JWT认证简单介绍

关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。

JWT主要由三部分组成,如下:

HEADER.PAYLOAD.SIGNATURE

HEADER包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了

加密的对象类型是JWT,加密算法是HMAC SHA-256

{"alg":"HS256","typ":"JWT"}

然后需要通过BASE64编码后存入token中

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload主要包含一些声明信息(claim),这些声明是key-value对的数据结构。

通常如用户名,角色等信息,过期日期等,因为是未加密的,所以不建议存放敏感信息。

{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"WebApi"}

也需要通过BASE64编码后存入token中

eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9

Signaturejwt要符合jws(Json Web Signature)的标准生成一个最终的签名。把编码后的Header和Payload信息加在一起,然后使用一个强加密算法,如 HmacSHA256,进行加密。HS256(BASE64(Header).Base64(Payload),secret)

2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

最后生成的token如下

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

开发环境

框架:asp.net 3.1

IDE:VS2019

ASP.NET 3.1 Webapi中使用JWT认证

命令行中执行执行以下命令,创建webapix项目:

dotnet new webapi -n Webapi -o WebApi

特别注意的时,3.x默认是没有jwt的Microsoft.AspNetCore.Authentication.JwtBearer库的,所以需要手动添加NuGet Package,切换到项目所在目录,执行 .net cli命令

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0

创建一个简单的POCO类,用来存储签发或者验证jwt时用到的信息

using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;namespace Webapi.Models{public class TokenManagement{[JsonProperty("secret")]public string Secret { get; set; }[JsonProperty("issuer")]public string Issuer { get; set; }[JsonProperty("audience")]public string Audience { get; set; }[JsonProperty("accessExpiration")]public int AccessExpiration { get; set; }[JsonProperty("refreshExpiration")]public int RefreshExpiration { get; set; }}
}

然后在 appsettings.Development.json 增加jwt使用到的配置信息(如果是生成环境在appsettings.json添加即可)

"tokenManagement": {"secret": "123456","issuer": "webapi.cn","audience": "WebApi","accessExpiration": 30,"refreshExpiration": 60}

然后再startup类的ConfigureServices方法中增加读取配置信息

public void ConfigureServices(IServiceCollection services){services.AddControllers();services.Configure<TokenManagement>(Configuration.GetSection("tokenManagement"));var token = Configuration.GetSection("tokenManagement").Get<TokenManagement>();}

到目前为止,我们完成了一些基础工作,下面再webapi中注入jwt的验证服务,并在中间件管道中启用authentication中间件。

startup类中要引用jwt验证服务的命名空间

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;

然后在ConfigureServices方法中添加如下逻辑

services.AddAuthentication(x =>{x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;}).AddJwtBearer(x =>{x.RequireHttpsMetadata = false;x.SaveToken = true;x.TokenValidationParameters = new TokenValidationParameters{ValidateIssuerSigningKey = true,IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)),ValidIssuer = token.Issuer,ValidAudience = token.Audience,ValidateIssuer = false,ValidateAudience = false};});

再Configure方法中启用验证

public void Configure(IApplicationBuilder app, IWebHostEnvironment env){if (env.IsDevelopment()){app.UseDeveloperExceptionPage();}app.UseHttpsRedirection();app.UseAuthentication();app.UseRouting();app.UseAuthorization();app.UseEndpoints(endpoints =>{endpoints.MapControllers();});}

上面完成了JWT验证的功能,下面就需要增加签发token的逻辑。我们需要增加一个专门用来用户认证和签发token的控制器,命名成AuthenticationController,同时增加一个请求的DTO类

public class LoginRequestDTO{[Required][JsonProperty("username")]public string Username { get; set; }[Required][JsonProperty("password")]public string Password { get; set; }}
[Route("api/[controller]")][ApiController]public class AuthenticationController : ControllerBase{[AllowAnonymous][HttpPost, Route("requestToken")]public ActionResult RequestToken([FromBody] LoginRequestDTO request){if (!ModelState.IsValid){return BadRequest("Invalid Request");}return Ok();}}

目前上面的控制器只实现了基本的逻辑,下面我们要创建签发token的服务,去完成具体的业务。第一步我们先创建对应的服务接口,命名为IAuthenticateService

public interface IAuthenticateService{bool IsAuthenticated(LoginRequestDTO request, out string token);}

接下来,实现接口

public class TokenAuthenticationService : IAuthenticateService{public bool IsAuthenticated(LoginRequestDTO request, out string token){throw new NotImplementedException();}}

在Startup的ConfigureServices方法中注册服务

services.AddScoped<IAuthenticateService, TokenAuthenticationService>();

