开发了一个公司内部系统,使用asp.net core 3.1。在开发用户认证授权使用的是简单的cookie认证方式,然后开发好了要写几个接口给其它系统调用数据。并且只是几个简单的接口不准备再重新部署一个站点,所以就直接在MVC的项目里面加了一个API区域用来写接口。这时候因为是接口所以就不能用cookie方式进行认证,得加一个jwt认证,采用多种身份验证方案来进行认证授权。

认证授权

身份验证是确定用户身份的过程。 授权是确定用户是否有权访问资源的过程。 在 ASP.NET Core 中,身份验证由 IAuthenticationService 负责,而它供身份验证中间件使用。 身份验证服务会使用已注册的身份验证处理程序来完成与身份验证相关的操作。

认证-->授权

关于认证授权我们要区分认证和授权是两个概念,具体可查看MSDN官方文档也可以搜索其它文章看看,讲的很多。其中包括OAuth 2.0 以及jwt的相关知识都有很多资料并且讲解的很好。

身份认证

身份验证方案由 Startup.ConfigureServices 中的注册身份验证服务指定:

方式是在调用 services.AddAuthentication 后调用方案特定的扩展方法(例如 AddJwtBearer 或 AddCookie)。 这些扩展方法使用 AuthenticationBuilder.AddScheme 向适当的设置注册方案。

  • 添加cookie JwtBearer验证方案
public void ConfigureServices(IServiceCollection services)

{

    services.AddSession();

    services.AddMvc(o =>

    {

        o.Filters.Add(typeof(MyExceptionFilterAttribute));// 全局异常Filter

    }).AddRazorRuntimeCompilation();

    //添加身份认证方案

    var jwtConfig= Configuration.GetSection("Jwt").Get<JwtConfig>();

    services.AddAuthentication

        (authoption =>{

            //指定默认选项

            authoption.DefaultChallengeScheme= CookieAuthenticationDefaults.AuthenticationScheme;

            authoption.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;

            authoption.DefaultSignOutScheme = CookieAuthenticationDefaults.AuthenticationScheme;

            authoption.DefaultSignInScheme= CookieAuthenticationDefaults.AuthenticationScheme;

        })

   .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, option =>

   {

       option.Cookie.Name = "adCookie";//设置存储用户登录信息(用户Token信息)的Cookie名称

       option.Cookie.HttpOnly = true;//设置存储用户登录信息(用户Token信息)的Cookie,无法通过客户端浏览器脚本(如JavaScript等)访问到

       option.ExpireTimeSpan = TimeSpan.FromDays(3);// 过期时间

       option.SlidingExpiration = true;// 是否在过期时间过半的时候,自动延期

       option.LoginPath = "/Account/Login";

       option.LogoutPath = "/Account/LoginOut";

   })

   .AddJwtBearer(option =>

   {

       option.TokenValidationParameters = new TokenValidationParameters

       {

           ValidIssuer = jwtConfig.Issuer,

           ValidAudience = jwtConfig.Audience,

           ValidateIssuer = true,

           ValidateLifetime = jwtConfig.ValidateLifetime,

           IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtConfig.SigningKey)),

           //缓冲过期时间,总的有效时间等于这个时间加上jwt的过期时间

           ClockSkew = TimeSpan.FromSeconds(0)

       };

   });

}
  • JwtBearer认证的配置参数类JwtConfig
public class JwtConfig

{

    /// <summary>

    /// 谁颁发的

    /// </summary>

    public string Issuer { get; set; }

    /// <summary>

    /// 颁发给谁

    /// </summary>

    public string Audience { get; set; }

    /// <summary>

    /// 令牌密码

    /// a secret that needs to be at least 16 characters long

    /// </summary>

    public string SigningKey { get; set; }

    /// <summary>

    /// 过期时间(分钟)

    /// </summary>

    public int Expires { get; set; }

    /// <summary>

    /// 是否校验过期时间

    /// </summary>

    public bool ValidateLifetime { get; set; }

}
  • appsettings.json 配置参数
  "Jwt": {

    "Issuer": "issuer",

    "Audience": "audience",

    "SigningKey": "c0d32c63-z43d-4917-bbc2-5e726d087452",

    //过期时间(分钟)

    "Expires": 10080,

    //是否验证过期时间

    "ValidateLifetime": true

  }
  • 添加身份验证中间件

通过在应用的 IApplicationBuilder 上调用 UseAuthentication 扩展方法,在 Startup.Configure 中添加身份验证中间件。 如果调用 UseAuthentication,会注册使用之前注册的身份验证方案的中间节。 请在依赖于要进行身份验证的用户的所有中间件之前调用 UseAuthentication。 如果使用终结点路由,则必须按以下顺序调用 UseAuthentication:

● 在 UseRouting之后调用,以便路由信息可用于身份验证决策。

● 在 UseEndpoints 之前调用,以便用户在经过身份验证后才能访问终结点。

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)

