.Net Core實現JWT授權認證
關於JWT的基本概念,如果有不清晰的同學,請點擊這裡,就不在這裡贅述瞭。接下來聊聊JWT是怎麼發揮作用的。
第一,安裝nuget包
Microsoft.AspNetCore.Authentication.JwtBearer
第二,配置【Startup】
首先是【ConfigureServices】方法,下面要寫一大堆進去
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(x =>
{
x.RequireHttpsMetadata = false;
x.SaveToken = true;
x.TokenValidationParameters = new TokenValidationParameters()
{
ValidateLifetime = true,
LifetimeValidator = (notBefore, expires, securityToken, validationParameters) =>
{
bool t = DateTime.UtcNow < expires;
return t;
},
ValidateAudience = false,
ValidateIssuer = true,
ValidIssuer = jwtConfig.Issuer,
ValidateIssuerSigningKey = true,
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtConfig.Key)),
};
});
雖然看起來多,實際上邏輯很清晰,我在這裡簡單解釋一下:
- RequireHttpsMetadata:獲取或設置元數據地址或權限是否需要HTTPS,默認為true
- SaveToken:是否將信息存儲在token中
- TokenValidationParameters:這部分網上有很多版本,其中大部分都是寫滿的,但這對新手不太友好;而且也不是必須寫滿。先解釋一些代碼裡的驗證開關(設置true、false的我稱為驗證開關)
- ValidateLifetime——是否驗證過期時間
- ValidateAudience——是否驗證被發佈者
- ValidateIssuer——是否驗證發佈者
- ValidateIssuerSigningKey——是否驗證簽名
查看框架代碼你會發現更多的驗證開關,這裡就不一一解釋瞭:
然後在【Configure】添加引用:
app.UseAuthentication(); app.UseAuthorization();
這裡的順序不能顛倒。第一行是開啟身份驗證,第二行是開啟授權。
第三,配置
JWT需要進行一些簡單的配置來確保安全,至於配置寫在哪裡都可以,我是放在appsettings內:
"JWT": {
"Issuer": "發佈者,一般是一個域名",
"Key": "一個新的guid",
"Expires": 600(秒)
}
第四,生成JWT
為瞭方便大傢理解,我這邊直接上代碼:
public static string GetToken(IOptions<JwtConfig> _options, dynamic customer)
{
var claims = new[] {
new Claim(ClaimTypes.Name,"JWT"),
new Claim("ID",customer.ID),
new Claim("WxOpenID",customer.WxOpenID),
new Claim("Father",customer.Father)
};
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_options.Value.Key));
var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var token = new JwtSecurityToken(
issuer: _options.Value.Issuer,
claims: claims,
expires: DateTime.UtcNow.AddMinutes(_options.Value.Expires),
signingCredentials: credentials);
return new JwtSecurityTokenHandler().WriteToken(token);
}
如果在token中想要攜帶某些參數,可以使用Claim進行封裝。
接下來還有3個小步驟:
- 1、對配置文件中的key進行加密,得到對稱加密key。
- 2、使用上一步得到的結果生成數字證書。
- 3、配置token的內容。
最後,就可以生成jwt並且返回瞭。
第五,獲取JWT內容
正常情況下,JWT除瞭做驗證以外,還要有一些參數做輔助。上面說瞭參數傳遞是通過定義claim實現的,那麼怎麼合法的解析呢?還是直接上代碼:
public static JwtInfo GetInfoFromToken(string token = null)
{
if (token is null)
return null;
string tokenStr = token.Replace("Bearer ", "");
var handler = new JwtSecurityTokenHandler();
var payload = handler.ReadJwtToken(tokenStr).Payload;
var claims = payload.Claims;
JwtInfo info = new JwtInfo()
{
ID = claims.First(claim => claim.Type == "ID")?.Value,
WxOpenID = claims.First(claim => claim.Type == "WxOpenID")?.Value,
Father = claims.First(claim => claim.Type == "Father")?.Value
};
return info;
}
這一段沒什麼好講的,對應的名字拿到對應的參數。不過如果參數不存在這裡會報錯,所以盡量規范一點,首尾呼應。
第六,代碼應用
JWT也生成瞭,同時也可以反向解析傳遞的參數瞭,該如何應用到代碼中去呢?這裡要用到特性。
為需要進行驗證的控制器添加【Authorize】特性,這個控制器下的所有方法在外部調用時就都需要JWT認證才可順利調用,否則返回401(未授權)。如果不是全部方法都需要認證,那麼可以為方法添加【AllowAnonymous】特性來忽略認證限制,如圖:
以上就是本文的全部內容,希望對大傢的學習有所幫助,也希望大傢多多支持WalkonNet。
推薦閱讀:
- .net core api接口JWT方式認證Token
- asp.net core3.1cookie和jwt混合認證授權實現多種身份驗證方案
- ASP.NET Core應用JWT進行用戶認證及Token的刷新方案
- ASP.NET Core使用JWT自定義角色並實現策略授權需要的接口
- .NET Core支持Cookie和JWT混合認證、授權的方法