ASP.NET Core 3.1中使用JWT身份认证

最新推荐文章于 2024-03-28 15:57:15 发布
最新推荐文章于 2024-03-28 15:57:15 发布
阅读量5.8k 收藏 22
点赞数 7
分类专栏: asp.net core 文章标签: JWT Authentication Authorization ASP.NET Core
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhl_james/article/details/105343253
版权

文章目录

0、引言

若不清楚什么是JWT的请先了解下什么是JWT

1、关于Authentication与Authorization

我相信在aspnet core中刚接触甚至用了段时间这两个概念的时候都是一头雾水的,傻傻分不清。
认证(Authentication)和授权(Authorization)在概念上比较的相似,且又有一定的联系,因此很容易混淆。
认证(Authentication)是指验证用户身份的过程,即当用户要访问受保护的资源时,将其信息(如用户名和密码)发送给服务器并由服务器验证的过程。
授权(Authorization)是验证一个已通过身份认证的用户是否有权限做某件事情的过程。
有过RBAC的开发经验者来说这里可以这么通俗的来理解:认证是验证一个用户是否“合法”(一般就是检查数据库中是否有这么个用户),授权是验证这个用户是否有做事情的权限(简单理解成RBAC中的用户权限)。

2、整个认证流程是怎样的?

整个HTTP请求流程
从图中可以看到整个认证、授权的流程,先进行身份验证 ,验证通过后将Token放回给客户端,客户端访问资源的时候请求头中添加Token信息,服务器进行验证并于授权是否能够访问该资源。

3、开始JWT身份认证

3.1 安装JwtBearer包

在.csproj项目中添加JWT包(这里添加有很多种方式,自行选择)

<PackageReference Include="Microsoft.AspNetCore.Authentication.JwtBearer" Version="3.1.3" />
3.2 安装Swashbuckle.AspNetCore包

这里便于进行测试,引入Swagger工具。

<PackageReference Include="Swashbuckle.AspNetCore" Version="5.3.1" />
3.3 添加身份认证相关服务到容器中
services.AddAuthentication(options =>
{
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = false,
        ValidateAudience = false,
        ValidateLifetime = false,
        ValidateIssuerSigningKey = true,
        ValidIssuer = "jonny",
        ValidAudience = "jonny",
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secretsecretsecret"))
    };
});

说明

配置项类型说明
ValidateIssuerSigningKeybool是否调用对签名securityToken的SecurityKey进行验证。
ValidIssuerstring将用于检查令牌的发行者是否与此发行者相同。
ValidateIssuerbool是否验证发行者
ValidAudiencestring检查令牌的受众群体是否与此受众群体相同。
ValidateAudiencebool在令牌验证期间验证受众 。
ValidateLifetimebool验证生命周期。
3.4 添加Swagger服务到容器中
services.AddSwaggerGen(options =>
{
    options.SwaggerDoc("openapi", new Microsoft.OpenApi.Models.OpenApiInfo
    {
        Title = "统一身份认证API",
        Description = "身份认证和授权详解",
        Version = "v1"
    });
    var scheme = new OpenApiSecurityScheme()
    {
        Scheme = JwtBearerDefaults.AuthenticationScheme,
        BearerFormat = "JWT",
        In = ParameterLocation.Header,
        //头名称
        Name = ApiKeyConstants.HeaderName,
        Type = SecuritySchemeType.ApiKey,
        Description = "Bearer Token"
};
options.AddSecurityDefinition(JwtBearerDefaults.AuthenticationScheme, scheme);
options.AddSecurityRequirement(new OpenApiSecurityRequirement()
 {
     {
         new OpenApiSecurityScheme
         {
             Reference = new OpenApiReference
             {
                 Type = ReferenceType.SecurityScheme,
                 Id = "Bearer"
             }
         },
         new string[] {}
     }
 });
});

aspnet core 3.x swagger与2.x有细微的差别,例如swagger中加入jwt和以前就有一定的差别。

swagger加入身份认证后出现了认证按钮。
在这里插入图片描述

3.5 将身份认证加入到管道中
//身份认证中间件(踩坑:授权中间件必须在认证中间件之前)
app.UseAuthentication();

3.x中身份认证一定要在UseRouting和UseEndpoints之间

3.6 将swagger加入到管道中
app.UseSwagger();
app.UseSwaggerUI(options =>
{
     options.RoutePrefix = string.Empty;
     //配置swagger端点
     options.SwaggerEndpoint("swagger/openapi/swagger.json", "openapi v1");
});
3.7 在需要授权的资源上加入Authorize

例如:

[HttpGet("role")]
[Authorize(Roles = "admin")]
public IEnumerable<Claim> GetRole()
{
    return HttpContext.User.FindAll(c => c.Type == ClaimTypes.Role);
}

