Jwt添加用户角色

最新推荐文章于 2023-11-22 12:57:03 发布
最新推荐文章于 2023-11-22 12:57:03 发布
阅读量1.0k 收藏 1
点赞数 1
分类专栏: ASP.NET Core
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsnbbdbbdbbdbb/article/details/119875064
版权
"该博客介绍了如何在JWT(JSON Web Token)中添加用户角色,以实现API的权限控制。通过在JWT的claim中添加角色信息,可以对API进行角色限定,如[Authorize(Roles = "Admin")]。在API调用时,将token放入header中,通过验证token中的角色,确保只有具备特定角色的用户才能访问受限资源。当角色变更时,无需重新验证授权,提高了系统效率。"
摘要由CSDN通过智能技术生成

Jwt添加用户角色

1.打开authoricate控制器
2.找到登陆api,接下来会将身份角色加入到claim中

一.claim解析

在这里插入图片描述
2.api的权限就是根据claim要求
在这里插入图片描述

在这里插入图片描述
//1.确定你是不是你也就是登陆,是有航空公司决定的,确定你后,发放登机牌
//2.确定你能坐什么舱是机组人员的来决定的
//3.登陆和授权严格区分
在这里插入图片描述
在这里插入图片描述

1.这样登陆和授权分开,就不用再验证发生改变后,也改变授权了
2.claim是对于所有身份验证体系而言,jwt只是其中一个应用

二.角色的使用

    var claims = new[]
            {
                //sub
                //第一个是id在jwt中有个专有名词sub ,第二个是用户的准确id,现在用的是假id
                new Claim(JwtRegisteredClaimNames.Sub,"fake_user_id"),
                
                //添加角色claim
                new Claim(ClaimTypes.Role,"Admin")
            };

2.在 api上加入角色限定

 [HttpPost]
        //上锁,除了登陆的用户无法访问
        [Authorize(Roles ="Admin")]

三.请求api

在这里插入图片描述
1.然后将得到的token复制到header中,添加bearer+空格+token中
2.在body中添加数据
在这里插入图片描述
3.执行成功
在这里插入图片描述

