.NET core 3.0如何使用Jwt保护api详解
摘要:
本文演示如何向有效用户提供jwt,以及如何在webapi中使用该token通过jwtbearermiddleware中间件对用户进行身份认证。
认证和授权区别?
首先我们要弄清楚认证(authentication)和授权(authorization)的区别,以免混淆了。认证是确认的过程中你是谁,而授权围绕是你被允许做什么,即权限。显然,在确认允许用户做什么之前,你需要知道他们是谁,因此,在需要授权时,还必须以某种方式对用户进行身份验证。
什么是jwt?
根据*的定义,json web token(jwt),是一种基于json的、用于在网络上声明某种主张的令牌(token)。jwt通常由三部分组成:头信息(header),消息体(payload)和签名(signature)。
头信息指定了该jwt使用的签名算法:
header = '{"alg":"hs256","typ":"jwt"}'
hs256表示使用了hmac-sha256来生成签名。
消息体包含了jwt的意图:
payload = '{"loggedinas":"admin","iat":1422779638}'//iat表示令牌生成的时间
未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成:
key = 'secretkey' unsignedtoken = encodebase64(header) + '.' + encodebase64(payload) signature = hmac-sha256(key, unsignedtoken)
最后在未签名的令牌尾部拼接上base64url编码的签名(同样使用"."分隔)就是jwt了:
token = encodebase64(header) + '.' + encodebase64(payload) + '.' + encodebase64(signature) # token看起来像这样: eyjhbgcioijiuzi1niisinr5cci6ikpxvcj9.eyjsb2dnzwrjbkfzijoiywrtaw4ilcjpyxqioje0mji3nzk2mzh9.gzsrasys8exbxln_ownfsrgczcmjmmjliuyu5cspyhi
jwt常常被用作保护服务端的资源(resource),客户端通常将jwt通过http的authorization header发送给服务端,服务端使用自己保存的key计算、验证签名以判断该jwt是否可信:
authorization: bearer eyjhbgci*...<snip>...*yu5cspyhi
准备工作
使用vs2019创建webapi项目,并且安装nuget包
microsoft.aspnetcore.authentication.jwtbearer
startup类
configureservices 添加认证服务
services.addauthentication(options =>
{
options.defaultauthenticatescheme = jwtbearerdefaults.authenticationscheme;
options.defaultchallengescheme = jwtbearerdefaults.authenticationscheme;
options.defaultscheme = jwtbearerdefaults.authenticationscheme;
}).addjwtbearer(options =>
{
options.savetoken = true;
options.requirehttpsmetadata = false;
options.tokenvalidationparameters = new tokenvalidationparameters()
{
validateissuer = true,
validateaudience = true,
validaudience = "https://www.cnblogs.com/chengtian",
validissuer = "https://www.cnblogs.com/chengtian",
issuersigningkey = new symmetricsecuritykey(encoding.utf8.getbytes("securekeysecurekeysecurekeysecurekeysecurekeysecurekey"))
};
});
configure 配置认证中间件
app.useauthentication();//认证中间件、
创建一个token
添加一个登录model命名为logininput
public class logininput
{
public string username { get; set; }
public string password { get; set; }
}
添加一个认证控制器命名为authenticatecontroller
[route("api/[controller]")]
public class authenticatecontroller : controller
{
[httppost]
[route("login")]
public iactionresult login([frombody]logininput input)
{
//从数据库验证用户名,密码
//验证通过 否则 返回unauthorized
//创建claim
var authclaims = new[] {
new claim(jwtregisteredclaimnames.sub,input.username),
new claim(jwtregisteredclaimnames.jti,guid.newguid().tostring())
};
identitymodeleventsource.showpii = true;
//签名秘钥 可以放到json文件中
var authsigningkey = new symmetricsecuritykey(encoding.utf8.getbytes("securekeysecurekeysecurekeysecurekeysecurekeysecurekey"));
var token = new jwtsecuritytoken(
issuer: "https://www.cnblogs.com/chengtian",
audience: "https://www.cnblogs.com/chengtian",
expires: datetime.now.addhours(2),
claims: authclaims,
signingcredentials: new signingcredentials(authsigningkey, securityalgorithms.hmacsha256)
);
//返回token和过期时间
return ok(new
{
token = new jwtsecuritytokenhandler().writetoken(token),
expiration = token.validto
});
}
}
添加api资源
利用默认的控制器weatherforecastcontroller
- 添加个authorize标签
- 路由调整为:[route("api/[controller]")] 代码如下
[authorize]
[apicontroller]
[route("api/[controller]")]
public class weatherforecastcontroller : controllerbase
到此所有的代码都已经准好了,下面进行运行测试
运行项目
使用postman进行模拟
输入url:https://localhost:44364/api/weatherforecast
发现返回时401未认证,下面获取token
通过用户和密码获取token
如果我们的凭证正确,将会返回一个token和过期日期,然后利用该令牌进行访问
利用token进行请求
ok,最后发现请求状态200!
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,谢谢大家对的支持。
推荐阅读
-
Asp.Net Core WebAPI使用Swagger时API隐藏和分组详解
-
ASP.NET Core 3.0 WebApi中使用Swagger生成API文档简介
-
在.NET Core中使用Jwt对API进行认证
-
详解如何在ASP.NET Core中使用Redis
-
ASP.NET Core 3.0 一个 jwt 的轻量角色/用户、单个API控制的授权认证库
-
.NET Core控制台应用程序如何使用异步(Async)Main方法详解
-
详解如何在ASP.NET Core中使用IHttpClientFactory
-
.Net Core Api 使用版本控制详解
-
如何使用pm2守护你的.NET Core应用程序详解
-
详解如何在ASP.NET Core Web API中以三种方式返回数据