ASP.NET Core Web API 依赖注入及JWT认证配置

已于 2022-04-22 22:11:04 修改
阅读量943 收藏 1
点赞数
分类专栏: asp.net core 文章标签: asp.net core
于 2022-04-22 14:20:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zythy/article/details/124343231
版权

如何新建项目我们在此直接跳过。Target framework我选的是.NET6.0,但是starpup我还是沿用了老的书写方式,当然采用新的书写方式代码会更精简,都是可以的。

前端采用React开发,请参阅:React中利用axios进行Jwt登录认证

program.cs代码简单明了:

public class Program
    {
        public static void Main(string[] args)
        {
            CreateHostBuilder(args).Build().Run();
        }

        public static IHostBuilder CreateHostBuilder(string[] args) =>
            Host.CreateDefaultBuilder(args)
                .ConfigureWebHostDefaults(webBuilder =>
                {
                    webBuilder.UseStartup<Startup>()
                    .UseDefaultServiceProvider(options =>
                    {
                    }); 
                });

    }

startup.cs代码有点多:

 public class Startup
    {
        public Startup(IConfiguration configuration)
        {
            Configuration = configuration;

            var builder = new ConfigurationBuilder().AddJsonFile("appsettings.json", false, true)
                .AddEnvironmentVariables();

            Configuration = builder.Build();
        }

        public IConfiguration Configuration { get; set; }
        
        public void ConfigureServices(IServiceCollection services)
        {
            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
                // 采用的是Jwt认证方式,必要的配置项在appsettings.json中设置
                // Jwt认证的配置项比较多,此处只做了最基本的。有需要的话可以查询相关文档
                .AddJwtBearer(options =>
                {
                    options.TokenValidationParameters = new TokenValidationParameters
                    {
                        ValidateIssuer = true,
                        ValidateAudience = true,
                        ValidateLifetime = true,
                        ClockSkew = TimeSpan.Zero,
                        ValidateIssuerSigningKey = false,
                        ValidAudience = Configuration.GetSection("JwtSettings")["Audience"],
                        ValidIssuer = Configuration.GetSection("JwtSettings")["Issuer"],
                        IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.
                                    GetBytes(Configuration.GetSection("JwtSettings")["SecretKey"])),
                    };

                    options.Events = new JwtBearerEvents()
                    {
                        OnAuthenticationFailed = (context) =>
                        {
                            var x = context.Exception;
                            if (context.Exception?.GetType() == typeof(SecurityTokenExpiredException))
                            {
                            }
                            return Task.CompletedTask;
                        }
                        ,
                        OnTokenValidated = (context) =>
                        {
                            // UserToken是在Jwt的Playload中传递的,请查看下文login方法中的代码;
                            // UserToken与用户表的主键UserId是一一对应关系,作用类似于UserId
                            string userToken = context.Principal.Claims.ToList().
                            FirstOrDefault(m => m.Type == "UserToken").Value;
                            // 之所以需要将userToken添加到Request.Header中,
                            // 是因为在后续的鉴权中间件中需要根据UserToken去读取相应的用户数据
                            context.Request.Headers["userToken"] = userToken;

                            return Task.CompletedTask;
                        },
                        OnForbidden = (context) =>
                        {
                            return Task.CompletedTask;
                        },

                        OnChallenge = (context) =>
                        {
                            return Task.CompletedTask;
                        }
                    };
                });

            // 指定Controller中Action返回结果时的序列化方式
            // 系统默认额序列化方式和NewtonsoftJson有一些差别,
            // 考虑到更容易和前端用的React协调,此处采用NewtonsoftJson
            services.AddControllers().AddNewtonsoftJson(options =>
            {                
                options.SerializerSettings.ContractResolver = new DefaultContractResolver();
            });
            
            services.AddSwaggerGen(c =>
            {
                c.SwaggerDoc("v1", new Microsoft.OpenApi.Models.OpenApiInfo
                {
                    Version = "v1",
                    Title = "Swagger Web API",
                    Description = "Swagger Web API",
                });
            });

            // 用户鉴权时因为要调用数据库数据,此处采用MemoryCache进行缓存
            // 如果不在此处设置,也可以在下方的ConfigureDependencyInjection方法中
            // 利用以下代码进行注入,效果一样:services.AddSingleton<IMemoryCache, MemoryCache>()
            services.AddMemoryCache();

