【.Net Core学习笔记】API JWT授权认证

最新推荐文章于 2024-05-29 08:30:00 发布
最新推荐文章于 2024-05-29 08:30:00 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: .Net Core API 文章标签: JWT Token .Net Core API
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xylinzai_xy/article/details/103095743
版权

 

API授权认证原理

通常我们在调用第三方API的时候都需要一个Token作为凭证,调用方自行根据第三方Token生成规则来生成Token,并作为参数传入。现在作为API提供方,我们需要一套认证机制来确保API和数据的安全,仅被授权的调用方所使用。

JWT(Json Web Token)

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT是由.分割的如下三部分组成:

  • 头部(Header)

Header 一般由两个部分组成:

  • alg
  • typ

alg是是所使用的hash算法,如:HMAC SHA256或RSA,typ是Token的类型,在这里就是:JWT。

{
  "alg": "HS256",
  "typ": "JWT"
}

然后使用Base64Url编码成第一部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.<second part>.<third part>
  • 载荷(Payload)

这一部分是JWT主要的信息存储部分,其中包含了许多种的声明(claims)。

Claims的实体一般包含用户和一些元数据,这些claims分成三种类型:

  • reserved claims:预定义的 一些声明,并不是强制的但是推荐,它们包括 iss (issuer), exp (expiration time), sub (subject),aud(audience) 等(这里都使用三个字母的原因是保证 JWT 的紧凑)。

  • public claims: 公有声明,这个部分可以随便定义,但是要注意和 IANA JSON Web Token 冲突。

  • private claims: 私有声明,这个部分是共享被认定信息中自定义部分。

一个简单的Pyload可以是这样子的:

{
  "sub": "1234567890",
  "name": "Jonny Yan",
  "admin": true
}

这部分同样使用Base64Url编码成第二部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.<third part>
  • 签名(Signature)

Signature是用来验证发送者的JWT的同时也能确保在期间不被篡改。

在创建该部分时候你应该已经有了编码后的Header和Payload,然后使用保存在服务端的秘钥对其签名,一个完整的JWT如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

因此使用JWT具有如下好处:

  • 通用:因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

  • 紧凑:JWT的构成非常简单,字节占用很小,可以通过 GET、POST 等放在 HTTP 的 header 中,非常便于传输。

  • 扩展:JWT是自我包涵的,包含了必要的所有信息,不需要在服务端保存会话信息, 非常易于应用的扩展。

关于更多JWT的介绍,网上非常多,这里就不再多做介绍。下面,演示一下 ASP.NET Core 中 JwtBearer 认证的使用方式。

JwtBearer认证实现

根据前面授权认证的原理,大致包括两部分:发放Token验证Token,先来看总体的框架搭建,后续会解释每个类的作用。

JwtHelper.cs:主要用于生成Token和验证Token

TokenAuthMiddleware.cs:Token验证中间件,用于截获请求

TokenModelJwt.cs:Token实体类,定义一些自己想放置在token中的属性

  • 发放Token

在JwtHelper类中,实现发放token方法,该方法输入参数为Token实体类

/// <summary>
        /// 生成AccessToken
        /// </summary>
        /// <param name="tokenModel"></param>
        /// <returns></returns>
        public static string IssueJWT(TokenModelJwt tokenModel)
        {
            DateTime UTC = DateTime.UtcNow;
            var claims = new List<Claim>
            {
                    new Claim(JwtRegisteredClaimNames.Sub,tokenModel.Id.ToString()),
                    new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),//JWT ID,JWT的唯一标识
                    new Claim(JwtRegisteredClaimNames.Iat, UTC.ToString(), ClaimValueTypes.Integer64),//Issued At,JWT颁发的时间,采用标准unix时间,用于验证过期
            };
            claims.AddRange(tokenModel.Role.Split(',').Select(s => new Claim(ClaimTypes.Role, s)));
            JwtSecurityToken jwt = new JwtSecurityToken(
            issuer: ConfigHelper.GetConfig("Token:Issuer"),
            audience: tokenModel.Name,
            claims: claims,//声明集合
            expires: UTC.AddMinutes(int.Parse(ConfigHelper.GetConfig("Token:Expires"))),//指定token的生命周期,unix时间戳格式,非必须
            signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(ConfigHelper.GetConfig("Token:SecurityKey"))), SecurityAlgorithms.HmacSha256)
            );
            var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);//生成最后的JWT字符串
            return encodedJwt;
        }

Token实体类

public class TokenModelJwt
    {
        public int Id { get; set; }
        /// <summary>
        /// Name
        /// </summary>
        public string Name { get; set; }
        /// <summary>
        /// Role
        /// </summary>
        public string Role { get; set; }