{

    if (env.IsDevelopment())

    {

        app.UseDeveloperExceptionPage();

    }

    else

    {

        app.UseExceptionHandler("/Home/Error");

        app.UseHsts();

    }

    app.UseHttpsRedirection();

    app.UseSession();

    app.UseRouting();

    //开启认证中间件

    app.UseAuthentication();

    //开启授权中间件

    app.UseAuthorization();

    app.UseEndpoints(endpoints =>

    {

        endpoints.MapControllerRoute(

        name: "areas",

        pattern: "{area:exists}/{controller=Home}/{action=Index}/{id?}");

        endpoints.MapControllerRoute(

            name: "default",

            pattern: "{controller=Home}/{action=Index}/{id?}");

    });

}
  • cookie认证
[HttpPost]

public async Task<NewtonsoftJsonResult> LoginIn(string userName, string userPassword, string code)

{

    AjaxResult objAjaxResult = new AjaxResult();

    var user = _userBll.GetUser(userName, userPassword);

    if (user == null)

    {

        objAjaxResult.Result = DoResult.NoAuthorization;

        objAjaxResult.PromptMsg = "用户名或密码错误";

    }

    else

    {

        var claims = new List<Claim>

        {

            new Claim("userName", userName),

            new Claim("userID",user.Id.ToString()),

        };

        await HttpContext.SignInAsync(new ClaimsPrincipal(new ClaimsIdentity(claims,CookieAuthenticationDefaults.AuthenticationScheme)));

        objAjaxResult.Result = DoResult.Success;

        objAjaxResult.PromptMsg = "登录成功";

    }

    return new NewtonsoftJsonResult(objAjaxResult);

}
  • jwt认证
[HttpPost]

public NewtonsoftJsonResult Token([FromBody] UserInfo model)

{

    AjaxResult objAjaxResult = new AjaxResult();

    var user = _userBll.GetUser(model.UserName, model.Password);

    if (user == null)

    {

        objAjaxResult.Result = DoResult.NoAuthorization;

        objAjaxResult.PromptMsg = "用户名或密码错误";

    }

    else

    {

        //jwtTokenOptions 是通过配置获取上面配置的参数信息

        var jwtTokenOptions = BaseConfigModel.jwtConfig;

        var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtTokenOptions.SigningKey));

        var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

        //身份

        var claims = new List<Claim>

            {

                new Claim("userID",user.Id.ToString()),

                new Claim("userName",user.UserName),

            };

        //令牌

        var expires = DateTime.Now.AddMinutes(jwtTokenOptions.Expires);

        var token = new JwtSecurityToken(

            issuer: jwtTokenOptions.Issuer,

            audience: jwtTokenOptions.Audience,

            claims: claims,

            notBefore: DateTime.Now,

            expires: expires,

            signingCredentials: credentials

            );

        string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);

        objAjaxResult.Result = DoResult.Success;

        objAjaxResult.RetValue = new

        {

            token = jwtToken

        };

        objAjaxResult.PromptMsg = "登录成功";

    }

    return new NewtonsoftJsonResult(objAjaxResult);

}

授权

在授权时,应用指示要使用的处理程序。 选择应用程序将通过以逗号分隔的身份验证方案列表传递到来授权的处理程序 [Authorize] 。 [Authorize]属性指定要使用的身份验证方案或方案,不管是否配置了默认。

  • 默认授权

    因为上面认证配置中我们使用cookie作为默认配置,所以前端对应的controller就不用指定验证方案,直接打上[Authorize]即可。

  • 选择授权

    对于API接口我们使用Jwt授权,在Controller上打上指定方案。
[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]

总结

关于多种方案混合验证授权的流程:

1、配置认证方案(相关的配置参数可采用配置文件形式)。

2、添加授权验证中间件。

3、提供认证接口。

4、配置需要授权的接口授权方案。

asp.net core 3.1多种身份验证方案,cookie和jwt混合认证授权的更多相关文章

  1. 坎坷路:ASP.NET Core 1.0 Identity 身份验证(中集)

    上一篇:<坎坷路:ASP.NET 5 Identity 身份验证(上集)> ASP.NET Core 1.0 什么鬼?它是 ASP.NET vNext,也是 ASP.NET 5,以后也可能 ...

  2. ASP.NET Core 项目简单实现身份验证及鉴权

    ASP.NET Core 身份验证及鉴权 目录 项目准备 身份验证 定义基本类型和接口 编写验证处理器 实现用户身份验证 权限鉴定 思路 编写过滤器类及相关接口 实现属性注入 实现用户权限鉴定 测试 ...

  3. 实践剖析.NET Core如何支持Cookie和JWT混合认证、授权

    前言 为防止JWT Token被窃取,我们将Token置于Cookie中,但若与第三方对接,调用我方接口进行认证.授权此时仍需将Token置于请求头,通过实践并联系理论,我们继续开始整活!首先我们实现 ...