这里默认使用角色授权机制

4 、测试

4.1 请求资源

这时会返回401,因为没有进行身份认证
在这里插入图片描述

4.2 调用登录获取token

在这里插入图片描述

4.3 将token添加到Header中

在这里插入图片描述

4.4 再次请求

这时返回403,是因为使用的jonny账户登录的没有admin权限。
在这里插入图片描述

4.5 切换admin账户登录

在这里插入图片描述
重复上面的4.3、4.4步骤 。再次测试。这时就能正常访问。
在这里插入图片描述

5、登录逻辑代码

我这里就不做过多的解释 ,直接将相关创建JTW代码等贴出来。

public interface ICustomAuthenticationManager
{
    string Authenticate(string username, string password);

    IDictionary<string, string> Tokens { get; }
}
public class CustomAuthenticationManager : ICustomAuthenticationManager
{
    private readonly IDictionary<string, string> users = new Dictionary<string, string>
    {
        { "admin", "admin" },
        { "jonny", "jonny" },
        { "xhl", "xhl" },
        { "james", "james" }
    };

    public IDictionary<string, string> Tokens { get; } = new Dictionary<string, string>();

    public string Authenticate(string username, string password)
    {
        var claimsIdentity = new ClaimsIdentity(new[]{
            new Claim(ClaimTypes.Name,username)
        });
        if (!users.Any(u => u.Key == username && u.Value == password))
        {
            return null;
        }
        if (username == "admin")
        {
            claimsIdentity.AddClaims(new[]
            {
                new Claim( ClaimTypes.Email, "xhl.jonny@gmail.com"),
                new Claim( "ManageId", "admin"),
                new Claim(ClaimTypes.Role,"admin")
            });
        }
        var handler = new JwtSecurityTokenHandler();
        var tokenDescriptor = new SecurityTokenDescriptor
        {
            Subject = claimsIdentity,
            Expires = DateTime.Now.AddMinutes(3),
            SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secretsecretsecret")), SecurityAlgorithms.HmacSha256),
        };
        var securityToken = handler.CreateToken(tokenDescriptor);
        var token = handler.WriteToken(securityToken);
        Tokens.Add(token, username);
        return token;
    }
}

