ASP.NET Core学习之使用JWT认证授权详解

程序员文章站 2022-06-25 17:36:57

概述认证授权是很多系统的基本功能 , 在以前pc的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随...

概述

认证授权是很多系统的基本功能 , 在以前pc的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统架构也从以前垂直扩展(增加服务器性能) -> 水平扩展(增加服务器数量)

cookies-session 工作方式

客户端提交用户信息 -> 服务器识别用户 -> 服务端保存用户信息 -> 返回session-id客户端 -> 客户端保存session-id -> 每次请求cookies带上session-id

这种方式也不是不能水平扩展 , 例如 , session复制/第三方保存session(数据库 , redis)

名词解析

认证 : 识别用户是否合法

授权: 赋予用户权限 (能访问哪些资源)

鉴权: 鉴定权限是否合法

jwt优势与劣势

优势

无状态

token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , 服务端更容易水平扩展, 由于无状态, 又会导致它最大缺点 , 很难注销

2、支持跨域访问

cookie是不允许垮域访问的，token支持

3、跨语言

基于标准化的 json web token (jwt) , 不依赖特定某一个语言 , 例如生成对token可以对多个语言使用(net , java , php ...)

劣势

1、token有效性问题

后台很难注销已经发布的token , 通常需要借助第三方储存(数据库/缓存) 实现注销, 这样就会失去jwt最大的优势

2、占带宽

token长度(取决存放内容) 比session_id大 , 每次请求多消耗带宽 , token只存必要信息 , 避免token过长

3、需要实现续签

cookies - session 通常是框架已经实现续签功能, 每次访问把过期时间更新, jwt需要自己实现, 参考oauth2刷新token机制实现刷新token

4、消耗更多cpu

每次请求需要对内容解密和验证签名这两步操作，典型用时间换空间

只能根据自身使用场景决定使用哪一种身份验证方案 , 没有一种方案是通用的,完美的

aspnetcore集成jwt认证

1、添加包

dotnet add package microsoft.aspnetcore.authentication.jwtbearer

2、添加配置

"jwtoptions": {
 "issuer": "https://localhost:5001",
 "audience": "https://localhost:5001",
 "securitykey": "1g3l0yygboinid3a*ioei4iyxr7$spzm"
}

3、jwt bearer 扩展（选项）

public static authenticationbuilder addjwtbearer(this iservicecollection services, action<jwtoptions> configureoptions)
{
 if (configureoptions == null) throw new argumentnullexception(nameof(configureoptions));

 var jwtoptions = new jwtoptions()
 {
  issuer = "jwt authentication",
  audience = "wilson pan web api",
 };
 // set customs optoins
 configureoptions(jwtoptions);

 // update options 
 services.postconfigure<jwtoptions>(options =>
 {
  options.issuer = jwtoptions.issuer;
  options.audience = jwtoptions.audience;
  options.securitykey = jwtoptions.securitykey;
 });

 return services.addauthentication(jwtbearerdefaults.authenticationscheme)
     .addjwtbearer(options =>
     {
      options.tokenvalidationparameters = new tokenvalidationparameters()
      {
       validissuer = jwtoptions.issuer,
       validaudience = jwtoptions.audience,
       validateissuer = true,
       validatelifetime = true,
       validateissuersigningkey = true,
       issuersigningkey = jwtoptions.symmetricsecuritykey
      };
     });

}

4、configureservices

services.addjwtbearer(options =>
{
 options.issuer = configuration.getvalue<string>("jwtoptions:issuer");
 options.audience = configuration.getvalue<string>("jwtoptions:audience");
 options.securitykey = configuration.getvalue<string>("jwtoptions:securitykey");
});

5、configure

app.useauthentication();
app.useauthorization();

6、add authorizecontroller

//define claim 
var claims = new claim[]
{
  new claim(claimtypes.name, username),
  new claim(claimtypes.email, $"{username}@github.com"),
  new claim(claimtypes.role, username == "wilsonpan" ? "admin" : "reader"),
  new claim(claimtypes.hash, jwthashhelper.gethashstring($"{username}:{password}:{system.datetime.now.ticks}")),
};

//define jwtsecuritytoken
var token = new jwtsecuritytoken(
  issuer: _jwtoptions.issuer,
  audience: _jwtoptions.audience,
  claims: claims,
  expires: system.datetime.now.addminutes(5),
  signingcredentials: _jwtoptions.signingcredentials
);

// generate token
var result = new jwtsecuritytokenhandler().writetoken(token);

7、contrller/action 添加认证授权

[apicontroller]
[authorize]
[route("[controller]")]
public class apicontroller : controllerbase
{
  ...
}

[httppost]
[authorize(roles = "admin")]
public iactionresult post()
{
  return ok();
}

rest client

dotnet run

1、认证接口

@host = https://localhost:5001

# @name token
post {{host}}/authorize http/1.1
content-type: application/x-www-form-urlencoded

#username=wilson&password=123456
# admin 
username=wilsonpan&password=123456

2、需要授权接口

### required authorize
get {{host}}/api http/1.1
authorization: bearer {{token.response.body.*}}

3、需要管理员角色接口

### required authorize
post {{host}}/api http/1.1
authorization: bearer {{token.response.body.*}}

示例代码

总结

到此这篇关于asp.net core学习之使用jwt认证授权的文章就介绍到这了,更多相关asp.net core用jwt认证授权内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持！

ASP.NET Core学习之使用JWT认证授权详解

ASP.NET Core扩展库之Http日志的使用详解

详解Spring Boot实战之Filter实现使用JWT进行接口认证

ASP.Net Core 3.1 中使用JWT认证

详解在ASP.NET Core中使用Angular2以及与Angular2的Token base身份认证

详解Spring Boot实战之Filter实现使用JWT进行接口认证

ASP.NET Core 3.0 一个 jwt 的轻量角色/用户、单个API控制的授权认证库

ASP.NET Core 2.0利用Jwt实现授权认证

ASP.NET Core扩展库之Http通用扩展库的使用详解

详解ASP.NET Core Web Api之JWT刷新Token

ASP.NET Core使用JWT认证授权的方法