    }

在控制器中,新建一个Action用于给外部调用来生成Token

/// <summary>
        /// 获取Access Token
        /// </summary>
        /// <param name="userName"></param>
        /// <param name="passWord"></param>
        /// <returns></returns>
        [HttpGet]
        public object GetAccessToken([FromQuery]string userName, [FromQuery] string passWord)
        {
            string jwtStr = string.Empty;
            bool suc = false;
            //查询数据库,检验用户是否存在
            if (true)
            {
                TokenModelJwt tokenModel = new TokenModelJwt
                {
                    Id = 1,
                    Name = "Jonny Yan",
                    Role = "Admin"
                };
                jwtStr = JwtHelper.IssueJWT(tokenModel);//登录,获取到一定规则的 Token 令牌
                suc = true;
            }
            else
            {
                jwtStr = "InValid User!";
                Logger.Info("InValid User");
            }
            return new { Token = jwtStr, Success = suc };
        }

至此已经完成Token发送的功能

  • 验证Token

我们发放了Token,调用方将Token至于请求header中传递过来,我们要验证Token的有效性,主要验证如下部分

  1. Token的格式是否正确
  2. Token的颁发者,过期时间等
  3. 解析Token中的用户信息(发放Token时,我们传入的token实体)

编辑Jwthelper.cs类,实现验证Token的方法

        /// <summary>
        /// 验证Token是否有效
        /// </summary>
        /// <param name="token"></param>
        /// <returns></returns>
        public static SecurityToken VerifyToken(string token)
        {
            var validationParameters = new TokenValidationParameters()
            {
                ValidateIssuerSigningKey = true, //验证私钥
                IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(ConfigHelper.GetConfig("Token:SecurityKey"))),
                ValidateLifetime = true,//是否验证Token有效期
                ClockSkew = TimeSpan.Zero, // 允许的服务器时间偏移量
                RequireExpirationTime = true,//否要求Token的Claims中必须包含Expires
                ValidateAudience = false, //是否验证订阅者
                ValidateIssuer = true,//是否验证提供者
                ValidIssuers = new List<string> { ConfigHelper.GetConfig("Token:Issuer") } //合法的token提供者
            };

            var tokenHandler = new JwtSecurityTokenHandler();
            SecurityToken validatedToken = null;
            try
            {
                tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
            }
            catch (SecurityTokenException ex)
            {
                //log ex.message
                Logger.Error(ex.Message, ex);
            }
            catch (Exception ex)
            {
                //log ex.message
                Logger.Error(ex.Message, ex);
            }
            return validatedToken;
        }

编辑TokenAuthMiddleware.cs中间件类,截获请求,实现Token验证

public class TokenAuthMiddleware
    {
        /// <summary>
        /// http委托
        /// </summary>
        private readonly RequestDelegate _next;
        /// <summary>
        /// 构造函数
        /// </summary>
        /// <param name="next"></param>
        public TokenAuthMiddleware(RequestDelegate next)
        {
            _next = next;
        }
        /// <summary>
        /// 验证授权
        /// </summary>
        /// <param name="httpContext"></param>
        /// <returns></returns>
        public Task Invoke(HttpContext httpContext)
        {
            var headers = httpContext.Request.Headers;
            //检测是否包含'Authorization'请求头,如果不包含返回context进行下一个中间件,用于访问不需要认证的API
            if (!headers.ContainsKey("Authorization"))
            {
                return _next(httpContext);
            }
            var tokenStr = headers["Authorization"];

            string jwtStr = tokenStr.ToString().Replace("Bearer ", "");
            try
            {


                JwtSecurityToken access_token = JwtHelper.VerifyToken(jwtStr) as JwtSecurityToken;
                if (access_token != null)
                {
                    object role;
                    access_token.Payload.TryGetValue(ClaimTypes.Role, out role);
                    TokenModelJwt tm = new TokenModelJwt
                    {
                        Id = int.Parse(access_token.Payload.Sub),
                        Name = access_token.Payload.Aud[0]
                    };
                    var claimList = new List<Claim>();
                    if (role.GetType().Equals(typeof(JArray)))
                    {
                        IEnumerable enumerable = role as IEnumerable;
                        foreach (object element in enumerable)
                        {
                            claimList.Add(new Claim(ClaimTypes.Role, element.ToString()));
                        }
                    }
                    else
                    {
                        claimList.Add(new Claim(ClaimTypes.Role, role.ToString()));
                    }
                    claimList.Add(new Claim(ClaimTypes.Name, tm.Name));
                    claimList.Add(new Claim(ClaimTypes.PrimarySid, tm.Id.ToString()));
                    var identity = new ClaimsIdentity(claimList);
                    var principal = new ClaimsPrincipal(identity);
                    httpContext.User = principal;
                }
                return _next(httpContext);
            }
            catch (Exception ex)
            {
                Logger.Info(ex.Message, ex);
                return httpContext.Response.WriteAsync("Invalid Access Token");
            }
        }
    }