            ConfigureDependencyInjection(services);
        }
        
        public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {            
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
                app.UseSwagger(options =>
                {
                    options.SerializeAsV2 = true;
                });
                app.UseSwaggerUI(options =>
                {                
                    options.SwaggerEndpoint("/swagger/v1/swagger.json", "v1");
                    options.RoutePrefix = "doc";
                });
            }
            else
            {
                app.UseMiddleware<ExceptionHandler>();
            }

            // app.UseHttpsRedirection();

            // 以下use的顺序不能颠倒
            app.UseRouting();       
            app.UseAuthentication();
            app.UseAuthorization();

            // PermissionHandler用户鉴权,即用户是否有权限访问某个页面或资源
            // 这个动作是在Authentication之后,因为鉴权时需要访问Jwt中包含的UserToken
            app.UseMiddleware<PermissionHandler>();

            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }
        public void ConfigureDependencyInjection(IServiceCollection services)
        {
            // 为什么需要这些注入,我们会在后续相关代码中解释
            // 为了统一Log记录,BLL或DAL各个项目中都将需要用到Configuration中的相关配置
            services.AddSingleton<IConfiguration>(Configuration);
            services.AddScoped<IUserManager, UserManager>();
            services.AddScoped<ISystemManager, SystemManager>();
            services.AddScoped<ICommonManager, CommonManager>();
            services.AddScoped<IPermissionManager, PermissionManager>();            
            services.AddSingleton<ILogger>(NLog.Web.NLogBuilder.ConfigureNLog("NLog.config").
                GetCurrentClassLogger());
        }
    }

依赖注入会在Controller的构造函数中用到,比如UserController中:

   public class UserController : BaseController
    {
        IUserManager userManager;
        ISystemManager systemManager;
        public UserController( IConfiguration configuration, ILogger logger, IUserManager userManager,
            ISystemManager systemManager, ICommonManager commonManager, IMemoryCache memoryCache) 
            : base(configuration, logger,commonManager, memoryCache)
        {
            this.userManager = userManager;
            this.systemManager = systemManager;
        }

所有的Controller都继承自BaseController。在BaseController中包含了依赖注入和用户登录认证的逻辑:

    [ApiController]
    public class BaseController :Controller
    {
        protected ICommonManager commonManager;
        protected IConfiguration configuration;
        protected ILogger logger;
        protected IMemoryCache memoryCache;
        protected int companyId;
        protected int pageSize;
    
        public BaseController(IConfiguration configuration,ILogger logger, 
            ICommonManager commonManager, IMemoryCache memoryCache)
        {
            this.configuration = configuration;
            this.logger = logger;
            this.pageSize =int.Parse(configuration.GetSection("AppSettings")["PageSize"]);
            this.commonManager = commonManager;
            this.memoryCache = memoryCache;
        }

        public override void OnActionExecuting(ActionExecutingContext context)
        {
            // 此项目计划用到多租户的SaaS系统,所以此处会获取用户的companyId;请忽略
            companyId = 0;

            //Headers["userToken"]是在Jwt验证通过以后添加的,此处会被获取
            string userToken = Request?.Headers?["userToken"];
            
            if (!string.IsNullOrWhiteSpace(userToken))
            {
                // 正常登录用户每个请求都会执行用户信息读取,所以此处用到了MemoryCache;可忽略
                data.User user = memoryCache.Get<data.User>(MemoryCacheKeys.UserTokenKeyPre + userToken);

                if (user == null)
                {
                    user = commonManager.GetUserByToken(userToken);
                    if (user != null)
                    {
                        memoryCache.Set<data.User>(MemoryCacheKeys.UserTokenKeyPre + user.UserToken, user,
                       new MemoryCacheEntryOptions { 
                           AbsoluteExpiration = DateTime.Now.AddMinutes(int.Parse(configuration.GetSection
                           ("AppSettings")["MemoryCacheExpiredInMinute"])) });
                        companyId = user.CompanyId;
                    }     
                    else
                    {
                        // 如果通过userToken找不到用户,可能是因为用户已经被删除,或者userToken值被更改;
                        // 另外,此时需要判断Action是否允许匿名访问,以防止将login的合法请求拒绝
                        ControllerActionDescriptor descriptor = 
                            context.ActionDescriptor as ControllerActionDescriptor;

                        // 需要using System.Reflection,否则无法访问GetCustomAttributes方法
                        if (!descriptor.MethodInfo.GetCustomAttributes<AllowAnonymousAttribute>().
                            Any<AllowAnonymousAttribute>())
                        {
                            context.Result = new StatusCodeResult(StatusCodes.Status401Unauthorized);
                            return;
                        }                            
                    }
                }
                else
                {
                    companyId = user.CompanyId;
                }
            }
        }
    }

用户登录及Jwt相关代码:

(其中的一些JsonMessage这些类,都是自己定义的,可以自行调整)

        [HttpPost]
        [Route("authorize/login")]
        //AllowAnonymous必须要写,因为后续鉴权中间件中会假定前端请求中带有必要的UserToken
        [AllowAnonymous]
        public async Task<JsonMessage> Login(User loginUser)
        {
            string msgLoginFailed = "错误的用户名或密码";

            if (string.IsNullOrWhiteSpace(loginUser.LoginId) ||
                string.IsNullOrWhiteSpace(loginUser.Password))
            {                
                return new JsonMessage() { code = JsonResponseCode.Failed, message = msgLoginFailed };
            }
            
            User user=  await userManager.GetUserByLoginId(loginUser.LoginId);
            if (user == null)
            {
                return new JsonMessage() {code= JsonResponseCode.Failed,message= msgLoginFailed };
            }           
            
            using (var md5 = MD5.Create())
            {                
                if (BitConverter.ToString(md5.ComputeHash(
                    Encoding.UTF8.GetBytes(loginUser.Password)))==user.Password)
                {
                    // UserToken会作为Jwt的playload,后续做验证时会被解出来识别用户身份
                    var claims = new Claim[] {
                        new Claim("UserToken", user.UserToken),
                        new Claim("UserName", user.UserName)                        
                    };
                    
                    var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(
                        configuration.GetSection("JwtSettings")["SecretKey"]));
                    var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
                    var token = new JwtSecurityToken(
                        configuration.GetSection("JwtSettings")["Issuer"],
                        configuration.GetSection("JwtSettings")["Audience"],
                        claims,
                        DateTime.Now,
                        DateTime.Now.AddYears(1),// 过期的逻辑暂时没写
                        creds);                    

                    return new JsonMessage { code= JsonResponseCode.Success,
                        data= new JwtSecurityTokenHandler().WriteToken(token),
                        addition=new User { LoginId=user.LoginId,UserName=user.UserName,
                            CompanyName=user.CompanyName,PermissionIds=user.PermissionIds} };
                }
                else
                {
                    return new JsonMessage() { code = JsonResponseCode.Failed, message = msgLoginFailed };
                }                
            }             
        }

以上代码比较多,看起来也会比较乱,还有很多模块的代码没法都贴上去。这个示例只是用于演示最基本的Jwt和依赖注入。后续我会再写一篇React来讲解如何配合后台完成登录验证和数据请求。