在Controller中注入IAuthenticateService服务,并完善action

public class AuthenticationController : ControllerBase{private readonly IAuthenticateService _authService;public AuthenticationController(IAuthenticateService authService){this._authService = authService;}[AllowAnonymous][HttpPost, Route("requestToken")]public ActionResult RequestToken([FromBody] LoginRequestDTO request){if (!ModelState.IsValid){return BadRequest("Invalid Request");}string token;if (_authService.IsAuthenticated(request, out token)){return Ok(token);}return BadRequest("Invalid Request");}}

正常情况,我们都会根据请求的用户和密码去验证用户是否合法,需要连接到数据库获取数据进行校验,我们这里为了方便,假设任何请求的用户都是合法的。

这里单独加个用户管理的服务,不在IAuthenticateService这个服务里面添加相应逻辑,主要遵循了职责单一原则。首先和上面一样,创建一个服务接口IUserService

public interface IUserService{bool IsValid(LoginRequestDTO req);}

实现IUserService接口

public class UserService : IUserService{//模拟测试,默认都是人为验证有效public bool IsValid(LoginRequestDTO req){return true;}}

同样注册到容器中

services.AddScoped<IUserService, UserService>();

接下来,就要完善TokenAuthenticationService签发token的逻辑,首先要注入IUserService 和 TokenManagement,然后实现具体的业务逻辑,这个token的生成还是使用的Jwt的类库提供的api,具体不详细描述。

特别注意下TokenManagement的注入是已IOptions的接口类型注入的,还记得在Startpup中吗?我们是通过配置项的方式注册TokenManagement类型的。

 public class TokenAuthenticationService : IAuthenticateService{private readonly IUserService _userService;private readonly TokenManagement _tokenManagement;public TokenAuthenticationService(IUserService userService, IOptions<TokenManagement> tokenManagement){_userService = userService;_tokenManagement = tokenManagement.Value;}public bool IsAuthenticated(LoginRequestDTO request, out string token){token = string.Empty;if (!_userService.IsValid(request))return false;var claims = new[]{new Claim(ClaimTypes.Name,request.Username)};var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenManagement.Secret));var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);var jwtToken = new JwtSecurityToken(_tokenManagement.Issuer, _tokenManagement.Audience, claims, expires: DateTime.Now.AddMinutes(_tokenManagement.AccessExpiration), signingCredentials: credentials);token = new JwtSecurityTokenHandler().WriteToken(jwtToken);return true;}}

准备好测试试用的APi,打上Authorize特性,表明需要授权!

[ApiController][Route("[controller]")][Authorize]public class WeatherForecastController : ControllerBase{private static readonly string[] Summaries = new[]{"Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"};private readonly ILogger<WeatherForecastController> _logger;public WeatherForecastController(ILogger<WeatherForecastController> logger){_logger = logger;}[HttpGet]public IEnumerable<WeatherForecast> Get(){var rng = new Random();return Enumerable.Range(1, 5).Select(index => new WeatherForecast{Date = DateTime.Now.AddDays(index),TemperatureC = rng.Next(-20, 55),Summary = Summaries[rng.Next(Summaries.Length)]}).ToArray();}}

支持我们可以测试验证了,我们可以使用postman来进行http请求,先启动http服务,获取url,先测试一个访问需要授权的接口,但没有携带token信息,返回是401,表示未授权

下面我们先通过认证接口,获取token,居然报错,查询了下,发现HS256算法的秘钥长度最新为128位,转换成字符至少16字符,之前设置的秘钥是123456,所以导致异常。

System.ArgumentOutOfRangeException: IDX10603: Decryption failed. Keys tried: 'HS256'. Exceptions caught: '128'. token: '48' (Parameter 'KeySize') at

更新秘钥

 "tokenManagement": {"secret": "123456123456123456","issuer": "webapi.cn","audience": "WebApi","accessExpiration": 30,"refreshExpiration": 60}

重新发起请求,成功获取token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDUyMDMsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.AehD8WTAnEtklof2OJsvg0U4_o8_SjdxmwUjzAiuI-o

把token带到之前请求的api中,重新测试,成功获取数据

总结

基于token的认证方式,让我们构建分布式/松耦合的系统更加容易。任何地方生成的token,只有拥有相同秘钥,就可以再任何地方进行签名校验。

当然要用好jwt认证方式,还有其他安全细节需要处理,比如palyload中不能存放敏感信息,使用https的加密传输方式等等,可以根据业务实际需要再进一步安全加固!

同时我们也发现使用token,就可以摆脱cookie的限制,所以JWT是移动app开发的首选!