注意事项:在解析Token后,如果用户由多个角色,我们需要循环将每个Role都加入到Claim List中

至此已经完成Token验证的功能

  • 配置自定义的中间件

打开iStartup.cs类,编辑ConfigureServices方法,插入以下代码

 //自定义认证
            services.AddAuthorization(options =>
            {
                options.AddPolicy("Client", policy => policy.RequireRole("Client").Build());
                options.AddPolicy("Admin", policy => policy.RequireRole("Admin").Build());
                options.AddPolicy("ClientOrAdmin", policy => policy.RequireRole("Admin", "Client").Build());
            });
            //微软自带认证
            services.AddAuthentication(x =>
            {
                x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            }).AddJwtBearer(o =>
                    {
                        o.TokenValidationParameters = new TokenValidationParameters
                        {
                            ValidateIssuerSigningKey = true, //验证私钥
                            IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(Configuration["Token:SecurityKey"])),
                            ValidateLifetime = true,//是否验证Token有效期
                            ClockSkew = TimeSpan.Zero, // 允许的服务器时间偏移量
                            RequireExpirationTime = true,//否要求Token的Claims中必须包含Expires
                            ValidateAudience = false, //是否验证订阅者
                            ValidateIssuer = true,//是否验证提供者
                            ValidIssuers = new List<string> { Configuration["Token:Issuer"] } //合法的token提供者
                        };

                    });

编辑Config方法,启用中间件

至此已经完成自定义中间件的配置

  • 测试授权

在需要授权的Action中,加上Authorize特性,并且指定可以访问的角色(此处为策略,因为一个Action可能会被允许多个role访问,所以我们用策略来对role分组)