  4. ASP.NET Core WebApi中使用FluentValidation验证数据模型

    原文链接:Common features in ASP.NET Core 2.1 WebApi: Validation 作者:Anthony Giretti 译者:Lamond Lu 介绍 验证用户输 ...

  5. 关于ASP.Net Core Web及API身份认证的解决方案

    6月15日,在端午节前的最后一个工作日,想起有段日子没有写过文章了,倒有些荒疏了.今借夏日蒸蒸之气,偷得浮生半日悠闲.闲话就说到这里吧,提前祝大家端午愉快(屈原听了该不高兴了:))!.NetCore自 ...

  6. HTTP 请求未经客户端身份验证方案“Anonymous”授权。从服务器收到的身份验证标头为“Negotiate,NTLM”

    转自:http://www.cnblogs.com/geqinggao/p/3270499.html 近来项目需要Web Service验证授权,一般有两种解决方案: 1.通过通过SOAP Heade ...

  7. 发布Restful服务时出现IIS 指定了身份验证方案错误时的解决方案(IIS specified authentication schemes)

    发布RESTful服务,当访问.svc文件时出现如下错误时: IIS 指定了身份验证方案“IntegratedWindowsAuthentication, Anonymous”,但绑定仅支持一种身份验 ...

  8. HTTP 请求未经客户端身份验证方案“Anonymous”授权。

    今天调取WebService的时候报: HTTP 请求未经客户端身份验证方案“Anonymous”授权. 解决办法: 配置文件里改: <basicHttpBinding> <bind ...

  9. 定制Asp.NET 5 MVC内建身份验证机制 - 基于自建SQL Server用户/角色数据表的表单身份验证

    背景 在需要进行表单认证的Asp.NET 5 MVC项目被创建后,往往需要根据项目的实际需求做一系列的工作对MVC 5内建的身份验证机制(Asp.NET Identity)进行扩展和定制: Asp.N ...

随机推荐

  1. SpringBoot日志功能

    三.SpringBoot日志功能 1.日志框架 市面上的日志框架: JUL.JCL.Jboss-logging.Logback.Log4j.Log4j.SLF4J... 日志门面(日志的抽象层) 日志 ...

  2. nuxt的使用中碰到的问题

    使用npm run generate生成静态页面部署 如果不是部署在域名的根目录下,则需要在nuxt.config.js中添加 // nuxt.config.js export default { r ...

  3. java 数据结构(五):数据结构简述

    1.数据结构概述数据结构(Data Structure是一门和计算机硬件与软件都密切相关的学科,它的研究重点是在计算机的程序设计领域中探讨如何在计算机中组织和存储数据并进行高效率的运用,涉及的内容包含 ...

  4. Python面向对象03 /继承

    Python面向对象03 /继承 目录 Python面向对象03 /继承 1. 初识继承 2. 单继承 3. 多继承 4. 总结 1. 初识继承 概念:专业角度:如果B类继承A类,B类就称为子类,派生 ...

  5. 微信小程序接口封装、原生接口封装、request、promise封装

    相信大家在做微信小程序的时候会有很多地方需要调用接口,就和pc以及手机端一样,多个页面多次调用会有很多状态,那为了节省大家的开发时间就会需要给请求的接口做一些简单封装,便于开发,在这里我用了两个js, ...

  6. selenium自动化测试实战——12306铁路官网范例

    一.Selenium介绍 Selenium 是什么?一句话,自动化测试工具.它支持各种浏览器,包括 Chrome,Safari,Firefox 等主流界面式浏览器,如果你在这些浏览器里面安装一个 Se ...

  7. Zabbix4.x如何安全传输数据

    由于设备都在混合云,所以不少数据传输是通过公网,这样极大的增加了危险性,所以在Zabbix数据传输这块则进行PSK安全认证,由proxy主动收集agent数据后统一发送给server,这样只需要对pr ...

  8. Makefile中自动生成头文件依赖

    为什么需要自动生成头文件依赖? 编译单个源文件时,需要获取文件中包含的头文件的信息,但是一般的Makefile不会在规则中明确写明文件依赖的头文件,所以单独修改头文件后,不会导致包含头文件的源文件重新 ...

  9. 深入探究JVM之内存结构及字符串常量池

    前言 Java作为一种平台无关性的语言,其主要依靠于Java虚拟机--JVM,我们写好的代码会被编译成class文件,再由JVM进行加载.解析.执行,而JVM有统一的规范,所以我们不需要像C++那样需 ...

  10. OKex平台如何使用谷歌身份验证?

    打开OK交易所官网,找到谷歌身份验证器的开启界面 登陆后点击右上角头像-账户和安全 然后[安全设置]里出现“谷歌验证”的位置,点击开启按钮,到了二维码和密钥显示的界面 我们不使用谷歌身份验证器,因为需 ...