上面使用内存数据进行逻辑验证 ,实际中需要使用数据库查询验证等。

今天的JWT身份认证就介绍完了 ,下一篇文章将介绍授权。角色授权、身份授权(Claim)、自定义策略授权。

Jonny Lin
关注
  • 7
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
ASP.NET Core学习之使用JWT认证授权详解
12-16
概述 认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统架构也从以前垂直扩展(增加服务器性能) -> 水平扩展(增加服务器数量) cookies-session 工作方式 客户端提交用户信息 -> 服务器识别用户 -> 服务端保存用户信息 -> 返回session-id客户端 -> 客户端保存session-id -> 每次请求cookies带上session-id 这种方式也不是不能水平扩展 , 例如 , ses
ASP.NET Core系列:JWT身份认证
beautifull001的博客
03-03 503
1. JWT概述   JSON Web Token(JWT)是目前流行的跨域身份验证解决方案。   JWT的官网地址:https://jwt.io   JWT的实现方式是将用户信息存储在客户端,服务端不进行保存。每次请求都把令牌带上以校验用户登录状态,这样服务就变成无状态的,利于服务器集群扩展。 1.1 JWT令牌结构   在紧凑的形式,JSON Web Tokens由dot(.)分隔...
net core JWT
最新发布
qq_43826626的博客
03-28 928
在开发程序需要,通常需要对程序进行身份验证和授权,JWT是一种安全传输标准,各种应用程序和服务之间安全地传输信息,例如用户身份验证和授权信息。在 .NET ,我们可以使用 JWT 实现身份验证和授权,并基于声明式安全实现权限控制。通常的办法是使用session来实现,用户登陆后,生成唯一session保存在服务器内存,当浏览器再次访问时,http携带了session,服务器根据该id取到信息实现缺点:用户过多占用服务器资源 每次响应都要向服务器获取一次session。
ASP.NET CORE JWT认证
begeneral的专栏
11-16 1963
ASP.NET CORE版本:.NET 5.0 关于JWT的基础知识,请大家上网搜一下,这里主要从代码层面讲解。 首先新建一个ASP.NET CORE Web api的空项目,然后新建一个LoginController的api控制器。 1、生成Token 先看代码: [Route("api/[controller]/[action]")] [ApiController] public class LoginController : Controller {
.Net Core使用JWT进行身份认证
baidu_38845827的博客
12-01 1131
参照下面的博客一点问题没有 https://www.cnblogs.com/tommao2618/archive/2020/06/19/13127625.html 我自己在测试的时候 生成jwt的token报错:PII is hidden. For more details 参照下面的博客知道了原因是由于设置的key过短 https://blog.csdn.net/gnsyhxg/article/details/96181383 ...
ASP.NET Core 2.2 : 二十七. JWT与用户授权(细化到Action)
weixin_30915951的博客
09-03 472
上一章分享了如何在ASP.NET Core应用JWT进行用户认证以及Token的刷新,本章继续进行下一步,用户授权。涉及到的例子也以上一章的为基础。(ASP.NET Core 系列目录) 一、概述   首先说一下认证(authentication)与授权(authorization),它们经常在一起工作,所以有时候会分不清楚。并且这两个英文单词长得也像兄弟。举例来说,我刷门禁卡进入...
Asp.net-Core-3.1-JWT-身份验证
01-30
Asp.net-Core-3.1-JWT-身份验证
Asp.net Core 3.1 JWT 认证Demo
12-27
Asp.net Core 3.1 JWT 认证Demo,简单的调用Demo,需要重新封装完善
ASP.NET Core 3.1 JWT token实现与应用
04-25
Core 3.1 JWT token实现与应用
aspnet-core-3-jwt-authentication-api:ASP.NET Core 3.1 JWT身份验证API
01-30
aspnet-core-3-jwt-authentication-api ASP.NET Core 3.1-JWT身份验证API 有关文档和说明,请查看
jwt-api:示例API,展示了如何使用ASP.NET Core 3.1(从头开始)实现JSON Web令牌身份验证和授权
05-22
JWT API 此示例API展示了如何使用从头开始构建的ASP.NET Core 3.1来实现JSON Web令牌身份验证和授权。特征用户注册; 密码哈希; 基于角色的授权; 通过访问令牌创建登录; 刷新令牌,以在访问令牌过期时创建新的访问...
Asp.Net Core 3.1 WebApi 实现前后端分离,实现文件上传下载【02源码】
09-24
架构设计:ASP.Net Core 3.1 WebApi+Swagger+Jwt+Autofac。 分享初衷:最近在做前后端分离项目,用到了文件上传下载功能,找了很多类似的案例,基本上都是相互转载,很少有原创的(总之找了很久没找到合适的),最后...
BodyTemperatureMonitorAPI:.NET Core 3.1带有Swagger,JWT身份验证和实体框架的示例Rest API,可通过Asp.net Core MVC前端监视患者体温
02-16
带有Swagger,JWT身份验证和实体框架的.NET Core 3.1的样例Rest API,用于监视患者体温 在docker上运行: 码头工人组成 在VS2019上运行: 打开解决方案文件 在Startup.cs编辑Mysql连接字符串(需要Mysql...
aspnet-core-3-jwt-refresh-tokens-api:ASP.NET Core 3.1 API-带有刷新令牌的JWT身份验证
04-14
aspnet-core-3-jwt-refresh-tokens-api ASP.NET Core 3.1 API-带有刷新令牌的JWT身份验证 提供的文档和说明
基于ASP.NET Core 3.1+Vue.js 的前后端分离的通用后台管理系统框架源码+sln+说明.zip
06-01
基于ASP.NET Core 3.1+Vue.js 的前后端分离的通用后台管理系统框架源码+sln+说明.zip 【资源介绍】 该项目是一个基于 ASP.NET Core 3.1 + Vue.js 的前后端分离的通用后台管理系统框架。后端使用.NET Core 3.1 + ...
aspnet-core-react-template:ASP.NET Core 3.1 React SPA模板应用程序
01-31
ASP.NET Core / React SPA模板应用程序该应用程序是一个模板应用程序,它使用ASP.NET Core 3.1用于REST / JSON API服务器,使用React用于网络客户端。堆栈概述服务器ASP.NET Core 3.1 PostgreSQL 10 带EF迁移的实体...
.net core使用Jwt授权验证
l2Hyacinth的博客
10-30 770
最近学习了下.net core使用Jwt的授权验证,写个笔记加深印象。.net core已经集成了Jwt,只需要添加引用即可,比较简单。使用的.net core2.2版本 没有详细解释Jwt相关信息,只做实际应用,网上有很多相关资料 1、创建一个.net core api项目,以下为项目结构 2、项目创建好之后新建一个名为Models的文件夹(存放接口返回统一格式数据的类) ResponseR...
.net core 3.1JWT用户权限认证(一)
dawei.tu的博客
06-20 516
.net core 3.1JWT用户权限认证(一) jwt官网:jwt官网 什么是JWT? JSON Web Token (JWT) 是一个开放标准 ( RFC 7519 ),它定义了一种紧凑且自包含的方式,用于在各方之间作为 JSON 对象安全地传输信息。该信息可以被验证和信任,因为它是经过数字签名的。JWT 可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 JWT与传统的Session的区别 传统的session模式是用户登录信息保存在session,然后后台服务器会保