四.验证admin起作用

1.在apicontroller中删除admin,重新生成token
2.重复上面操作,发现创建资源失败
在这里插入图片描述

有诗亦有远方
关注
专栏目录
.NET6平台开发WebApi-使用JWT进行用户鉴权和测试源码
02-21
在.NET6平台上开发WebAPI应用时,为了实现安全的用户身份验证和授权,通常会采用JSON Web Tokens(JWT)机制。...开发者可以根据这个模板进行扩展,添加自定义的权限控制、角色管理等功能,以满足更复杂的应用场景。
JWT解读
u010825931的博客
12-10 758
一.什么是JWT: JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,以JSON对象的形式在各方之间安全地传输信息。由于该信息是数字签名的,因此可以验证和信任它。JWT可以使用RSA或ECDSA的公钥/私钥对进行签名。 虽然JWT也可以加密以提供各方之间的机密性,但是我们将重点讨论签名令牌。签名的令牌可以验证其中包含的声明的完整性,而加...
简单的实现现在流行的权限验证(jwt+登入验证+角色权限验证)
赵成默
11-02 2094
简介 简单的先介绍一下这个小案例用到的功能或者实现的技术: 首先这是前后端分离式 使用jwt加密作为token 实现登入验证 实现角色验证 先看一下,测试过程图 测试登入,获取token 测试登入成功:将token加入头部信息 测试登入失败 token为空 token被篡改 token过期 测试游客功能: 刚刚获取的token里面包含角色信息,该角色等级为2(游客) 测试管理员功能 管理员角色等级有1,游客是没有权限访问的 详细 先看一下文件目录 这次采用的是jpa
C# JWT权限验证
m0_59504468的博客
08-05 4112
通过项目调试,发现我们之前的Email参数被改名了,原本是JwtRegisteredClaimNames变成了ClaimTypes的声明方法,这就需要解除,.NetCore自己的映射匹配,使用JWT,在ConfigureServices加上。//密钥大小要超过128bt,最少要16位。audience:"http://localhost:5000",//订阅:我们需要谁去使用这个Token。issuer:"http://localhost:5000",//发起人:当前项目。......
.net core 3.1 webapi接口项目框架搭建二:JWT 身份验证
qq_25966587的博客
07-17 1758
JWT 身份验证引言引用依赖包添加身份认证相关服务到容器中swagger 中配置JWT开启中间件生成Token获取claims中的参数信息接口中添加[Authorize()]jwt 自定义策略 引言 JWT定义与优缺点 引用依赖包 Microsoft.AspNetCore.Authentication.JwtBearer System.IdentityModel.Tokens.Jwt 添加身份认证相关服务到容器中 在 Startup.cs 文件 ConfigureServices 方法中 添加服务 se
在.net Core 3.0中使用jwt验证
qq_23949931的博客
12-04 2738
由于工作需要写一个下载文件的api,要求要有jwt token验证,想着正好可以在Core中试试水,下面是整个开发过程; 由于开始并不懂jwt,在网上找了些相关的资料,对于使用Core api + jwt的文章并不多,这个文章看起来有很多东西:https://www.cnblogs.com/CreateMyself/p/11123023.html,下面是跟着此文章进行的操作,以及自己...
spring boot + security + jwt 制作用户登录,角色鉴权
07-03
通过以上步骤,我们已经创建了一个基于Spring Boot、Spring Security和JWT用户登录与鉴权系统,实现了自定义登录接口、开放接口、接口访问权限控制以及用户角色的灵活关联。这个系统确保了应用程序的安全性和可...
JWT Token生成及验证
07-16
10. **JWT的扩展性**:JWT支持自定义声明,这使得它可以适应各种应用场景,如添加用户角色、权限等信息。 综上所述,JWT Token在C#中的实现涉及对标准的理解、使用特定库以及理解安全最佳实践。正确使用JWT能为应用...
JWT 实战教程_jwt_
10-01
在Spring Boot中整合JWT,首先需要添加相关的依赖,例如jjwt库。然后,创建一个TokenProvider,负责生成和验证JWT。这个类通常会实现一个方法,用于签发新的JWT,并另一个方法用于验证接收到的JWT。签发JWT时,将...
SpringBoot整合Shiro+JWT
05-15
1. **添加依赖**:在SpringBoot的`pom.xml`文件中,我们需要添加Shiro和JWT的相关依赖。Shiro的依赖将帮助处理认证和授权,而JWT库(如`jjwt`)则用于生成和验证JWT。 2. **配置Shiro**:创建一个`ShiroConfig`类,...
4.什么是JWT?(JSON Web Token,JSON令牌),JWT特点,JWT Claims,JWT问题和趋势,JJWT异常(JwtException基类)
相互学习 共同进步
04-24 1149
JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。尽管可以对JWT进行加密以在双方之间提供保密性,但将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。
如何使用JWT进行身份验证与授权
dotNET跨平台
05-05 2227
简介JWT定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。工作流程1、用户使用账号、密码登录应用,登录的请求发送到认证服务器。2、认证服务器进行用户验证,然后创建JWT字符串返回给客户端。3、客户端请求接口时,在请求头带上JWT。应用服务器验证JWT合法性,如果合法则继续调用应用接口返回结果。数据结...
Springboot3 + SpringSecurity + JWT + OpenApi3 实现认证授权
m0_71777195的博客
06-07 5780
目前全网最新的 Spring Security + JWT 实现双 Token 的案例!此项目由作者个人创作,可以供大家学习和项目实战使用,创作不易,转载请注明出处!该项目使用目前最新的 Sprin Boot3 版本,采用目前市面上最主流的 JWT 认证方式,实现双token刷新。温馨提示:SpringBoot3 版本必须要使用 JDK11 或 JDK19。
jwt加入权限认证,权限认证完成以后才能操作对应的接口
fanqingdi092298的博客
06-16 266
实体entity package com.lucun.student.db.entity; public class User { /** * id */ private Long id; /** * 账号 */ private String username; /** * 密码 */ private String password; /** * 权限 */ pr
Asp.NetCore3.1 WebApi 使用Jwt 授权认证使用
qq_18932003的博客
10-13 675
1:导入NuGet包 Microsoft.AspNetCore.Authentication.JwtBearer 2:配置 jwt相关信息 3:在 startUp中 public void ConfigureServices(IServiceCollection services){ #region JWT 认证 services .AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options =&gt
Jwt(Json web token)——使用token的权限验证方法 & 用户+角色+权限表设计 & SpringBoot项目应用
Arya的博客,专注后端领域
08-08 2015
1.认证鉴权服务,注册中心,认证中心,鉴权中心; 2.用户角色,权限表设计,数据库视图的使用; 3.项目中的应用,使用自定义注解+拦截器; 4.枚举类型的json化, @JsonFormat(shape = JsonFormat.Shape.OBJECT) @Getter
Asp.Net Core 7.0 基于JWT角色权限认证(一)
weixin_63568353的博客
11-22 1549
Asp.Net Core 7.0集成JWT自定义Attribute权限认证。
JSON web token@04#JWT Claims
五石之瓠 以为大樽 浮于江湖 悠笑人生
12-28 7478
4. JWT ClaimsJWT Claims Set 表示一个 JSON 对象,它的成员是 JWT 传输的 claims。JWT Claims Set 中的 Claim Names MUST 是唯一的; JWT 解析器 MUST 拒绝拥有重复 member name 的 JWTs,或者使用 JSON 解析 只返回 重复的成员 name 的最后一个词汇,就像规范 ECMAScript 5.1 [EC
在Asp .net core中使用Jwt登录验证
weixin_49094787的博客
08-26 431
安装Jwt Nuget包 在startup中添加验证授权中间件(在路由之后) 在appsettings中添加Jwt所需配置 在登录控制器中创建Jwt var signingAlgorithm = SecurityAlgorithms.HmacSha256; var claims = new List<Claim> { ...
