JWT学习文章:

第一篇:JWT原理

第二篇:JWT原理实现代码

上一篇学习了JWT的基本理论,这一篇将根据原理进行代码实现。

要想实现jwt的加密解密,要先生成一个SecurityKey,大家可以在网上工具生成一个随机的密钥。我是在这里生成的。

下面篇幅大量都是代码,因为注释写得很清楚,因此就不再有过多文字说明。

代码实现

新建常量类:Const

public class Const

{

     public const string SecurityKey= "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSfLGu+kcFDcJUCV46J+SbgR0lNc2NqgCGzojQTWW9xqjuzPF3mpisvTggYZSGfBzN+88YLZYbBLrDTUMJ4nTieElbP6SHkBFu8F+7fFBi7w3UPsaAXDr2E2srQYU5ZlKAcFBoNajNWj3sfSVRoYRPdqDTj4WdJlUPSNGz0wgRrQIDAQAB";

     public const string Domain = "http://localhost:5000";

}

新建控制器:AuthController

    [ApiController]

    [Route("[controller]")]

    public class AuthController  : ControllerBase

    {

        [HttpGet]

        public IActionResult Get(string userName, string pwd)

        {

            //此处只简单的验证用户名和密码的不为空,实际中使用时不要这样

            if (!string.IsNullOrEmpty(userName) && !string.IsNullOrEmpty(pwd))

            {

                //Header

                var header = "{\"alg\": \"HS256\",\"typ\": \"JWT\"}";

                var headerBase = Base64UrlTextEncoder.Encode(Encoding.UTF8.GetBytes(header));

                //Payload

                var payloadDic = new Dictionary<string, object>();

                payloadDic["iss"]= Const.Domain;

                //添加jwt可用时间

                var now = DateTime.UtcNow;

                payloadDic["nbf"] = now.ToUniversalTime();//可用时间起始

                payloadDic["exp"] = now.AddMinutes(30).ToUniversalTime();//可用时间结束

                var payload = JsonConvert.SerializeObject(payloadDic);

                var payloadBase = Base64UrlTextEncoder.Encode(Encoding.UTF8.GetBytes(payload));

                //Signature

                //声明hs256对象

                var hs256 = new HMACSHA256(Encoding.UTF8.GetBytes(Const.SecurityKey));

                //生成signature

                var signature = hs256.ComputeHash(Encoding.UTF8.GetBytes(headerBase + "." + payloadBase));

                var signatureBase = Base64UrlTextEncoder.Encode(signature);

                return Ok(new

                {

                    token = headerBase + "." + payloadBase + "." + signatureBase

                }) ;

            }

            else

            {

                return BadRequest(new { message = "username or password is incorrect." });

            }

        }

    }

为了过滤哪些接口需要验证,此处新建一个特性:AuthAttribute

    public class AuthAttribute : Attribute

    {

        public AuthAttribute()

        {

        }

    }

修改原有的Home控制器:

    [ApiController]

    [Route("[controller]")]

    public class HomeController  : ControllerBase

    {

            [HttpGet]

            [Route("api/value1")]

            public ActionResult<IEnumerable<string>> Get()

            {

                return new string[] { "value1", "value1" };

            }

            [HttpGet]

            [Route("api/value2")]

            [Auth]

            public ActionResult<IEnumerable<string>> Get2()

            {

                return new string[] { "value2", "value2" };

            }

    }

Value2接口标记了Auth特性,在下面验证时有Auth特性标记的接口才会被要求token。

新建静态类:AuthExtension,并且增加一个IApplicationBuilder的扩展方法:

    public static class AuthExtension

    {

        public static void AddAuthorize(this IApplicationBuilder applicationBuilder)

        {

            applicationBuilder.Use(async (currentContext, nextContext) =>

            {

                //获取是否具有自定义的auth特性

                var authAttribute = currentContext.GetEndpoint()?.Metadata.GetMetadata<AuthAttribute>();

                if (authAttribute != null)

                {

                    if (currentContext.Request.Headers.ContainsKey("Authorization"))

                    {

                        var authorize = currentContext.Request.Headers["Authorization"].ToString();

                        if (authorize.Contains("Bearer"))

                        {

                            var info = authorize.Replace("Bearer ", string.Empty);

                            var jwtStr = info.Split('.').ToArray();

                            //声明hs256对象

                            var hs256 = new HMACSHA256(Encoding.UTF8.GetBytes(Const.SecurityKey));

                            //生成signature

                            var signature = Base64UrlTextEncoder.Encode(hs256.ComputeHash(Encoding.UTF8.GetBytes(jwtStr[0] + "." + jwtStr[1])));

                            //验证加密后是否相等

                            if (jwtStr[2] == signature)

                            {

                                //验证是否在有效时间内

                                var now = DateTime.UtcNow.ToUniversalTime();

                                var payload = JsonConvert.DeserializeObject<Dictionary<string, object>>(Encoding.UTF8.GetString(Base64UrlTextEncoder.Decode(jwtStr[1])));

                                if (now >= Convert.ToDateTime(payload["nbf"]) && now <= Convert.ToDateTime(payload["exp"]))

                                {

                                    //await currentContext.Response.WriteAsync("验证通过").ConfigureAwait(true);

                                    await nextContext?.Invoke();

                                    return;

                                }

                                currentContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;

                                await currentContext.Response.WriteAsync("Authorization time has passed, please log in again!").ConfigureAwait(true);

                            }

                        }

                    }

                    currentContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;

                    await currentContext.Response.WriteAsync("Verification failed, no permission to access!").ConfigureAwait(true);

                }

                await nextContext?.Invoke();

            });

        }

    }

在启动类Startup的请求管道中(Configure)添加上面的扩展方法:

//添加身份验证

app.AddAuthorize();

注意一定要把这句话添加在UseRouting()之后,因为在扩展方法中获取Auth特性只有在注册了Routing规则后才能获取到值。

测试

访问无需权限的Value1接口:

访问成功!!!

