C#开发日记:手把手教你生成JWT

已于 2024-08-29 17:14:06 修改
阅读量1.4k 收藏 43
点赞数 24
分类专栏: C# 开发日记 文章标签: c# asp.net 安全 .net 依赖倒置原则
于 2024-08-29 09:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_72254790/article/details/141641674
版权

一、JWT(JSON Web Token)简介

JWT(JSON Web Token)是一种用于在网络应用环境间传递声明的一种紧凑的、URL安全的方式。它由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。

一般是user id(用户唯一的身份标识)、time(当前时间的时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六进制字符串。为防止token泄露)。

Header(头部)

JWT的头部通常由两部分组成:token的类型(这里是JWT)和所使用的签名算法(这里是HS256,即HMAC-SHA256)。

{
  "alg": "HS256",
  "typ": "JWT"
}
  • alg:指定了签名使用的算法,HS256表示使用HMAC-SHA256算法。
  • typ:表示这个token是一个JWT。

Payload(负载)

负载部分包含了所谓的Claims(声明),它们是关于实体(通常是用户)和其他数据的声明。在您提供的token中,负载包含了以下声明:

{
  "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name": "string",
  "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/sid": "1828337手动打码461696",
  "AuthType": "User",
  "nbf": 1724833354,
  "exp": 1724840554,
  "iss": "dlht",
  "aud": "string"
}
  • name:用户的名称或昵称。
  • sid:用户的会话ID或唯一标识符。
  • AuthType:认证类型,这里是"User"。
  • nbf:(Not Before)表示token在此时间之前无效。
  • exp:(Expiration Time)表示token的过期时间。
  • iss:(Issuer)表示token的发行者。
  • aud:(Audience)表示token的接收者。

Signature(签名)

签名用于验证消息在传输过程中未被篡改,并且,对于使用私钥签名的token,还可以验证发送者的身份。签名是使用Base64Url编码的Header、Payload和密钥(Secret)通过指定的算法生成的。

Signature: vlJkgZ5CMszamjDr_DXKsB-9Wu0CsrczZ5yu49t1ZaQ


 

二、配置文件(appsettings.json)

使用Token过滤访问你程序的用户,本次以ASP .NET Core Web应用程序为例,使用SqlSugar的ORM框架,Oracle数据库 ,当然数据库不是主角,无伤大雅!!我的思路是先配置参数后再学你怎么用!

重点使用:Microsoft.IdentityModel.Tokens;

 "JWT_SECRET_KEY": "asldfgjhopq347yr5t9o2qy8fioqasldasweiuedfghd87dasdqa24fhpdeyf870tyq234o87fghawo87yfaow8eyg7hfosgtyfukoawesty7o8",
 "JWT_EXPIRES_SECONDS": "7200"
介绍
JWT_SECRET_KEY密钥
JWT_EXPIRES_SECONDS有效秒数

三、注入依赖(program.cs)

var builder = WebApplication.CreateBuilder(args);
builder.Configuration.AddEnvironmentVariables();

...
//注册JwtSercie,并配置JWT
builder.Services.AddScoped<IJwtSercie, JwtSercie>().Configure<JwtSetting>(options =>
{
    options.SecretKey = builder.Configuration["environmentVariables:JWT_SECRET_KEY"];
    options.ExpiresSeconds = int.Parse(builder.Configuration["environmentVariables:JWT_EXPIRES_SECONDS"] ?? throw new ArgumentException("请配置JWT_EXPIRES_SECONDS环境变量"));

...

其实就是把json的两个参数拿出来注入了IServiceCollection,具体是设计了JwtSetting的类型,如下所示:

public class JwtSetting
{
        public string? SecretKey { get; set; }

        public int ExpiresSeconds { get; set; }
    
}

Configure<JwtSetting>()方法按照这个类型注入两个依赖项。

下面模拟用户登录,首先数据库验证账户与密码,成功后返回token。

设计一个简单用户表

ID(雪花)USERNAMEPASSWORDHASH

四、编写服务Service

3.1 JWT服务

GeneratorToken传入一个用户,根据用户信息生成Token(目前我们只有用户名)。

public class JwtSercie(IOptions<JwtSetting> jwtSetting) : IJwtSercie
{
    public string GeneratorToken(Entities.USER_Test user)
    {
        var claims = new[]
        {
         new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()), // 使用用户ID作为NameIdentifier
        //new Claim(ClaimTypes.Name, user!.username!),//使用用户名
        new Claim(ClaimTypes.Sid, user.Id.ToString()),
        new Claim("AuthType", "User"),

