手把手教你AspNetCore WebApi：认证与授权

前言

这几天小明又有烦恼了，之前给小红的接口没有做认证授权，直接裸奔在线上，被马老板发现后狠狠的骂了一顿，赶紧让小明把授权加上。赶紧Baidu一下，发现大家都在用JWT认证授权，这个倒是挺适合自己的。

什么是Token

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

什么是JWT

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

JWT认证流程

从图中可以看出主要有两部分组成：1、获取Token，2、通过Token进行授权。

使用JWT认证

首先，安装JwtBearer包。

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0

接下来，定义一个配置类，我这里为了简单直接用常量代替了，你也可以放在配置文件中。

public class TokenParameter
{
    public const string Issuer = "深度码农";//颁发者
    public const string Audience = "深度码农";//接收者
    public const string Secret = "1234567812345678";//签名秘钥
    public const int AccessExpiration = 30;//AccessToken过期时间（分钟）
}

接下来，定义一个通过用户名和密码，获取Token的控制器。

[Route("api/oauth")]
[ApiController]
public class OAuthController : ControllerBase
{
    /// <summary>
    /// 获取Token
    /// </summary>
    /// <returns></returns>
    [HttpGet]
    [Route("token")]
    public ActionResult GetAccessToken(string username, string password)
    {
        //这儿在做用户的帐号密码校验。我这儿略过了。
        if (username != "admin" || password != "admin")
            return BadRequest("Invalid Request");

        var claims = new[]
        {
            new Claim(ClaimTypes.Name, username),
            new Claim(ClaimTypes.Role, ""),
        };

        var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
        var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        var jwtToken = new JwtSecurityToken(TokenParameter.Issuer, TokenParameter.Audience, claims, expires: DateTime.UtcNow.AddMinutes(TokenParameter.AccessExpiration), signingCredentials: credentials);
        var token = new JwtSecurityTokenHandler().WriteToken(jwtToken);

        return Ok(token);
    }
}

接下来，添加Token身份认证到容器（Startup.ConfigureServices）。

services.AddAuthentication(x =>
{
    x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(x =>
{
    x.RequireHttpsMetadata = false;
    x.SaveToken = true;
    x.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuerSigningKey = true,//是否调用对签名securityToken的SecurityKey进行验证
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(TokenParameter.Secret)),//签名秘钥
        ValidateIssuer = true,//是否验证颁发者
        ValidIssuer = TokenParameter.Issuer, //颁发者
        ValidateAudience = true, //是否验证接收者
        ValidAudience = TokenParameter.Audience,//接收者
        ValidateLifetime = true,//是否验证失效时间
    };
});

接下来，添加身份认证到中间件（Startup.Configure）。

app.UseAuthentication();//必须在app.UseAuthorization();之前

接下来，控制器需要授权控制的添加[Authorize]。

[HttpGet("{id}")]
[Authorize]
public async Task<ActionResult<Todo>> GetTodo(Guid id)
{
    var todo = await context.Todo.FindAsync(id);

    if (todo == null)
    {
        return NotFound();
    }

    return todo;
}

最后，我们测试一下接口，效果如下。

这时会返回401，因为身份认证没有通过，说明身份验证起效果了。

接下来我们访问一下GetAccessToken接口，拿到Token，在访问GetTodo接口时放入Token，我们可以看到访问成功了。

小结

目前为止，小明把授权认证搞定了，赶紧给马老板汇报工作去吧。当然这个授权认证还是非常简单的，还有很多等待的小伙伴们去发掘，比如如何自动刷新Token？如何强制Token失效？OAuth其他实现方式等等？大家如果有兴趣，让小明下次告诉你们。