获取token:

我启用了swagger,如果没有启用在postman中请求https://localhost:5001/Auth?userName=admin&pwd=admin也是一样的。

代码中用户名和密码我只是简单的验证了下是否为空,所以这里填写什么都能通过。

获取token成功说明获取token的代码没有问题,逻辑有没有问题还不能确定,所以要经过后面接口的确认看是否成功。

访问要求权限验证的Value2接口:

不带token:

访问失败!!!

带上token:

成功!!!

静待三十分钟(代码中设置token过期时间为三十分钟),调用Value2接口:

失败了!!!错误提示是token过期。

如果觉得不保险,还可以逐步调试看一下是否所有逻辑都正确执行,这里就不再进行赘述了。

至此证明我们依照jwt原理写的权限验证成功!!!

JWT原理实现代码的更多相关文章

  1. JWT原理和使用

    jwt JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明.目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目. 1.jwt认证流程 在项目 ...

  2. JWT原理

    1.COOKIE使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html   1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器 ...

  3. JWT原理及常见攻击方式

    JWT的全称是Json Web Token.它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份. ...

  4. flume原理及代码实现

    转载标明出处:http://www.cnblogs.com/adealjason/p/6240122.html 最近想玩一下流计算,先看了flume的实现原理及源码 源码可以去apache 官网下载 ...

  5. Java Base64加密、解密原理Java代码

    Java Base64加密.解密原理Java代码 转自:http://blog.csdn.net/songylwq/article/details/7578905 Base64是什么: Base64是 ...

  6. Base64加密解密原理以及代码实现(VC++)

    Base64加密解密原理以及代码实现 转自:http://blog.csdn.net/jacky_dai/article/details/4698461 1. Base64使用A--Z,a--z,0- ...

  7. AC-BM算法原理与代码实现(模式匹配)

    AC-BM算法原理与代码实现(模式匹配) AC-BM算法将待匹配的字符串集合转换为一个类似于Aho-Corasick算法的树状有限状态自动机,但构建时不是基于字符串的后缀而是前缀.匹配 时,采取自后向 ...

  8. Java基础知识强化之集合框架笔记47:Set集合之TreeSet保证元素唯一性和比较器排序的原理及代码实现(比较器排序:Comparator)

    1. 比较器排序(定制排序) 前面我们说到的TreeSet的自然排序是根据集合元素的大小,TreeSet将它们以升序排列. 但是如果需要实现定制排序,比如实现降序排序,则要通过比较器排序(定制排序)实 ...

  9. PHP网站安装程序的原理及代码

    原文:PHP网站安装程序的原理及代码 原理: 其实PHP程序的安装原理无非就是将数据库结构和内容导入到相应的数据库中,从这个过程中重新配置连接数据库的参数和文件,为了保证不被别人恶意使用安装文件,当安 ...

随机推荐

  1. mac SSH私钥取消密码(passphrase)

    取消私钥中的密码: 1.使用openssl命令去掉私钥的密码openssl rsa -in ~/.ssh/id_rsa -out ~/.ssh/id_rsa_new 2.备份旧私钥mv ~/.ssh/ ...

  2. Let's go!

    第一次开通博客 心情还是很激动的,而且做出了这么好看的页面虽然都是用的别人的组件,自己不是很知道原理但是也很开心,以后会将自己学习的东西写成笔记发在上面

  3. COS 数据湖最佳实践:基于 Serverless 架构的入湖方案

    01 前言 数据湖(Data Lake)概念自2011年被推出后,其概念定位.架构设计和相关技术都得到了飞速发展和众多实践,数据湖也从单一数据存储池概念演进为包括 ETL 分析.数据转换及数据处理的下 ...

  4. [bug] C:error: initializer element is not constant

    参考 http://codingdict.com/questions/45121

  5. [刷题] PTA 7-64 最长对称子串

    7-64 最长对称子串 我的代码: 1 #include<stdio.h> 2 #include<string.h> 3 #define N 1001 4 5 int main ...

  6. Linux命令nohup实现命令后台运行并输出到或记录到日志文件

    Linux命令nohup实现命令后台运行并输出到或记录到日志文件 导读 我们在调试程序的时候,免不了要去抓一些 log ,然后进行分析.如果 log 量不是很大的话,那很简单,只需简单的复制粘贴就好. ...

  7. nginx location标签的匹配规则

    location的匹配 匹配符 匹配规则 优先级 = 精确匹配 1 ^~ 以某个字符串开头 2 ~ 区分大小写的正则匹配 3 ~* 不区分大小写的正则匹配 4 !~ 区分大小写不匹配的正则 5 !~* ...

  8. OpenStack平台功能性测试工具Tempest安装

    社区对OpenStack平台功能性的测试工具采用Tempest,性能测试采用Rally. 1.什么是Tempest tempest├── api # API的测试集├── cli # OpenStac ...

  9. Hive 安装和配置

    环境准备 已安装 HDFS 和 Yarn 集群环境 Windows 已安装 MySQL 8 (开启远程连接用户权限) 安装步骤 1. 上传并解压 Hive 安装文件 将 apache-hive-3.1 ...

  10. stm32之ADC应用实例(单通道、多通道、基于DMA)-转载精华帖,最后一部分的代码是精华

    硬件:STM32F103VCT6    开发工具:Keil uVision4    下载调试工具:ARM仿真器网上资料很多,这里做一个详细的整合.(也不是很详细,但很通俗).所用的芯片内嵌3个12位的 ...