在.NET Core中想给API进行安全认证,最简单的无非就是Jwt,悠然记得一年前写的Jwt Demo,现在拿回来改成.NET Core的,但是在编码上的改变并不大,因为Jwt已经足够强大了。在项目中分为 DotNetCore_Jwt_Server 以及 DotNetCore_Jwt_Client ,从名字就可以看出来是啥意思,博客园高手云集,我就不多诉说,这篇博客就当是一篇记录。

  当然本案例是Server&Client双项目,如果你要合成自己发证的形式,那你就自己改下代码玩。

  在Server层都会有分发Token的服务,在其中做了用户密码判断,随后根据 Claim 生成 jwtToken 的操作。

  其生成Token的服务代码:

namespace DotNetCore_Jwt_Server.Services

{

    public interface ITokenService

    {

        string GetToken(User user);

    }

    public class TokenService : ITokenService

    {

        private readonly JwtSetting _jwtSetting;

        public TokenService(IOptions<JwtSetting> option)

        {

            _jwtSetting = option.Value;

        }

        public string GetToken(User user)

        {

            //创建用户身份标识,可按需要添加更多信息

            var claims = new Claim[]

            {

                new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),

                new Claim("id", user.Id.ToString(), ClaimValueTypes.Integer32),

                new Claim("name", user.Name),

                new Claim("admin", user.IsAdmin.ToString(),ClaimValueTypes.Boolean)

            };

            //创建令牌

            var token = new JwtSecurityToken(

                    issuer: _jwtSetting.Issuer,

                    audience: _jwtSetting.Audience,

                    signingCredentials: _jwtSetting.Credentials,

                    claims: claims,

                    notBefore: DateTime.Now,

                    expires: DateTime.Now.AddSeconds(_jwtSetting.ExpireSeconds)

                );

            string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);

            return jwtToken;

        }

    }

}

在获取Token中我们依赖注入服务到控制器中,随后依赖它进行认证并且分发Token,

public class ValuesController : ControllerBase

    {

        private readonly IUserService _userService;

        private readonly ITokenService _tokenService;

        public ValuesController(IUserService userService,

            ITokenService tokenService)

        {

            _userService = userService;

            _tokenService = tokenService;

        }

        [HttpGet]

        public async Task<string> Get()

        {

            await Task.CompletedTask;

            return "Welcome the Json Web Token Solucation!";

        }

        [HttpGet("getToken")]

        public async Task<string> GetTokenAsync(string name, string password)

        {

            var user = await _userService.LoginAsync(name, password);

            if (user == null)

                return "Login Failed";

            var token = _tokenService.GetToken(user);

            var response = new

            {

                Status = true,

                Token = token,

                Type = "Bearer"

            };

            return JsonConvert.SerializeObject(response);

        }

    }

  随后,我们又在项目配置文件中填写了几个字段,相关备注已注释,但值得说明的是有位朋友问我,服务器端生成的Token不需要保存吗,比如Redis或者是Session,其实Jwt Token是无状态的,他们之间的对比第一个是你的token解密出来的信息正确与否,第二部则是看看你 SecurityKey 是否正确,就这样他们的认证才会得出结果。

"JwtSetting": {

    "SecurityKey": "d0ecd23c-dfdb-4005-a2ea-0fea210c858a", // 密钥

    "Issuer": "jwtIssuertest", // 颁发者

    "Audience": "jwtAudiencetest", // 接收者

    "ExpireSeconds":  // 过期时间

  }

  随后我们需要DI两个接口以及初始化设置相关字段。

public void ConfigureServices(IServiceCollection services)

        {

            services.Configure<JwtSetting>(Configuration.GetSection("JwtSetting"));

            services.AddScoped<IUserService, UserService>();

            services.AddScoped<ITokenService, TokenService>();

            services.AddControllers();

        }

  在Client中,我一般会创建一个中间件用于接受认证结果,AspNetCore Jwt 源码中给我们提供了中间件,我们在进一步扩展,其源码定义如下:

/// <summary>

    /// Extension methods to expose Authentication on HttpContext.

    /// </summary>

    public static class AuthenticationHttpContextExtensions

    {/// <summary>

        /// Extension method for authenticate.

