雷火电竞-中国电竞赛事及体育赛事平台

歡迎來(lái)到入門(mén)教程網(wǎng)!

ASP.NET

當(dāng)前位置:主頁(yè) > 網(wǎng)絡(luò)編程 > ASP.NET >

.NET core 3.0如何使用Jwt保護(hù)api詳解

來(lái)源:本站原創(chuàng)|時(shí)間:2020-01-11|欄目:ASP.NET|點(diǎn)擊:

摘要:

本文演示如何向有效用戶提供jwt,以及如何在webapi中使用該token通過(guò)JwtBearerMiddleware中間件對(duì)用戶進(jìn)行身份認(rèn)證。

認(rèn)證和授權(quán)區(qū)別?

首先我們要弄清楚認(rèn)證(Authentication)和授權(quán)(Authorization)的區(qū)別,以免混淆了。認(rèn)證是確認(rèn)的過(guò)程中你是誰(shuí),而授權(quán)圍繞是你被允許做什么,即權(quán)限。顯然,在確認(rèn)允許用戶做什么之前,你需要知道他們是誰(shuí),因此,在需要授權(quán)時(shí),還必須以某種方式對(duì)用戶進(jìn)行身份驗(yàn)證。

什么是JWT?

根據(jù)維基百科的定義,JSON WEB Token(JWT),是一種基于JSON的、用于在網(wǎng)絡(luò)上聲明某種主張的令牌(token)。JWT通常由三部分組成:頭信息(header),消息體(payload)和簽名(signature)。

頭信息指定了該JWT使用的簽名算法:

header = '{"alg":"HS256","typ":"JWT"}'

HS256表示使用了HMAC-SHA256來(lái)生成簽名。

消息體包含了JWT的意圖:

payload = '{"loggedInAs":"admin","iat":1422779638}'//iat表示令牌生成的時(shí)間

未簽名的令牌由base64url編碼的頭信息和消息體拼接而成(使用"."分隔),簽名則通過(guò)私有的key計(jì)算而成:

key = 'secretkey' 
unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload) 
signature = HMAC-SHA256(key, unsignedToken)

最后在未簽名的令牌尾部拼接上base64url編碼的簽名(同樣使用"."分隔)就是JWT了:

token = encodeBase64(header) + '.' + encodeBase64(payload) + '.' + encodeBase64(signature)

# token看起來(lái)像這樣: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

JWT常常被用作保護(hù)服務(wù)端的資源(resource),客戶端通常將JWT通過(guò)HTTP的Authorization header發(fā)送給服務(wù)端,服務(wù)端使用自己保存的key計(jì)算、驗(yàn)證簽名以判斷該JWT是否可信:

Authorization: Bearer eyJhbGci*...<snip>...*yu5CSpyHI

準(zhǔn)備工作

使用vs2019創(chuàng)建webapi項(xiàng)目,并且安裝nuget包

Microsoft.AspNetCore.Authentication.JwtBearer


Startup類(lèi)

ConfigureServices 添加認(rèn)證服務(wù)

services.AddAuthentication(options =>
   {
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
   }).AddJwtBearer(options =>
   {
    options.SaveToken = true;
    options.RequireHttpsMetadata = false;
    options.TokenValidationParameters = new TokenValidationParameters()
    {
     ValidateIssuer = true,
     ValidateAudience = true,
     ValidAudience = "https://www.cnblogs.com/chengtian",
     ValidIssuer = "https://www.cnblogs.com/chengtian",
     IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey"))
    };
   });

Configure 配置認(rèn)證中間件

 app.UseAuthentication();//認(rèn)證中間件、

創(chuàng)建一個(gè)token

添加一個(gè)登錄model命名為L(zhǎng)oginInput

public class LoginInput
 {

  public string Username { get; set; }

  public string Password { get; set; }
 }

添加一個(gè)認(rèn)證控制器命名為AuthenticateController

[Route("api/[controller]")]
 public class AuthenticateController : Controller
 {
  [HttpPost]
  [Route("login")]
  public IActionResult Login([FromBody]LoginInput input)
  {
   //從數(shù)據(jù)庫(kù)驗(yàn)證用戶名,密碼 
   //驗(yàn)證通過(guò) 否則 返回Unauthorized

   //創(chuàng)建claim
   var authClaims = new[] {
    new Claim(JwtRegisteredClaimNames.Sub,input.Username),
    new Claim(JwtRegisteredClaimNames.Jti,Guid.NewGuid().ToString())
   };
   IdentityModelEventSource.ShowPII = true;
   //簽名秘鑰 可以放到j(luò)son文件中
   var authSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey"));

   var token = new JwtSecurityToken(
     issuer: "https://www.cnblogs.com/chengtian",
     audience: "https://www.cnblogs.com/chengtian",
     expires: DateTime.Now.AddHours(2),
     claims: authClaims,
     signingCredentials: new SigningCredentials(authSigningKey, SecurityAlgorithms.HmacSha256)
     );

   //返回token和過(guò)期時(shí)間
   return Ok(new
   {
    token = new JwtSecurityTokenHandler().WriteToken(token),
    expiration = token.ValidTo
   });
  }
 }

添加api資源

利用默認(rèn)的控制器WeatherForecastController

  • 添加個(gè)Authorize標(biāo)簽
  • 路由調(diào)整為:[Route("api/[controller]")] 代碼如下
 [Authorize]
 [ApiController]
 [Route("api/[controller]")]
 public class WeatherForecastController : ControllerBase

到此所有的代碼都已經(jīng)準(zhǔn)好了,下面進(jìn)行運(yùn)行測(cè)試

運(yùn)行項(xiàng)目

使用postman進(jìn)行模擬

輸入url:https://localhost:44364/api/weatherforecast

    

發(fā)現(xiàn)返回時(shí)401未認(rèn)證,下面獲取token

通過(guò)用戶和密碼獲取token

如果我們的憑證正確,將會(huì)返回一個(gè)token和過(guò)期日期,然后利用該令牌進(jìn)行訪問(wèn)

利用token進(jìn)行請(qǐng)求

ok,最后發(fā)現(xiàn)請(qǐng)求狀態(tài)200!

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,謝謝大家對(duì)我們的支持。

上一篇:asp.net core利用AccessControlHelper實(shí)現(xiàn)控制訪問(wèn)權(quán)限

欄    目:ASP.NET

下一篇:asp.net實(shí)現(xiàn)存儲(chǔ)和讀取數(shù)據(jù)庫(kù)圖片

本文標(biāo)題:.NET core 3.0如何使用Jwt保護(hù)api詳解

本文地址:http://www.jygsgssxh.com/a1/ASP_NET/10850.html

網(wǎng)頁(yè)制作CMS教程網(wǎng)絡(luò)編程軟件編程腳本語(yǔ)言數(shù)據(jù)庫(kù)服務(wù)器

如果侵犯了您的權(quán)利,請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)進(jìn)行處理、任何非本站因素導(dǎo)致的法律后果,本站均不負(fù)任何責(zé)任。

聯(lián)系QQ:835971066 | 郵箱:835971066#qq.com(#換成@)

Copyright © 2002-2020 腳本教程網(wǎng) 版權(quán)所有