如果没由输入Token,访问API直接返回401错误

至此基于JWT授权认证的整个过程已经完成

JonnyYan
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
netCore3.1 WebApi 使用JWT 授权认证使用实例
01-21
netCore3.1 WebApi 使用JWT 授权认证使用实例
ASP.NET Core 2.2 : 二十七. JWT与用户授权(细化到Action)
weixin_30915951的博客
09-03 475
上一章分享了如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新,本章继续进行下一步,用户授权。涉及到的例子也以上一章的为基础。(ASP.NET Core 系列目录) 一、概述   首先说一下认证(authentication)与授权(authorization),它们经常在一起工作,所以有时候会分不清楚。并且这两个英文单词长得也像兄弟。举例来说,我刷门禁卡进入...
Springboot 开发 -- 集成 JWT 构建安全的API接口服务
最新发布
dazhong2012的专栏
05-29 2621
通过上述步骤,我们成功地在SpringBoot项目中集成了JWT,实现了API接口服务的身份验证。JWT提供了一种安全、高效的方式来处理身份验证和信息交换,特别适合于微服务和分布式系统。然而,需要注意的是,JWT不适用于需要高度安全的场景,如支付系统,因为JWT一旦发出,就无法撤销,除非等到它自然过期。此外,由于JWT通常存储在客户端,因此它们容易受到跨站脚本攻击(XSS)的影响。
ASP.NET Core 3.1 系列之 Web API 添加身份验证Jwt
.NET 方向项目经验分享
06-02 729
ASP.NET Core 3.1 Web API 添加身份验证Jwt详细教程
.Net Core WebApi集成JWT实现身份认证
你要明白,任何问题都不是孤立存在的,一定有人曾经遇到过,并且已经有更好的解决办法了,只是我还不知道。我不应该在黑暗中独自前行,去重新发明轮子,也许我的顿悟,只是别人的基本功!我应该要站在巨人的肩膀上,学习更成熟的经验和方法,然后再来解决这个问题
09-24 4325
前言 随着技术的发展,分布式web应用的普及,通过session管理用户登录状态成本越来越高,因此慢慢发展成为token的方式做登录身份校验,然后通过token去取redis中的缓存的用户信息,随着之后jwt的出现,校验方式更加简单便捷化,无需通过redis缓存,而是直接根据token取出保存的用户信息,以及对token可用性校验,单点登录更为简单。JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。适用于多客户端
VSCode+.Net Core 2.0 WebAPI JWT身份验证
liwan09的博客
07-03 4186
一、使用VSCode 创建WebApi 1、在官网下载 VSCode以及dotnet-sdk-2.1的安装包(本人为windows64) 2、安装包安装完成后,启动VSCode,使用dotnet 命令 dotnet new webapi 创建一个webAPi项目 二、appsettings.json 配置JWT基础信息 1、JWT 官网 https://jwt.io 2、webapi 项...
ASP.NET Core学习之使用JWT认证授权详解
12-16
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统...
asp.net core 6 api简单授权认证
07-23
ASP.NET Core 6 API 简单授权认证是构建安全Web API的重要环节,它确保只有经过验证的用户或服务能够访问敏感数据或执行特定操作。在这个框架中,授权是通过策略来实现的,这些策略定义了用户必须满足的条件才能访问...
浅谈ASP.NET Corejwt授权认证的流程原理
10-15
ASP.NET Core 中的 JWT(JSON Web Tokens)授权认证是一种安全机制,用于验证用户身份并授权访问受保护的API资源。JWT 是一个轻量级的身份验证标准,它允许服务器通过发送一个自包含的令牌来确认用户身份,而不是...
.net core webapi jwt 更为清爽的认证详解
10-16
主要介绍了.net core webapi jwt 更为清爽的认证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
在.NET Core中使用JwtAPI进行认证
qq_39110534的博客
12-03 150
  在.NET Core中想给API进行安全认证,最简单的无非就是Jwt,悠然记得一年前写的Jwt Demo,现在拿回来改成.NET Core的,但是在编码上的改变并不大,因为Jwt已经足够强大了。在项目中分为DotNetCore_Jwt_Server以及DotNetCore_Jwt_Client,从名字就可以看出来是啥意思,博客园高手云集,我就不多诉说,这篇博客就当是一篇记录。...
.NET core 3.0如何使用Jwt保护api详解
01-01
摘要: 本文演示如何向有效用户提供jwt,以及如何在webapi中使用该token通过JwtBearerMiddleware中间件对用户进行身份认证认证授权区别? 首先我们要弄清楚认证(Authentication)和授权(Authorization)的区别,以免混淆了。认证是确认的过程中你是谁,而授权围绕是你被允许做什么,即权限。显然,在确认允许用户做什么之前,你需要知道他们是谁,因此,在需要授权时,还必须以某种方式对用户进行身份验证。 什么是JWT? 根据维基百科的定义,JSON WEB Token(JWT),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT
asp.net core集成JWT的步骤记录
01-01
【什么是JWT】 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。 JWT的官网地址:https://jwt.io/ 通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT令牌在api接口中校验用户的身份以确认用户是否有访问api的权限。 JWT中包含了身份认证必须的参数以及用户自定义的参数,JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。 【什么时候应该使用JSON Web令牌?】 授权:这是使用JWT的最常见方案。一旦用户登录,每个后续请求将包括JWT,允许用户访问该令牌允许的路由,服务和资源。Single Sign On是
API鉴权及JWT详细分析
chengkegou8534的博客
06-19 1341
Web API常见的鉴权方法,即WebAPI中保障请求合法性的常见方法: (1)、API Key + API Secret (2)、cookie-session认证 这是比较老牌的鉴权方式了,这种鉴权方式有一下特点: A、为了使后台应用能识别是那个用户发出的请求,只能在后台服务器存储一...
webapi JWT 认证
weixin_30347335的博客
04-23 218
第一步 使用ng安装JWT组件 第二步 编写登录和生成token代码 byte[] key = Encoding.UTF8.GetBytes("123456789aaaaaaa"); IJwtAlgorithm algorithm = new HMACSHA256Algorithm();//加密方式 IJsonSe...
.net6 webapi使用JWT授权认证
qq_43893277的博客
07-24 2443
webapi jwt 授权认证
Laravel——API认证JWT(二)
qq_42217708的博客
01-17 709
在返回响应之前,大多数API需要通过某种形式的身份验证。 有时,经过和未经过身份验证的请求,响应的内容会有所不同。也就是登录之后的用户看到页面和没有登录看到页面是不一样的。 JSON Web Tokens (JWT) tymon/jwt-auth是使用第三方来集成JWT身份验证的软件包。 ...
HTTP API 认证技术详解(三):JWT Authentication
路多辛的所思所想
01-15 1259
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),定义了一种紧凑的、自包含的格式,用于实现网络应用程序中的身份验证和授权机制。
jwt https://mp.weixin.qq.com/s/8FdzMq4msyhqE9Rrhgwqjw
weixin_30276935的博客
09-21 6701
使用JWT来实现对API授权访问 Beginnerjava思维导图前天 什么是JWT JWT(JSON Web Token)是一个开放标准(RFC 7519),它定义了一种紧凑且独立的方式,可以在各个系统之间用JSON作为对象安全地传输信息,并且可以保证所传输的信息不会被篡改。 JWT通常有两种应用场景: 授权。这是最常见的JWT使用场景。一旦用户...
【ASP.NET编程知识】.net core webapi jwt 更为清爽的认证详解.docx
05-15
【ASP.NET编程知识】.net core webapi jwt 更为清爽的认证详解.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值