    };

        return WriteToken(user.username!, claims);
    }
    private string WriteToken(string audience, Claim[] claims)
    {
        var sourceData = jwtSetting.Value.SecretKey ?? throw new NullReferenceException();
        var secretKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(sourceData));
        const string algorithm = SecurityAlgorithms.HmacSha256;
        var signingCredentials = new SigningCredentials(secretKey, algorithm);
        var jwtSecurityToken = new JwtSecurityToken(
            issuer: "dlht",
            audience: HttpUtility.UrlEncode(audience),
            claims,
            notBefore: DateTime.Now,
            expires: DateTime.Now.AddSeconds(jwtSetting.Value.ExpiresSeconds),
            signingCredentials
        );

        var token = new JwtSecurityTokenHandler().WriteToken(jwtSecurityToken);
        return token;
    }
}

  1. GeneratorToken方法

    • 这个方法接受一个USER_Test类型的用户实体作为参数,并生成一个JWT。
    • 首先,它创建了一个Claim数组,这个数组包含了JWT中要声明的属性。这里包括了用户的用户名(ClaimTypes.Name)、用户ID(ClaimTypes.Sid)和认证类型("AuthType")。
    • 然后,调用WriteToken方法来实际生成JWT。

  2. WriteToken方法

    • 这个方法接受audience(观众,即JWT的接收者)和claims(声明)作为参数。
    • 首先,从jwtSetting中获取SecretKey,如果没有提供则抛出异常。
    • SecretKey转换为SymmetricSecurityKey类型的密钥,这是用于签名JWT的密钥。
    • 定义签名算法为HmacSha256
    • 创建SigningCredentials对象,包含密钥和算法。
    • 创建JwtSecurityToken对象,包含以下属性:
      • issuer(发行者):设置为"dlht"。
      • audience(观众):使用HttpUtility.UrlEncode对观众进行URL编码。
      • claims:之前创建的声明数组。
      • notBefore(生效时间):设置为当前时间。
      • expires(过期时间):当前时间加上jwtSetting中配置的过期秒数。
      • signingCredentials:签名凭据。
    • 使用JwtSecurityTokenHandlerWriteToken方法将JwtSecurityToken对象序列化为字符串形式的JWT。

如果有好好看第一章的话,WriteToken方法便好理解一些。

3.2 用户服务

若想再用户服务中使用JWT服务的方法,需要在构造函数中注入 IJwtSercie 。

 public class UserService([FromKeyedServices("local")] ISqlSugarClient _db, IJwtSercie JwtSercie) : IUserService
 {

     
     public async Task<BaseResponse> UserLogin(string username, string password)
     {
         // 使用SqilSugar查询数据库
         var user = await _db.Queryable<USER_Test>()
             .Where(u => u.username == username && u.PasswordHash == HashPassword(password))
             .FirstAsync();
         if (user == null)
             return new BaseResponse() { Code = -1, Message = "用户名或者密码错误" };
         string token = JwtSercie.GeneratorToken(user ?? throw new NullReferenceException());
         return new BaseResponse() { Code = 1, Data= token,Message="登录成功"};
     }
}

user返回查询用户的信息,若用户存在则将用户传入GeneratorToken中并返回Token

五 编写控制器

[Route("api/[controller]")]
[ApiController]
public class LoginController(IUserService _userService, IAuthenticationService _authenticationService) : ControllerBase
{


    //登录 token
    [HttpPost("[action]")]
    public async Task<IActionResult> Login([FromBody] LoginModel loginModel)
    {
      var result = await _userService.UserLogin(loginModel.Username, loginModel.Password);
       if(result.Code!=1) 
            return Unauthorized(result);
        return Ok(result);
    }
}