serven-star
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
.Net Core6.0 WebAPI项目框架搭建五:JWT权限验证
yigu4011的博客
05-19 3889
在SetUp文件夹里面新建注册方法AuthorizationSetup.cs。这里就不过多的阐述了,直接上代码。在HomeController中新建Login接口来获取Token。在appsettings.json中配置jwt参数的值。上面我们是用的Admin的权限,所以会提示403错误。在program.cs里面注册服务,开启服务。SecretKey必须大于16个字符。新建JwtHelper.cs帮助类。解析出来的role是Admin。
.NET6WebAPI使用Sqlserver+JWT增删改查
06-26
在本项目中,".NET6WebAPI使用Sqlserver+JWT增删改查"是一个基于最新.NET框架.NET6构建的Web应用程序示例,主要用于演示如何利用ASP.NET Core Web API与SQL Server数据库进行数据操作,以及结合JWT(JSON Web Tokens...
ASP.NET Core MVC 项目 创建JWT搭配WebApi和MinimalApi实现输出Token
Vin Cente
04-02 1365
一:新建WebApi项目 二:添加关键类 三:修改appsettings.json文件 四:修改Program.cs文件 五:添加控制器AuthenticationController 六:结果截图
.net控制台应用中使用依赖注入
初夏de遐想的博客
01-10 1797
.net控制台应用中使用Microsoft.Extensions.DependencyInjection依赖注入的要点记录,并以定时任务控制台应用为例进行解释。
.NET JWT入坑
最新发布
ooo
04-12 983
(JSON Web Token) 是一种安全传输信息的开放标准,由Header、Payload和Signature三部分组成。它主要用于身份验证、信息交换和授权。JWT可验证用户身份,确保访问权限,实现单点登录,并在客户端和服务器之间安全地交换信息。因其简单、安全和便捷,JWT在现代Web应用中广泛使用。
JWT权限验证
qq_42832611的博客
03-16 1125
DotnetCore使用Jwt在awagger中进行权限验证
.NET Core API框架实战(五) 依赖注入 服务的注册与提供
qq_35193189的博客
08-24 6656
ASP.NET Core 的底层设计支持和使用依赖注入ASP.NET Core 应用程序可以利用内置的框架服务将它们注入到启动类Startup的方法中,并且应用程序服务ConfigureServices能够配置注入。
ASP.NET Core5.0 WebApi和BlazorWebAssembly 博客后台管理系统(jwt登录校验)MySQL
01-15
ASP.NET Core 5.0中,WebAPI配置更加灵活,支持C#特性驱动的路由、中间件和依赖注入。开发者可以轻松地定义控制器,处理GET、POST等HTTP操作,返回JSON或XML格式的数据。 BlazorWebAssembly是ASP.NET Core的另...
asp.net core api+jwt+swagger CRM管理系统 后台接口
11-29
总的来说,这个CRM系统结合了ASP.NET Core的强大功能、JWT的安全认证机制以及Swagger的API管理工具,构建了一个高效、安全且易于使用的后台接口。这样的设计不仅提高了开发效率,也提升了系统的可维护性和用户体验。
Core5 WebApi JWT验证登录+注入依赖Demo
12-12
【标题】"Core5 WebApi JWT验证登录+注入依赖Demo" 涉及到的关键技术主要集中在.NET Core 5框架下的WebAPI开发、JSON Web Token(JWT)验证以及依赖注入。这里将详细介绍这些核心概念。 1. **WebAPI**: WebAPI是...
Net.WebApi_JWT.zip
09-11
WebAPI基于ASP.NET,提供了强大的路由、模型绑定和验证功能,使得构建Web服务变得更加简单。 2. **Swagger**:Swagger是一个开源工具集,用于设计、构建、文档化和使用RESTful Web服务。在.NET WebAPI项目中,...
详解.NET Core 依赖注入生命周期
01-08
前言 .NET Core 自带依赖注入框架,支持三种不同生命周期的注入模式: Singleton 单例模式 Scoped 区域模式 Transient 瞬时模式 但是常常不知道什么时候使用哪种模式才最合适,接下来我就用代码详细解读一下三种模式 代码示例 首先新建.NET Core API项目来进行代码测试 原创文章 16获赞 12访问量 1万+ 关注
C# 过滤器/拦截器
qq_38192821的博客
05-09 2490
过滤器,拦截器,区别。
5.1基于JWT认证和授权「深入浅出ASP.NET Core系列」
weixin_30894583的博客
11-16 124
希望给你3-5分钟的碎片化学习,可能是坐地铁、等公交,积少成多,水滴石穿,码字辛苦,如果你吃了蛋觉得味道不错,希望点个赞,谢谢关注。 Cookie-Based认证 认证流程   我们先看下传统Web端的认证流程:      以上流程很简单,有过mvc开发经验的都了如指掌,一图胜千言就不展开介绍了,下面简单演示一下实现: 编码实现   首先我们新建一个mvc项目      ...
ASP.Net Core 3.1 中使用JWT认证
dotNET跨平台
01-12 3631
JWT认证简单介绍关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。 JWT主要由三部分组成,如下:HEADER.PAYLOAD.SIGNATURE...
ASP.NET CORE SWAGGER 教程三 JWT权限验证
雨中深巷的油纸伞
12-28 2555
原文作者:老张的哲学 如何给接口实现权限验证? 其实关于这一块,我思考了下,因为毕竟我的项目中是使用的vue + api 搭建一个前台展示,大部分页面都没有涉及到权限验证,本来要忽略这一章节,可是犹豫再三,还是给大家简单分析了下,个人还是希望陪大家一直搭建一个较为强大的,只要是涉及到后端那一定就需要 登录=》验证了,本文主要是参考网友https://www.cnblogs.com/RayWan...
.NET CORE TOKEN 权限验证
weixin_30672019的博客
05-23 529
.NET CORE TOKEN 权限验证 原文:.NET CORE TOKEN 权限验证 版权声明:本文为博主原创文章,未经博主允许不得转载。 ...
ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口
dotNET跨平台
08-23 1540
目录① 存储角色/用户所能访问的 API② 实现 IAuthorizationRequirement 接口③ 实现 TokenValidationParameters④ ...
JSON WEB TOKEN
weixin_34273481的博客
03-19 724
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token...
ASP.NET编程知识】.net core webapi jwt 更为清爽的认证详解.docx
05-15
"这篇文档详细介绍了ASP.NET Core WebAPI中使用JWT(JSON Web Token)进行身份认证的方法,提供了一种非主流但更灵活的实现方式。文档涵盖了从配置、定义配置类到实现加密解密接口的整个流程。" 在ASP.NET Core Web...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值