ASP.Net Core 3.1 中使用JWT认证相关推荐

  1. ASP.Net Core 3.1 中使用JWT认证(笔记)

    一.JWT原理: 1.传统的登录方式:浏览器输入用户名密码,服务器端检验通过后,根据用户信息生成一个token,将token和userID存到数据库或者session中,并将token返回给前端存入c ...

  2. 在https上面使用ws不加密_ASP.NET Core 3.1 中使用JWT认证

    转自:小伟06cnblogs.com/liuww/p/12177272.html JWT认证简单介绍 关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构. JWT主要由三部分组成,如下: ...

  3. Net Core 3.1 中使用JWT认证

    JWT认证简单介绍 关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构. JWT主要由三部分组成,如下: HEADER.PAYLOAD.SIGNATURE HEADER包含token的元 ...

  4. ASP.net Core 2.2中Jwt验证的使用方法及在微信小程序上应用

    文章目录 Jwt简单介绍 什么是Jwt Jwt安全吗 在 ASP.NET Core中使用Jwt 授权和认证 三步走代码例子 生成Jwt 编辑授权策略 在StartUp中配置 添加特性 客户端使用 测试 ...

  5. 如何简单的在 ASP.NET Core 中集成 JWT 认证?

    前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统 文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相关的 nuget 包 自上一 ...

  6. 避免在 ASP.NET Core 3.0 中为启动类注入服务

    本篇是如何升级到ASP.NET Core 3.0系列文章的第二篇. Part 1 - 将.NET Standard 2.0 类库转换为.NET Core 3.0 类库 Part 2 - IHostin ...

  7. asp.net core 3.0 中使用 swagger

    asp.net core 3.0 中使用 swagger Intro 上次更新了 asp.net core 3.0 简单的记录了一下 swagger 的使用,那个项目的 api 比较简单,都是匿名接口 ...

  8. aspnet core 2.1中使用jwt从原理到精通二

    在aspnet core中,自定义jwt管道验证 有了上一节的内容作为基础,那这点也是非常容易的,关键点在中间件,只是把上一级在测试类中的自定义验证放到中间件中来即可, 不过需要注意:中间件 的位置很 ...

  9. ASP.NET Core 2.2中的Endpoint路由

    Endpoint路由 在ASP.NET Core 2.2中,新增了一种路由,叫做Endpoint(终结点)路由.本文将以往的路由系统称为传统路由. 本文通过源码的方式介绍传统路由和Endpoint路由 ...

最新文章

  1. Codeforces 504 A (Round #285 div.1 A) Misha and Forest
  2. CTreeCtrl标签的编辑
  3. poj 2528 Mayor's posters (线段树+离散化)
  4. 直接用自己服务器做图床可以吗_图床+typora+gitee,写文档再也不那么麻烦
  5. 电脑备忘录软件测试自学,软件测试经验和教训分享.pdf
  6. 为什么你学HTML5前端这么久,水平还是烂成渣?
  7. Lattice Diamond Reveal SerDes Debug Core简明教程(For ECP5)
  8. 秒开路由sam1_野狼SAM机架精编版V1.0官方版-独木成林
  9. 排序算法 稳定和不稳定_稳定和不稳定排序算法之间的区别?
  10. Springboot RabbitMQ
  11. DbVisualizer 解决注释中文乱码问题
  12. 【Java】- Incompatible types. Found: java. lang. String', required:' byte, char, short or int'
  13. C#-调用OCR组件识别图片文字
  14. python里面的pip是什么意思_python中的pip是什么意思
  15. 黑苹果NVIDIA显卡驱动程序【WebDriver-378.10.10.10.25.103 +支持macOS 10.13.2 High Sierra (17C89)版本】
  16. WordPress站点通过ReadmorJS实现展开阅读全文
  17. 使用乳腺癌数据集的人工神经网络
  18. 安卓如何将数据转到iPhone上?
  19. Android第三方app 微信授权登录
  20. Android三步显示gif动态图片

热门文章

  1. [导入]心平气和,千佳骈集;意粗性躁,一事无成
  2. 分数相同名次排名规则C语言,如何给数据排名(相同分数相同名次)-excel篇
  3. odoo 自定义视图_如何使用Windows的五个模板自定义文件夹视图
  4. python - work3
  5. 4.7、Bootstrap V4自学之路------组件---广告屏
  6. Linux实战考试题:批量创建用户和密码-看看你会么?
  7. .NET 6 攻略大全(一)
  8. 微软 Ignite 大会 PowerBI 划重点
  9. 究竟是什么可以比反射还快实现动态调用?| Source Generators版
  10. WPF实现聚光灯效果