溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

.NET core 3.0使用Jwt保護api的方法

發(fā)布時間:2021-02-02 11:33:54 來源:億速云 閱讀:219 作者:小新 欄目:開發(fā)技術

小編給大家分享一下.NET core 3.0使用Jwt保護api的方法,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

摘要:

本文演示如何向有效用戶提供jwt,以及如何在webapi中使用該token通過JwtBearerMiddleware中間件對用戶進行身份認證。

認證和授權區(qū)別?

首先我們要弄清楚認證(Authentication)和授權(Authorization)的區(qū)別,以免混淆了。認證是確認的過程中你是誰,而授權圍繞是你被允許做什么,即權限。顯然,在確認允許用戶做什么之前,你需要知道他們是誰,因此,在需要授權時,還必須以某種方式對用戶進行身份驗證。

什么是JWT?

根據(jù)維基百科的定義,JSON WEB Token(JWT),是一種基于JSON的、用于在網(wǎng)絡上聲明某種主張的令牌(token)。JWT通常由三部分組成:頭信息(header),消息體(payload)和簽名(signature)。

頭信息指定了該JWT使用的簽名算法:

header = '{"alg":"HS256","typ":"JWT"}'

HS256表示使用了HMAC-SHA256來生成簽名。

消息體包含了JWT的意圖:

payload = '{"loggedInAs":"admin","iat":1422779638}'//iat表示令牌生成的時間

未簽名的令牌由base64url編碼的頭信息和消息體拼接而成(使用"."分隔),簽名則通過私有的key計算而成:

key = 'secretkey' 
unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload) 
signature = HMAC-SHA256(key, unsignedToken)

最后在未簽名的令牌尾部拼接上base64url編碼的簽名(同樣使用"."分隔)就是JWT了:

token = encodeBase64(header) + '.' + encodeBase64(payload) + '.' + encodeBase64(signature)

# token看起來像這樣: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI

JWT常常被用作保護服務端的資源(resource),客戶端通常將JWT通過HTTP的Authorization header發(fā)送給服務端,服務端使用自己保存的key計算、驗證簽名以判斷該JWT是否可信:

Authorization: Bearer eyJhbGci*...<snip>...*yu5CSpyHI

準備工作

使用vs2019創(chuàng)建webapi項目,并且安裝nuget包

Microsoft.AspNetCore.Authentication.JwtBearer

.NET core 3.0使用Jwt保護api的方法

Startup類

ConfigureServices 添加認證服務

services.AddAuthentication(options =>
   {
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
   }).AddJwtBearer(options =>
   {
    options.SaveToken = true;
    options.RequireHttpsMetadata = false;
    options.TokenValidationParameters = new TokenValidationParameters()
    {
     ValidateIssuer = true,
     ValidateAudience = true,
     ValidAudience = "https://www.cnblogs.com/chengtian",
     ValidIssuer = "https://www.cnblogs.com/chengtian",
     IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey"))
    };
   });

Configure 配置認證中間件

 app.UseAuthentication();//認證中間件、

創(chuàng)建一個token

添加一個登錄model命名為LoginInput

public class LoginInput
 {

  public string Username { get; set; }

  public string Password { get; set; }
 }

添加一個認證控制器命名為AuthenticateController

[Route("api/[controller]")]
 public class AuthenticateController : Controller
 {
  [HttpPost]
  [Route("login")]
  public IActionResult Login([FromBody]LoginInput input)
  {
   //從數(shù)據(jù)庫驗證用戶名,密碼 
   //驗證通過 否則 返回Unauthorized

   //創(chuàng)建claim
   var authClaims = new[] {
    new Claim(JwtRegisteredClaimNames.Sub,input.Username),
    new Claim(JwtRegisteredClaimNames.Jti,Guid.NewGuid().ToString())
   };
   IdentityModelEventSource.ShowPII = true;
   //簽名秘鑰 可以放到json文件中
   var authSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey"));

   var token = new JwtSecurityToken(
     issuer: "https://www.cnblogs.com/chengtian",
     audience: "https://www.cnblogs.com/chengtian",
     expires: DateTime.Now.AddHours(2),
     claims: authClaims,
     signingCredentials: new SigningCredentials(authSigningKey, SecurityAlgorithms.HmacSha256)
     );

   //返回token和過期時間
   return Ok(new
   {
    token = new JwtSecurityTokenHandler().WriteToken(token),
    expiration = token.ValidTo
   });
  }
 }

添加api資源

利用默認的控制器WeatherForecastController

  • 添加個Authorize標簽

  • 路由調(diào)整為:[Route("api/[controller]")] 代碼如下

 [Authorize]
 [ApiController]
 [Route("api/[controller]")]
 public class WeatherForecastController : ControllerBase

到此所有的代碼都已經(jīng)準好了,下面進行運行測試

運行項目

使用postman進行模擬

輸入url:https://localhost:44364/api/weatherforecast

.NET core 3.0使用Jwt保護api的方法    

發(fā)現(xiàn)返回時401未認證,下面獲取token

通過用戶和密碼獲取token

.NET core 3.0使用Jwt保護api的方法

如果我們的憑證正確,將會返回一個token和過期日期,然后利用該令牌進行訪問

利用token進行請求

.NET core 3.0使用Jwt保護api的方法

ok,最后發(fā)現(xiàn)請求狀態(tài)200!

以上是“.NET core 3.0使用Jwt保護api的方法”這篇文章的所有內(nèi)容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內(nèi)容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業(yè)資訊頻道!

向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內(nèi)容。

AI