一.前言

　　大家好我又回来了，前几天讲过一个关于Jwt的身份验证最简单的案例，但是功能还是不够强大，不适用于真正的项目，是的，在真正面对复杂而又苛刻的客户中，我们会不知所措，就现在需要将认证授权这一块也变的复杂而又实用起来，那在专业术语中就叫做自定义策略的API认证，本次案例运行在.NET Core 3.0中，最后我们将在swagger中进行浏览，来尝试项目是否正常，对于.NET Core 2.x 版本，这篇文章有些代码不适用，但我会在文中说明。

二.在.NET Core中尝试

　　我们都知道Jwt是为了认证，微软给我们提供了进城打鬼子的城门，那就是 AuthorizationHandle。

　　我们首先要实现它，并且我们还可以根据依赖注入的 AuthorizationHandlerContext 来获取上下文，就这样我们就更可以做一些权限的手脚

　首先，我们重写了 HandleRequirementAsync 方法，如果你看过AspNetCore的源码你一定知道，它是Jwt身份认证的开端，也就是说你重写了它，原来那一套就不会走了，我们观察一下源码，我贴在下面，可以看到这就是一个最基本的授权，通过 context.Succeed(requirement 完成了最后的认证动作！

那么  Succeed  是一个什么呢？它是一个在  AuthorizationHandlerContext的定义动作，包括Fail() ，也是如此，当然具体实现我们不在细谈，其内部还是挺复杂的，不过我们需要的是  DenyAnonymousAuthorizationRequirement  被当作了抽象的一部分。

好吧，言归正传（看源码挺刺激的），我们刚刚在  PolicyHandler实现了自定义认证策略，上面还说到了两个方法。现在我们在项目中配置并启动它，并且我在代码中也是用了Swagger用于后面的演示。

在  AddJwtBearer中我们添加了jwt验证包括了验证参数以及几个事件处理，这个很基本，不在解释。不过在Swagger中添加jwt的一些功能是在  AddSecurityDefinition  中写入的。

在以上代码中，我们通过鉴权模式添加了认证规则，一个名叫  PolicyRequirement  的类，它实现了  IAuthorizationRequirement  接口，其中我们需要定义一些规则，通过构造函数我们可以添加我们要识别的权限规则。那个UserName就是 Attribute 。

随后我们应当启动我们的服务，在.NET Core 3.0 中身份验证的中间件位置需要在路由和端点配置的中间。

　我们通常会有一个获取token的API，用于让Jwt通过  JwtSecurityTokenHandler().WriteToken(token)  用于生成我们的token，虽然jwt是没有状态的，但你应该也明白，如果你的jwt生成了随后你重启了你的网站，你的jwt会失效，这个是因为你的密钥进行了改变，如果你的密钥一直写死，那么这个jwt将不会再过期，这个还是有安全风险的，这个我不在这里解释，gettoken定义如下：

　　可能比较特别的是  AllowAnonymous  ，这个看我文章的同学可能头一次见，其实怎么说好呢，这个可无可有，没有硬性的要求，我看到好几个知名博主加上了，我也加上了~...最后我们创建了几个资源控制器，它们是受保护的。

　　在你添加策略权限的时候例如政策名称是XXX，那么在对应的api表头就应该是XXX，随后到了  PolicyHandler我们解析了 Claims 处理了它是否有权限。

三.效果图

四.栗子源代码和以往版本

　　看到很多前辈彩的坑，原来的  (context.Resource as Microsoft.AspNetCore.Routing.RouteEndpoint);  实际上在.NET Core 3.0 已经不能用了，原因是.NET Core 3.0 启用 EndpointRouting 后，权限filter不再添加到 ActionDescriptor ，而将权限直接作为中间件运行，同时所有filter都会添加到  endpoint.Metadata  ，如果在.NET Core 2.1 & 2.2 版本中你通常Handler可以这么写：

该案例源代码在我的Github上：https://github.com/zaranetCore/aspNetCore_JsonwebToken/tree/master/Jwt_Policy_Demo  谢谢大家