六、测试以及分析

JWT的通常遵循Base64Url编码的规则,可能让它看起来没有明显的规律,特别是当它被编码后。让我们可以逐步解析。

例如token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1laWRlbnRpZmllciI6IjE4MjgzMzc4MzY1NDY0NjE2OTYiLCJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9zaWQiOiIxODI4MzM3ODM2NTQ2NDYxNjk2IiwiQXV0aFR5cGUiOiJVc2VyIiwibmJmIjoxNzI0ODM1MTUwLCJleHAiOjE3MjQ4NDIzNTAsImlzcyI6ImRsaHQiLCJhdWQiOiJzdHJpbmcifQ.4rjl2Bl0OHKnnRQ-yvAw2aoLT48rZt46R-G3tkA6W5E

Header(头部)

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

解析后


{
  "alg": "HS256",
  "typ": "JWT"
}

Payload(负载)

eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1laWRlbnRpZmllciI6IjE4MjgzMzc4MzY1NDY0NjE2OTYiLCJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9zaWQiOiIxODI4MzM3ODM2NTQ2NDYxNjk2IiwiQXV0aFR5cGUiOiJVc2VyIiwibmJmIjoxNzI0ODM1MTUwLCJleHAiOjE3MjQ4NDIzNTAsImlzcyI6ImRsaHQiLCJhdWQiOiJzdHJpbmcifQ

{
  "sub": "42",
  "name": "John Doe",
  "admin": true,
  "iat": 1516239022
}

iat声明代表的是“Issued At”,即token的签发时间

Signature(签名)

4rjl2Bl0OHKnnRQ-yvAw2aoLT48rZt46R-G3tkA6W5E

使用Header中指定的算法和密钥生成的签名。

JWT的编码方式是Base64Url编码,它是一种特殊的Base64编码,用于URL和文件名的安全传输。Base64Url编码与标准的Base64编码相比,有以下不同:

  • +替换为-
  • /替换为_
  • 去掉填充字符=

由于Base64Url编码的特性,JWT看起来可能没有明显的规律,特别是当它被编码后。但是,解码后,您可以清楚地看到JWT的每个部分都是JSON格式的,并且包含了必要的声明和元数据。

