权范例程序代码
07-02
介绍如何在ASP.NET CORE中使用JWT实现令牌认证和授权。
Asp.Net Core 7.0 基于JWT组织用户角色权限认证(二)
weixin_63568353的博客
11-24 218
上一篇我们已经完成了权限校验以及授权的部分,本篇接下来我们分析一下如何基于组织用户角色进行权限管理。在本项目中,支持建立多组织,同一用户支持在不同组织下授予不同的角色。由于本人是新人,如果有好的见解或者看法欢迎和我沟通,互相学习进步。
.NET 7 的 JWT 配置太方便了!
zls365365的博客
07-06 237
微软宣布 .NET 7 preview5 有一些较大的改进, 包括 JWT 身份验证的简化和自动配置。我安装了 preview 5 尝试了新的 JWT 身份配置。如果您想把现有的项目更新到 .Net 7 preview 5, 下面是一个快速更新的命令。UpdateallMicrosoft.AspNetCore.*packagereferencesto7.0.0...
.NET7之MiniAPI(特别篇) :Preview5优化了JWT验证(上)
dotNET跨平台
06-23 564
.NET7的Preview5中,优化了asp.net core中的JWT验证,不用像以前繁琐了,更重要的是带来了一组生成Token的工具,可以让开发人员或测试人员不需登录获取Token,而达到测试的目的。创建项目现在来看一下怎么使用,首选创建项目,/是无验证,/myhome是有验证varbuilder=WebApplication.CreateBuilder(ar...
浅谈ASP.NET Corejwt授权认证的流程原理
10-15
ASP.NET Core 中的 JWT(JSON Web Tokens)授权认证是一种安全机制,用于验证用户身份并授权访问受保护的API资源。JWT 是一个轻量级的身份验证标准,它允许服务器通过发送一个自包含的令牌来确认用户身份,而不是...
asp.net Core 3.0 集成JWT Demo
03-09
ASP.NET Core 3.0 集成JWT(JSON Web Token)Demo是一个示例项目,展示了如何在ASP.NET Core应用程序中实现JWT身份验证和权限管理。JWT是一种安全的身份验证机制,用于在客户端和服务器之间传输信息,特别是对于API...
ASP.NET编程知识】.net core webapi jwt 更为清爽的认证详解.docx
05-15
.NET Core WebAPI JWT 认证详解 .NET Core WebAPI 的认证机制是使用 JSON Web Token(JWT)来实现的。JWT 是一种基于 Token 的认证机制,它可以提供一种安全的方式来验证用户的身份。下面是关于 .NET Core WebAPI ...
asp.net core api+jwt+swagger CRM管理系统
11-24
导读:本项目为CRM系统的基础管理模块。目前实现了用户,用户组,菜单模块。 用户与用户组分配。...运用框架为 asp.net core API 5.0 +JWT +Swagger。有兴趣的可以与我联系659388913. 前端部分本人正在开发中。。。
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
JWT权限验证
qq_42832611的博客
03-16 1135
DotnetCore使用Jwt在awagger中进行权限验证
权限验证-JWT认证
Hello_super的博客
06-11 1147
JSON Web Token,通过数字签名的方式,以JSON对象为载体,在不同的服务终端之间安全的传输信息;
springBoot 的jwt实现权限认证
qq_45515347的博客
08-27 2932
jwt原理以及使用springboot实现一个简单实例
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4179
关于spring security整合jwt实现前后端权限认证和授权管理
基于JWT 和 Shiro 做接口权限认证
最新发布
ewii12567的博客
07-24 952
自定义的权限认证和身份认证逻辑。方法是权限认证。方法是身份认证时就是交给这个自定义类处理。@Service@Autowired// /**// * 大坑!,必须重写此方法,不然Shiro会报错// */// }// /**// * 只有当需要检测用户权限的时候才会调用此方法,例如checkRole,checkPermission之类的// */@Override/*** 默认使用此方法进行用户名正确与否验证,错误抛出异常即可。
JWT(token) 认证
selints的博客
02-25 829
例如:你刚搬进一个小区,在第一次近小区时,你得去物业(客户端)登记一下(即:注册登陆的过程),然后物业给你一个门禁卡(里面记录你的一些简单信息信息,即jwt),在之后每次进入小区都等使用门禁卡验证身份。(4)JWT 的最大缺点是,由于服务器不保存 session 状态,因此无法在使用过程中废止某个 token,或者更改 token 的权限JWT 的原理是,服务器认证以后,生成一个 JSON 对象(即:生成tocken),发回给用户,就像下面这样。(1)JWT 默认是不加密,但也是可以加密的。
用户登录和权限认证之 —— JWT
qq_45770253的博客
11-23 3312
这里我会讲解 web 前端常用的用户登录和权限认证的方法 —— JWT,有错误希望指正 文章目录1、Cookie + Session① 概述② 流程图③ 校验步骤④ 存在的问题2、JWT① 流程图② 校验步骤③ 解读 token 中存储的内容④ 对 Swagger 一个功能的补充3、总结 1、Cookie + Session        在讲解 JWT 之前,我先介绍一下最简单的用户登录和权限认证方式:Cookie + Ses.
.NET Core 3.0 一个 jwt 的轻量角色/用户、单个API控制的授权认证
hailang2ll的专栏
10-27 817
作者:痴者工良(朋友合作原创)来源:https://www.cnblogs.com/whuanle/p/11743406.html目录说明一、定义角色、API、用户二、添...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值