        /// </summary>

        /// <param name="context">The <see cref="HttpContext"/> context.</param>

        /// <param name="scheme">The name of the authentication scheme.</param>

        /// <returns>The <see cref="AuthenticateResult"/>.</returns>

        public static Task<AuthenticateResult> AuthenticateAsync(this HttpContext context, string scheme) =>

            context.RequestServices.GetRequiredService<IAuthenticationService>().AuthenticateAsync(context, scheme);
  }

  其该扩展会返回一个 AuthenticateResult 类型的结果,其定义部分是这样的,我们就可以将计就计,给他来个连环套。

连环套直接接受 httpContext.AuthenticateAsync(JwtBearerDefaults.AuthenticationScheme)  返回回来的值,随后进行判断返回相应的Http响应码。

public class AuthMiddleware

    {

        private readonly RequestDelegate _next;

        public AuthMiddleware(RequestDelegate next)

        {

            _next = next;

        }

        public async Task Invoke(HttpContext httpContext)

        {

            var result = await httpContext.AuthenticateAsync(JwtBearerDefaults.AuthenticationScheme);

            if (!result.Succeeded)

            {

                httpContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;

                await httpContext.Response.WriteAsync("Authorize error");

            }

            else

            {

                httpContext.User = result.Principal;

                await _next.Invoke(httpContext);

            }

        }

    }

  当然你也得在Client中添加认证的一些设置,它和Server端的 IssuerSigningKey 一定要对应,否则认证失败。

        public void ConfigureServices(IServiceCollection services)

        {

            services.AddHttpContextAccessor();

            services.AddScoped<IIdentityService, IdentityService>();

            var jwtSetting = new JwtSetting();

            Configuration.Bind("JwtSetting", jwtSetting);

            services.AddCors(options =>

            {

                options.AddPolicy("any", builder =>

                {

                    builder.AllowAnyOrigin() //允许任何来源的主机访问

                    .AllowAnyMethod()

                    .AllowAnyHeader();

                });

            });

            services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)

               .AddJwtBearer(options =>

               {

                   options.TokenValidationParameters = new TokenValidationParameters

                   {

                       ValidIssuer = jwtSetting.Issuer,

                       ValidAudience = jwtSetting.Audience,

                       IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSetting.SecurityKey)),

                       默认 300s

                       ClockSkew = TimeSpan.Zero

                   };

               });

            services.AddControllers();

        }

  随后,你就可以编写带需认证才可以访问的API了,如果认证失败则会返回401的错误响应。

  [Route("api/[controller]")]

    [ApiController]

    public class ValuesController : ControllerBase

    {

        private readonly IIdentityService _identityService;

        public ValuesController(IIdentityService identityService)

        {

            _identityService = identityService;

        }

        [HttpGet]

        [Authorize]

        public async Task<string> Get()

        {

            await Task.CompletedTask;

            return $"{_identityService.GetUserId()}:{_identityService.GetUserName()}";

        }

  值得一提的是,我们可以根据 IHttpContextAccessor 以来注入到我们的Service或者Api中,它是一个当前请求的认证信息上下文,这将有利于你获取用户信息去做该做的事情。

public class IdentityService : IIdentityService

    {

        private readonly IHttpContextAccessor _context;

        public IdentityService(IHttpContextAccessor context)

        {

            _context = context;

        }

        public int GetUserId()

        {

            var nameId = _context.HttpContext.User.FindFirst("id");

            return nameId != null ? Convert.ToInt32(nameId.Value) : ;

        }

        public string GetUserName()

        {

            return _context.HttpContext.User.FindFirst("name")?.Value;

        }

    }

  在源码中该类的定义如下,实际上我们可以看到只不过是判断了当前的http上下文吧,所以我们得出,如果认证失败,上下本信息也是空的。

public class HttpContextAccessor : IHttpContextAccessor

    {

        private static AsyncLocal<HttpContextHolder> _httpContextCurrent = new AsyncLocal<HttpContextHolder>();

        public HttpContext HttpContext

        {

            get

            {

                return  _httpContextCurrent.Value?.Context;

            }

            set

            {

                var holder = _httpContextCurrent.Value;

                if (holder != null)

                {

                    // Clear current HttpContext trapped in the AsyncLocals, as its done.

                    holder.Context = null;

                }

                if (value != null)

                {

                    // Use an object indirection to hold the HttpContext in the AsyncLocal,

                    // so it can be cleared in all ExecutionContexts when its cleared.

                    _httpContextCurrent.Value = new HttpContextHolder { Context = value };

                }

            }

        }

        private class HttpContextHolder

        {

            public HttpContext Context;

        }

    }

  如果要通过js来测试代码,您可以添加请求头来进行认证,beforeSend是在请求之前的事件。

beforeSend : function(request) {

  request.setRequestHeader("Authorization", sessionStorage.getItem("Authorization"));

}

 好了,今天就说到这,代码地址在https://github.com/zaranetCore/DotNetCore_Jwt 中。

在.NET Core中使用Jwt对API进行认证的更多相关文章

  1. 如何简单的在 ASP.NET Core 中集成 JWT 认证?

    前情提要:ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统 文章超长预警(1万字以上),不想看全部实现过程的同学可以直接跳转到末尾查看成果或者一键安装相关的 nuget 包 自上一 ...