SpringSecurity+JWT 角色权限
最新发布
11-30
Spring Security是一个基于Spring的安全框架,它提供了一组可以在Spring应用程序中配置的安全服务。JWT(JSON Web Token)是一种用于在网络应用间传递信息的简洁的、URL安全的表述性声明规范。JWT通过在用户和服务器之间传递安全令牌来实现身份验证和授权。结合使用Spring Security和JWT可以实现角色权限控制。 具体实现步骤如下: 1.添加Spring Security和JWT的依赖。 2.创建一个实现UserDetailsService接口的类,用于从数据库中获取用户信息。 3.创建一个实现JwtTokenUtil接口的类,用于生成和解析JWT。 4.创建一个实现AuthenticationEntryPoint接口的类,用于处理未授权的请求。 5.创建一个实现AccessDeniedHandler接口的类,用于处理授权失败的请求。 6.创建一个继承WebSecurityConfigurerAdapter的类,用于配置Spring Security。 7.在配置类中添加一个JwtAuthenticationTokenFilter过滤器,用于验证JWT。 8.在需要进行权限控制的方法上添加@PreAuthorize注解,指定需要的角色或权限。 示例代码如下: ```java // UserDetailsService实现类 @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserService userService; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userService.getUserByUsername(username); if (user == null) { throw new UsernameNotFoundException("用户名不存在"); } return new JwtUserDetails(user); } } // JwtTokenUtil实现类 @Component public class JwtTokenUtilImpl implements JwtTokenUtil { private static final String CLAIM_KEY_USERNAME = "sub"; private static final String CLAIM_KEY_CREATED = "created"; @Value("${jwt.secret}") private String secret; @Value("${jwt.expiration}") private Long expiration; @Override public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername()); claims.put(CLAIM_KEY_CREATED, new Date()); return generateToken(claims); } @Override public String getUsernameFromToken(String token) { String username; try { Claims claims = getClaimsFromToken(token); username = claims.getSubject(); } catch (Exception e) { username = null; } return username; } @Override public boolean validateToken(String token, UserDetails userDetails) { JwtUserDetails user = (JwtUserDetails) userDetails; String username = getUsernameFromToken(token); return username.equals(user.getUsername()) && !isTokenExpired(token); } private Claims getClaimsFromToken(String token) { Claims claims; try { claims = Jwts.parser() .setSigningKey(secret) .parseClaimsJws(token) .getBody(); } catch (Exception e) { claims = null; } return claims; } private boolean isTokenExpired(String token) { Date expirationDate = getExpirationDateFromToken(token); return expirationDate.before(new Date()); } private Date getExpirationDateFromToken(String token) { Claims claims = getClaimsFromToken(token); return claims.getExpiration(); } private String generateToken(Map<String, Object> claims) { Date expirationDate = new Date(System.currentTimeMillis() + expiration * 1000); return Jwts.builder() .setClaims(claims) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, secret) .compact(); } } // AuthenticationEntryPoint实现类 @Component public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "未授权的请求"); } } // AccessDeniedHandler实现类 @Component public class JwtAccessDeniedHandler implements AccessDeniedHandler { @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException { response.sendError(HttpServletResponse.SC_FORBIDDEN, "权限不足"); } } // 配置类 @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtAccessDeniedHandler jwtAccessDeniedHandler; @Autowired private JwtTokenFilter jwtTokenFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .exceptionHandling() .authenticationEntryPoint(jwtAuthenticationEntryPoint) .accessDeniedHandler(jwtAccessDeniedHandler) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class); } } // JwtAuthenticationTokenFilter过滤器 @Component public class JwtTokenFilter extends OncePerRequestFilter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtTokenUtil jwtTokenUtil; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { String authHeader = request.getHeader("Authorization"); if (authHeader != null && authHeader.startsWith("Bearer ")) { String authToken = authHeader.substring(7); String username = jwtTokenUtil.getUsernameFromToken(authToken); if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) { UserDetails userDetails = userDetailsService.loadUserByUsername(username); if (jwtTokenUtil.validateToken(authToken, userDetails)) { UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } } chain.doFilter(request, response); } } // 在需要进行权限控制的方法上添加@PreAuthorize注解 @PreAuthorize("hasAnyRole('ADMIN','USER')") public void someMethod() { // do something } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有诗亦有远方

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值