注册后续

JWT服务注册于控制器的访问授权设置请看下一章——使用生成的JWT设置资源接口验证 http://t.csdnimg.cn/rgU9r

鱼在在
关注
专栏目录
Jwt4Net:C# 中的 JWT 实现
06-13
这是什么? Jwt4Net 是一个用于发布和使用的 C# 库。 它提供强类型令牌值,以及用于发行和消费的简单模型。 令牌验证可通过创建 ITokenValidationRule 的新实现进行扩展,并且令牌可以包含任意声明。 var issuer = JwtContainer . CreateIssuer (); var consumer = JwtContainer . CreateConsumer (); JsonWebToken token ; // set your claims. issuer . Set ( MyClaims . Age , 21 ); issuer . Set ( MyClaims . Name , " Hubert von Peeblefruit " ); // issue a new signed token. string tokenString
c# .net core项目中使用JWT进行权限校验
最新发布
不积跬步,无以至千里;不积小流,无以成江海;千里之行,始于足下
08-03 440
JWT(JSON Web Token)是一种开放标准(RFC 7519),它提供了一种在网络应用间安全传输信息的简洁、自包含的方式。JWT主要用于身份验证和授权机制,是一种轻量级的、可扩展的、自包含的身份验证和授权解决方案。
JWT Token生成及验证
07-16
JWT Token生成及验证,JSON WEB TOKEN,简单谈谈TOKEN的使用及在C#中的实现
C#.Net Framework框架使用JWT
小5聊的博客
07-26 6974
本篇文章主要简单讲讲,.Net Framework框架下使用JWT的代码例子,以及他们的基本概念。
C# JWT权限验证
m0_59504468的博客
08-05 4073
通过项目调试,发现我们之前的Email参数被改名了,原本是JwtRegisteredClaimNames变成了ClaimTypes的声明方法,这就需要解除,.NetCore自己的映射匹配,使用JWT,在ConfigureServices加上。//密钥大小要超过128bt,最少要16位。audience:"http://localhost:5000",//订阅:我们需要谁去使用这个Token。issuer:"http://localhost:5000",//发起人:当前项目。......
C#实现JWT无状态验证的实战应用
chinaherolts2008的博客
03-01 715
前言 本文主要介绍JWT的实战运用。 准备工作 首先我们创建python基础程一个Asp.Net的,包含MVC和WebApi的Web项目。 然后使用Nuget搜索JWT,安装JWT类库,如下图。 设计思路 这里我们简单的做了一个token验证的设计,设计思路如下图所示: 代码实现 缓存 首先,我们先开发工具类,根据设计思c#程路图可得知,我们需要一个缓存类,用于在服务器端存储token。 编写缓存相关类代码如下: public class CacheHelper { public sta
C#分布式登录——jwt
逆-血
01-12 5550
文章目录一、传统的session登录二、基于token的鉴权机制三、Json web token1.生成jwt数据2.jwt解析验证四、JWT的问题 一、传统的session登录 在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。 在asp.net core中可以简单实现: 代码如下(示例): // This method gets called b
jwthelper:JWT令牌生成
02-24
JWT令牌生成生成私钥(jwt.salt)和jwt令牌的助手 该泊坞窗映像有助于快速创建私钥和JWT令牌。 可用版本 您可以通过“ 页面查看所有可从Docker Hub提取的图像。 以“更改类型”字词开头的Docker标记名称(例如...
C#手写jwtToken生成与校验
04-27
**C#手写JWT Token生成与校验** JWT(JSON Web Tokens)是一种轻量级的身份认证和授权机制,常用于API的身份验证。在C#环境中,我们可以手动实现JWT生成和验证过程,以便理解其工作原理和提升安全性。本文将详细...
【转载】C#集成JWT快速入门
SS33SSS的博客
04-23 953
JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在双方之间安全地传输信息作为JSON对象。这通常是在服务端进行的,可以通过检查特定的声明(如。:JWT提供了一种安全、灵活的方式来传输用户信息,并可以用于身份验证和授权。如果是,那么我们就认为用户是管理员,并允许其访问受保护的资源;,它包含了JWT的主题(即用户信息)、过期时间以及签名凭据。包含了验证JWT所需的所有参数,如签名密钥等。实例,该实例包含了JWT中的所有声明;然后,我们定义了一个。
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
热门推荐
菜鸟的专栏
12-28 1万+
C# ASP.NET Core Web API 身份授权(JWT)验证
C# JWT加密和解密,JWT跨域身份验证
AI的博客
06-07 1万+
JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。为了网络应用环境间传递声明而执行的一种基于JSON的开发标准(RFC 7519), 该token被设计为紧凑且安全的,特别适用于分布式站点的单点登陆(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,该token也可直接被用于认证,也可被加密。......
C#JWT 原理,如何生成,如何校验
m0_51005282的博客
11-12 1098
JWT 把登录信息(令牌),保存在客户端,这样可以有效的解决 Session 在分布式集群环境用户认证的问题。使用服务端自定义的密钥对保存在客户端的令牌进行签名处理,每次服务端接收到客户端提交过来的令牌都需要检查下签名,验证用户身份。
JWT介绍
m0_53151031的博客
11-21 1375
一、JWT出现的原因以及工作原理 1、JWT的定义: JSON Web Token (JWT),是目前最流行的跨域身份验证解决方案 二、JWT工具类的介绍以及三种场景 三、JWT与vuex在SPA项目中的应用
JWT(JSON Web Token)简介及在C#中的应用
dotNET跨平台
06-08 199
一、JWT是什么?JWT,全称JSON Web Token,是一种开放标准(RFC 7519)定义的方式,用于在网络之间安全地传输信息。这些信息可以用于验证、授权、信息交换等。JWT主要由三部分组成:Header(头部),Payload(负载),和Signature(签名)。由于其自包含且紧凑的特点,JWT可以轻松地通过URL、POST参数或者在HTTP头部发送。二、为什么要用JWT?无状态、可扩...
C#类库 JWT校验
wgq2020的博客
10-25 434
如果JWT是合法的,ValidateToken方法将返回一个ClaimsPrincipal对象,该对象包含JWT中的Claims信息。JSON Web Tokens(JWT)是一种安全的、轻量级的、URL安全的方式用来传递信息,它是一个规范,目的是在各方之间安全地传输声明信息。以上是使用C#类库JWT进行校验的示例代码和详解。在实际开发中,我们可以把生成JWT和校验JWT的代码封装成方法,方便使用。C#类库JWT提供了方便的JWT生成和校验功能,下面是使用C#类库JWT进行校验的代码示例和详解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值