  2. .net core中使用jwt进行认证

    JSON Web Token(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息.由于此信息是经过数字签名的,因此可以被验证和信任 ...

  3. 如何在ASP.NET Core中实现一个基础的身份认证

    注:本文提到的代码示例下载地址> How to achieve a basic authorization in ASP.NET Core 如何在ASP.NET Core中实现一个基础的身份认证 ...

  4. [转]如何在ASP.NET Core中实现一个基础的身份认证

    本文转自:http://www.cnblogs.com/onecodeonescript/p/6015512.html 注:本文提到的代码示例下载地址> How to achieve a bas ...

  5. 如何设计出和 ASP.NET Core 中 Middleware 一样的 API 方法?

    由于笔者时间有限,无法写更多的说明文本,且主要是自己用来记录学习点滴,请谅解,下面直接贴代码了(代码中有一些说明): 01-不好的设计 代码: using System; namespace Desi ...

  6. spring boot 2 集成JWT实现api接口认证

    JSON Web Token(JWT)是目前流行的跨域身份验证解决方案.官网:https://jwt.io/本文使用spring boot 2 集成JWT实现api接口验证. 一.JWT的数据结构 J ...

  7. ASP.NET Core 3.0 WebApi中使用Swagger生成API文档简介

    参考地址,官网:https://docs.microsoft.com/zh-cn/aspnet/core/tutorials/getting-started-with-swashbuckle?view ...

  8. EF Core中通过Fluent API完成对表的配置

    EF Core中通过Fluent API完成对表的配置 设置实体在数据库中的表名 通过ToTable可以为数据模型在数据库中自定义表名,如果不配置,则表名为模型名的复数形式 public class ...

  9. ASP.NET Core系列:JWT身份认证

    1. JWT概述 JSON Web Token(JWT)是目前流行的跨域身份验证解决方案. JWT的官网地址:https://jwt.io JWT的实现方式是将用户信息存储在客户端,服务端不进行保存. ...

随机推荐

  1. python小例子(二)

    1.在函数里面修改全局变量的值 2.合并两个字典.删除字典中的值 3.python2和python3 range(1000)的区别 python2返回列表,python3返回迭代器 4.什么样的语言可 ...

  2. 项目spring boot 写es hbase 运行内存溢出

    本地项目运行正常.服务器上运行内存溢出. 项目内部同时做插入oracle,es,hbase 经过测试发现 同时插入es,hbase是服务器上就会出现内存溢出 如果只插入oracle+es 或oracl ...

  3. SpringBoot中教你手把手配置 https

    升级 https 记录 1.去阿里云购买证书(免费版),并提交审核资料 购买的证书 2.下载证书 下载证书 3.查看上图页面的第三步 JKS证书安装 4.在证书目录下执行阿里云提供的命令,密码都填 p ...

  4. Chrome插件开发(四)

    在前面我们编写了三个比较实用的插件,在实际工作中,我们还会使用很多其他的插件,比如掘金,Pocket之类的,我们可能需要经常启用或禁用插件或者删除插件,如果每次都要点到更多工具->扩展程序中去做 ...

  5. 关于Map集合注意事项

    今日代码中循环Map时,采用循环主键 Map<Integer,Map<Integer,String>> status =  new HashMap<>(); Set ...

  6. 第二十九章 System V共享内存

    共享内存数据结构 共享内存函数 shmget int shmget(key_t key, size_t size, int shmflg); 功能: 用于创建共享内存 参数: key : 这个共享内存 ...

  7. 【aliyun】学java,看这里,不迷茫!1460道Java热门问题

    阿里极客公益活动: 或许你挑灯夜战只为一道难题 或许你百思不解只求一个答案 或许你绞尽脑汁只因一种未知 那么他们来了,阿里系技术专家来云栖问答为你解答技术难题了 他们用户自己手中的技术来帮助用户成长 ...

  8. 【XSY2484】mex

    Description 给你一个无限长的数组,初始的时候都为0,有3种操作: 操作1是把给定区间[l,r] 设为1, 操作2是把给定区间[l,r] 设为0, 操作3把给定区间[l,r] 0,1反转. ...

  9. 利用AXI VDMA实现OV5640摄像头采集笔记(二)

    导读:摄像头采样图像数据后经过VDMA进入DDR,通过PS部分控制,经过三级缓存,将DDR中保持的图形数据通过VDMA发送出去.在FPGA的接收端口产生VID OUT时序驱动HDMI显示器显示图形. ...

  10. Appium的加载过程

    appium运行流程 Appium的加载过程如上图. 1)调用Android adb完成基本的系统操作: 2)向Android上部署bootstrap.jar: 3)Bootstrap.jar For ...