首页 > 编程 > .NET > 正文

.NET core 3.0如何使用Jwt保护api详解

2020-01-17 20:30:09
字体:
来源:转载
供稿:网友

摘要:

本文演示如何向有效用户提供jwt,以及如何在webapi中使用该token通过JwtBearerMiddleware中间件对用户进行身份认证。

认证和授权区别?

首先我们要弄清楚认证(Authentication)和授权(Authorization)的区别,以免混淆了。认证是确认的过程中你是谁,而授权围绕是你被允许做什么,即权限。显然,在确认允许用户做什么之前,你需要知道他们是谁,因此,在需要授权时,还必须以某种方式对用户进行身份验证。

什么是JWT?

根据维基百科的定义,JSON WEB Token(JWT),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。JWT通常由三部分组成:头信息(header),消息体(payload)和签名(signature)。

头信息指定了该JWT使用的签名算法:

header = '{"alg":"HS256","typ":"JWT"}'

HS256表示使用了HMAC-SHA256来生成签名。

消息体包含了JWT的意图:

payload = '{"loggedInAs":"admin","iat":1422779638}'//iat表示令牌生成的时间

未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成:

key = 'secretkey' unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload) signature = HMAC-SHA256(key, unsignedToken)

最后在未签名的令牌尾部拼接上base64url编码的签名(同样使用"."分隔)就是JWT了:

token = encodeBase64(header) + '.' + encodeBase64(payload) + '.' + encodeBase64(signature)# token看起来像这样: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

JWT常常被用作保护服务端的资源(resource),客户端通常将JWT通过HTTP的Authorization header发送给服务端,服务端使用自己保存的key计算、验证签名以判断该JWT是否可信:

Authorization: Bearer eyJhbGci*...<snip>...*yu5CSpyHI

准备工作

使用vs2019创建webapi项目,并且安装nuget包

Microsoft.AspNetCore.Authentication.JwtBearer


Startup类

ConfigureServices 添加认证服务

services.AddAuthentication(options =>   {    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;    options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;   }).AddJwtBearer(options =>   {    options.SaveToken = true;    options.RequireHttpsMetadata = false;    options.TokenValidationParameters = new TokenValidationParameters()    {     ValidateIssuer = true,     ValidateAudience = true,     ValidAudience = "https://www.cnblogs.com/chengtian",     ValidIssuer = "https://www.cnblogs.com/chengtian",     IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey"))    };   });

Configure 配置认证中间件

 app.UseAuthentication();//认证中间件、

创建一个token

添加一个登录model命名为LoginInput

public class LoginInput {  public string Username { get; set; }  public string Password { get; set; } }

添加一个认证控制器命名为AuthenticateController

[Route("api/[controller]")] public class AuthenticateController : Controller {  [HttpPost]  [Route("login")]  public IActionResult Login([FromBody]LoginInput input)  {   //从数据库验证用户名,密码    //验证通过 否则 返回Unauthorized   //创建claim   var authClaims = new[] {    new Claim(JwtRegisteredClaimNames.Sub,input.Username),    new Claim(JwtRegisteredClaimNames.Jti,Guid.NewGuid().ToString())   };   IdentityModelEventSource.ShowPII = true;   //签名秘钥 可以放到json文件中   var authSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey"));   var token = new JwtSecurityToken(     issuer: "https://www.cnblogs.com/chengtian",     audience: "https://www.cnblogs.com/chengtian",     expires: DateTime.Now.AddHours(2),     claims: authClaims,     signingCredentials: new SigningCredentials(authSigningKey, SecurityAlgorithms.HmacSha256)     );   //返回token和过期时间   return Ok(new   {    token = new JwtSecurityTokenHandler().WriteToken(token),    expiration = token.ValidTo   });  } }

添加api资源

利用默认的控制器WeatherForecastController

  • 添加个Authorize标签
  • 路由调整为:[Route("api/[controller]")] 代码如下
 [Authorize] [ApiController] [Route("api/[controller]")] public class WeatherForecastController : ControllerBase

到此所有的代码都已经准好了,下面进行运行测试

运行项目

使用postman进行模拟

输入url:https://localhost:44364/api/weatherforecast

    

发现返回时401未认证,下面获取token

通过用户和密码获取token

如果我们的凭证正确,将会返回一个token和过期日期,然后利用该令牌进行访问

利用token进行请求

ok,最后发现请求状态200!

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对武林网的支持。

上一篇:VS2019以及MFC的安装详细教程

下一篇:.Net Core读取Json配置文件的实现示例

发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
学习交流
更多

罗技g502鼠标灵敏度怎么设置?

罗技g502鼠标灵敏度怎么设置?...
热门图片
更多
猜你喜欢的新闻
猜你喜欢的关注

新闻热点

李大脑门过安检搞笑视频 各种姿势演绎默剧精彩
2020-01-15 23:11:38
《笑傲江湖4》李大脑门过安检 李大脑门精彩演绎笑点十足
2020-01-15 23:00:07
淘宝独家牵手春晚:10亿补贴+清空5万人购物车
2020-01-13 22:13:23
吴忌寒卸任比特大陆法定代表人 CFO刘路遥接任
2020-01-06 22:51:58
支付宝发2019年度账单 网友:2020年少花钱,多种树吧!
2020-01-06 22:38:09
重庆棒棒10年用肩膀扛出一套房,你呢?
2020-01-05 09:35:53

疑难解答

图片精选

网友关注

关于本站 - 网上投稿 - 商务合作 - 隐私政策 - 网站地图
Copyright © 2008 - 2020 VEVB.COM. All Rights Reserved.武林网 版权所有