0


ASP.NET Core Web API之Token验证

在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。仅供学习分享使用,如有不足之处,还请指正。

什么是JWT?

JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。

JWT组成

JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。

  1. 头信息指定了该JWT使用的签名算法,HS256 表示使用了 HMAC-SHA256 来生成签名。
  2. 消息体包含了JWT的意图
  3. 未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成。
  4. 最后在未签名的令牌尾部拼接上base64url编码的签名(同样使用"."分隔)就是JWT了
  5. 典型的JWT的格式:xxxxx.yyyyy.zzzzz

JWT应用架构

JWT一般应用在分布式部署环境中,下图展示了Token的获取和应用访问接口的相关步骤:

应用JWT步骤

1. 安装JWT授权库

采用JWT进行身份验证,需要安装【Microsoft.AspNetCore.Authentication.JwtBearer】,可通过Nuget包管理器进行安装,如下所示:

2. 添加JWT身份验证服务

在启动类Program.cs中,添加JWT身份验证服务,如下所示:

  1. builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
  2. .AddJwtBearer(options =>
  3. {
  4. options.TokenValidationParameters = new TokenValidationParameters
  5. {
  6. ValidateIssuer = true,
  7. ValidateAudience = true,
  8. ValidateLifetime = true,
  9. ValidateIssuerSigningKey = true,
  10. ValidIssuer = TokenParameter.Issuer,
  11. ValidAudience = TokenParameter.Audience,
  12. IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret))
  13. };
  14. });

3. 应用鉴权授权中间件

在启动类Program.cs中,添加鉴权授权中间件,如下所示:

  1. app.UseAuthentication();
  2. app.UseAuthorization();

4. 配置Swagger身份验证输入(可选)

在启动类Program.cs中,添加Swagger服务时,配置Swagger可以输入身份验证方式,如下所示:

  1. builder.Services.AddSwaggerGen(options =>
  2. {
  3. options.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
  4. {
  5. Description = "请输入token,格式为 Bearer xxxxxxxx(注意中间必须有空格)",
  6. Name = "Authorization",
  7. In = ParameterLocation.Header,
  8. Type = SecuritySchemeType.ApiKey,
  9. BearerFormat = "JWT",
  10. Scheme = "Bearer"
  11. });
  12. //添加安全要求
  13. options.AddSecurityRequirement(new OpenApiSecurityRequirement {
  14. {
  15. new OpenApiSecurityScheme{
  16. Reference =new OpenApiReference{
  17. Type = ReferenceType.SecurityScheme,
  18. Id ="Bearer"
  19. }
  20. },new string[]{ }
  21. }
  22. });
  23. });

注意:此处配置主要是方便测试,如果采用Postman或者其他测试工具,此步骤可以省略。

5. 创建JWT帮助类

创建JWT帮助类,主要用于生成Token,如下所示:

  1. using DemoJWT.Models;
  2. using Microsoft.AspNetCore.Authentication.Cookies;
  3. using Microsoft.IdentityModel.Tokens;
  4. using System.IdentityModel.Tokens.Jwt;
  5. using System.Security.Claims;
  6. using System.Text;
  7. namespace DemoJWT.Authorization
  8. {
  9. public class JwtHelper
  10. {
  11. public static string GenerateJsonWebToken(User userInfo)
  12. {
  13. var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
  14. var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);
  15. var claimsIdentity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);
  16. claimsIdentity.AddClaim(new Claim(ClaimTypes.Sid, userInfo.Id));
  17. claimsIdentity.AddClaim(new Claim(ClaimTypes.Name, userInfo.Name));
  18. claimsIdentity.AddClaim(new Claim(ClaimTypes.Role, userInfo.Role));
  19. var token = new JwtSecurityToken(TokenParameter.Issuer,
  20. TokenParameter.Audience,
  21. claimsIdentity.Claims,
  22. expires: DateTime.Now.AddMinutes(120),
  23. signingCredentials: credentials);
  24. return new JwtSecurityTokenHandler().WriteToken(token);
  25. }
  26. }
  27. }

其中用到的TokenParameter主要用于配置Token验证的颁发者,接收者,签名秘钥等信息,如下所示:

  1. namespace DemoJWT.Authorization
  2. {
  3. public class TokenParameter
  4. {
  5. public const string Issuer = "公子小六";//颁发者
  6. public const string Audience = "公子小六";//接收者
  7. public const string Secret = "1234567812345678";//签名秘钥
  8. public const int AccessExpiration = 30;//AccessToken过期时间(分钟)
  9. }
  10. }

6. 创建Token获取接口

创建对应的AuthController/GetToken方法,用于获取Token信息,如下所示:

  1. using DemoJWT.Authorization;
  2. using DemoJWT.Models;
  3. using Microsoft.AspNetCore.Http;
  4. using Microsoft.AspNetCore.Mvc;
  5. using System.IdentityModel.Tokens.Jwt;
  6. namespace DemoJWT.Controllers
  7. {
  8. [Route("api/[controller]/[Action]")]
  9. [ApiController]
  10. public class AuthController : ControllerBase
  11. {
  12. [HttpPost]
  13. public ActionResult GetToken(User user)
  14. {
  15. string token = JwtHelper.GenerateJsonWebToken(user);
  16. return Ok(token);
  17. }
  18. }
  19. }

7. 创建测试接口

创建测试接口,用于测试Token身份验证。如下所示:

  1. using DemoJWT.Models;
  2. using Microsoft.AspNetCore.Authorization;
  3. using Microsoft.AspNetCore.Http;
  4. using Microsoft.AspNetCore.Mvc;
  5. using System.Security.Claims;
  6. namespace DemoJWT.Controllers
  7. {
  8. [Authorize]
  9. [Route("api/[controller]/[Action]")]
  10. [ApiController]
  11. public class TestController : ControllerBase
  12. {
  13. [HttpPost]
  14. public ActionResult GetTestInfo()
  15. {
  16. var claimsPrincipal = this.HttpContext.User;
  17. var name = claimsPrincipal.Claims.FirstOrDefault(r => r.Type == ClaimTypes.Name)?.Value;
  18. var role = claimsPrincipal.Claims.FirstOrDefault(r => r.Type == ClaimTypes.Role)?.Value;
  19. var test = new Test()
  20. {
  21. Id = 1,
  22. Name = name,
  23. Role = role,
  24. Author = "公子小六",
  25. Description = "this is a test.",
  26. };
  27. return Ok(test);
  28. }
  29. }
  30. }

接口测试

运行程序,看到公开了两个接口,如下所示:

1. 获取Token

运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token

2. 设置Token

在Swagger上方,点击Authorize,弹出身份验证配置窗口,如下所示:

3. 接口测试

配置好身份认证信息后,调用/api/Test/GetTestInfo接口,获取信息如下:

如果清除掉Token配置,再进行访问/api/Test/GetTestInfo接口,则会返回401未授权信息,如下所示:

以上就是ASP.NET Core Web API之Token验证的全部内容。


本文转载自: https://blog.csdn.net/fengershishe/article/details/131388577
版权归原作者 老码识途呀 所有, 如有侵权,请联系我们删除。

“ASP.NET Core Web API之Token验证”的评论:

还没有评论