使用JWTASP.NET CORE令牌身份验证和授权(无Cookies)–第2部分
cunhan4654的博客
08-25 428
项目使用jwt令牌Download project (LoginDemo project developed in Visual Studio 2017) - 2.1 MB 下载项目(在Visual Studio 2017开发的LoginDemo项目)-2.1 MB 内容 (Contents) Introduction 介绍 User Roles 用户角色 How to Create Cus...
jwt token 过期刷新_.net core 3.1 Jwt操作封装类,JwtHelper,支持生成、刷新等
05-24
使用 JWT 进行身份验证时,通常会设置一个过期时间,以确保用户在一段时间内保持登录状态。当 JWT 过期时,用户需要重新登录并获取新的 JWT 令牌。为了避免用户频繁重新登录,我们可以使用刷新令牌的方式来延长用户的登录状态。 在 .NET Core 3.1 ,我们可以使用 JwtSecurityTokenHandler 类来生成和验证 JWT 令牌。下面是一个简单的 JwtHelper 类的实现,它支持生成、刷新和验证 JWT 令牌: ```csharp using Microsoft.IdentityModel.Tokens; using System; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; public class JwtHelper { private static readonly string secret = "your_secret_key_here"; private static readonly string issuer = "your_issuer_here"; private static readonly int expireMinutes = 30; private static readonly int refreshExpireMinutes = 60; public static string GenerateToken(string userId) { var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret)); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256); var claims = new[] { new Claim(ClaimTypes.NameIdentifier, userId) }; var tokenDescriptor = new SecurityTokenDescriptor { Issuer = issuer, Audience = issuer, Subject = new ClaimsIdentity(claims), Expires = DateTime.UtcNow.AddMinutes(expireMinutes), SigningCredentials = credentials }; var tokenHandler = new JwtSecurityTokenHandler(); var token = tokenHandler.CreateToken(tokenDescriptor); return tokenHandler.WriteToken(token); } public static string RefreshToken(string token) { var tokenHandler = new JwtSecurityTokenHandler(); var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret)); try { var claimsPrincipal = tokenHandler.ValidateToken(token, new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidIssuer = issuer, ValidAudience = issuer, IssuerSigningKey = securityKey, ValidateLifetime = false }, out SecurityToken validatedToken); var jwtToken = validatedToken as JwtSecurityToken; if (jwtToken == null || !jwtToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase)) { throw new SecurityTokenException("Invalid token"); } var userId = claimsPrincipal.FindFirst(ClaimTypes.NameIdentifier).Value; return GenerateToken(userId); } catch(Exception ex) { throw new SecurityTokenException("Invalid token", ex); } } public static bool ValidateToken(string token) { var tokenHandler = new JwtSecurityTokenHandler(); var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret)); try { var claimsPrincipal = tokenHandler.ValidateToken(token, new TokenValidationParameters { ValidateIssuer = true, ValidateAudience = true, ValidIssuer = issuer, ValidAudience = issuer, IssuerSigningKey = securityKey, ValidateLifetime = true, ClockSkew = TimeSpan.Zero }, out SecurityToken validatedToken); var jwtToken = validatedToken as JwtSecurityToken; if (jwtToken == null || !jwtToken.Header.Alg.Equals(SecurityAlgorithms.HmacSha256, StringComparison.InvariantCultureIgnoreCase)) { throw new SecurityTokenException("Invalid token"); } return true; } catch(Exception) { return false; } } } ``` 在上面的代码,我们定义了一个静态的 secret 字符串来存储 JWT 的密钥,一个 issuer 字符串来存储 JWT 的发行者,以及一个 expireMinutes 和 refreshExpireMinutes 来分别设置 JWT 令牌和刷新令牌的过期时间。在 GenerateToken 方法,我们使用 JwtSecurityTokenHandler 类来创建一个 JWT 令牌,并设置其过期时间和签名凭证。在 RefreshToken 方法,我们首先验证传入的 JWT 令牌是否有效,并提取其的用户 ID。然后,我们使用 GenerateToken 方法来生成一个新的 JWT 令牌。在 ValidateToken 方法,我们验证传入的 JWT 令牌是否有效,并返回一个布尔值表示验证结果。 使用 JwtHelper 类非常简单,只需要调用其的 GenerateToken、RefreshToken 和 ValidateToken 方法即可。下面是一个示例: ```csharp var token = JwtHelper.GenerateToken("user_id"); var isValid = JwtHelper.ValidateToken(token); var refreshedToken = JwtHelper.RefreshToken(token); ``` 需要注意的是,由于 JWT 令牌是无状态的,因此在刷新令牌时,我们需要使用一些外部存储机制(如数据库或缓存)来存储每个用户的刷新令牌。当用户请求刷新令牌时,我们可以从外部存储检索出用户的刷新令牌,并验证其有效性后生成新的 JWT 令牌。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值