asp.net core3.1cookie和jwt混合認證授權實現多種身份驗證方案

Posted on by

開發瞭一個公司內部系統,使用asp.net core 3.1。在開發用戶認證授權使用的是簡單的cookie認證方式,然後開發好瞭要寫幾個接口給其它系統調用數據。並且隻是幾個簡單的接口不準備再重新部署一個站點,所以就直接在MVC的項目裡面加瞭一個API區域用來寫接口。這時候因為是接口所以就不能用cookie方式進行認證,得加一個jwt認證,采用多種身份驗證方案來進行認證授權。

認證授權

身份驗證是確定用戶身份的過程。 授權是確定用戶是否有權訪問資源的過程。 在 ASP.NET Core 中,身份驗證由 IAuthenticationService 負責,而它供身份驗證中間件使用。 身份驗證服務會使用已註冊的身份驗證處理程序來完成與身份驗證相關的操作。

認證–>授權

關於認證授權我們要區分認證和授權是兩個概念,具體可查看MSDN官方文檔也可以搜索其它文章看看,講的很多。其中包括OAuth 2.0 以及jwt的相關知識都有很多資料並且講解的很好。

身份認證

身份驗證方案由 Startup.ConfigureServices 中的註冊身份驗證服務指定:
方式是在調用 services.AddAuthentication 後調用方案特定的擴展方法(例如 AddJwtBearer 或 AddCookie)。 這些擴展方法使用 AuthenticationBuilder.AddScheme 向適當的設置註冊方案。

添加cookie JwtBearer驗證方案

public void ConfigureServices(IServiceCollection services)
{
    services.AddSession();
    services.AddMvc(o =>
    {
        o.Filters.Add(typeof(MyExceptionFilterAttribute));// 全局異常Filter  
    }).AddRazorRuntimeCompilation();
    //添加身份認證方案
    var jwtConfig= Configuration.GetSection("Jwt").Get<JwtConfig>();
    services.AddAuthentication
        (authoption =>{
            //指定默認選項
            authoption.DefaultChallengeScheme= CookieAuthenticationDefaults.AuthenticationScheme;
            authoption.DefaultAuthenticateScheme = CookieAuthenticationDefaults.AuthenticationScheme;
            authoption.DefaultSignOutScheme = CookieAuthenticationDefaults.AuthenticationScheme;
            authoption.DefaultSignInScheme= CookieAuthenticationDefaults.AuthenticationScheme;
        })
   .AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, option =>
   {
       option.Cookie.Name = "adCookie";//設置存儲用戶登錄信息(用戶Token信息)的Cookie名稱
       option.Cookie.HttpOnly = true;//設置存儲用戶登錄信息(用戶Token信息)的Cookie,無法通過客戶端瀏覽器腳本(如JavaScript等)訪問到
       option.ExpireTimeSpan = TimeSpan.FromDays(3);// 過期時間
       option.SlidingExpiration = true;// 是否在過期時間過半的時候,自動延期
       option.LoginPath = "/Account/Login";
       option.LogoutPath = "/Account/LoginOut";
   })
   .AddJwtBearer(option =>
   {
       option.TokenValidationParameters = new TokenValidationParameters
       {
           ValidIssuer = jwtConfig.Issuer,
           ValidAudience = jwtConfig.Audience,
           ValidateIssuer = true,
           ValidateLifetime = jwtConfig.ValidateLifetime,
           IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtConfig.SigningKey)),
           //緩沖過期時間,總的有效時間等於這個時間加上jwt的過期時間
           ClockSkew = TimeSpan.FromSeconds(0)
       };
   });
}

JwtBearer認證的配置參數類JwtConfig

public class JwtConfig
{
    /// <summary>
    /// 誰頒發的
    /// </summary>
    public string Issuer { get; set; }

    /// <summary>
    /// 頒發給誰
    /// </summary>
    public string Audience { get; set; }

    /// <summary>
    /// 令牌密碼
    /// a secret that needs to be at least 16 characters long
    /// </summary>
    public string SigningKey { get; set; }

    /// <summary>
    /// 過期時間(分鐘)
    /// </summary>
    public int Expires { get; set; }

    /// <summary>
    /// 是否校驗過期時間
    /// </summary>
    public bool ValidateLifetime { get; set; }
}

appsettings.json 配置參數

  "Jwt": {
    "Issuer": "issuer",
    "Audience": "audience",
    "SigningKey": "c0d32c63-z43d-4917-bbc2-5e726d087452",
    //過期時間(分鐘)
    "Expires": 10080,
    //是否驗證過期時間
    "ValidateLifetime": true
  }

添加身份驗證中間件

通過在應用的 IApplicationBuilder 上調用 UseAuthentication 擴展方法,在 Startup.Configure 中添加身份驗證中間件。 如果調用 UseAuthentication,會註冊使用之前註冊的身份驗證方案的中間節。 請在依賴於要進行身份驗證的用戶的所有中間件之前調用 UseAuthentication。 如果使用終結點路由,則必須按以下順序調用 UseAuthentication:

  • 在 UseRouting之後調用,以便路由信息可用於身份驗證決策。
  • 在 UseEndpoints 之前調用,以便用戶在經過身份驗證後才能訪問終結點。
public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    if (env.IsDevelopment())
    {
        app.UseDeveloperExceptionPage();
    }
    else
    {
        app.UseExceptionHandler("/Home/Error");
        app.UseHsts();
    }
    app.UseHttpsRedirection();
    app.UseSession();
    app.UseRouting();

    //開啟認證中間件
    app.UseAuthentication();
    //開啟授權中間件
    app.UseAuthorization();

    app.UseEndpoints(endpoints =>
    {

        endpoints.MapControllerRoute(
        name: "areas",
        pattern: "{area:exists}/{controller=Home}/{action=Index}/{id?}");

        endpoints.MapControllerRoute(
            name: "default",
            pattern: "{controller=Home}/{action=Index}/{id?}");
    });
}

cookie認證

[HttpPost]
public async Task<NewtonsoftJsonResult> LoginIn(string userName, string userPassword, string code)
{
    AjaxResult objAjaxResult = new AjaxResult();
    var user = _userBll.GetUser(userName, userPassword);
    if (user == null)
    {
        objAjaxResult.Result = DoResult.NoAuthorization;
        objAjaxResult.PromptMsg = "用戶名或密碼錯誤";
    }
    else
    {
        var claims = new List<Claim>
        {   
            new Claim("userName", userName),
            new Claim("userID",user.Id.ToString()),
        };
        await HttpContext.SignInAsync(new ClaimsPrincipal(new ClaimsIdentity(claims,CookieAuthenticationDefaults.AuthenticationScheme)));
        objAjaxResult.Result = DoResult.Success;
        objAjaxResult.PromptMsg = "登錄成功";
    }
    return new NewtonsoftJsonResult(objAjaxResult);
}

jwt認證

[HttpPost]
public NewtonsoftJsonResult Token([FromBody] UserInfo model)
{
    AjaxResult objAjaxResult = new AjaxResult();
    var user = _userBll.GetUser(model.UserName, model.Password);
    if (user == null)
    {
        objAjaxResult.Result = DoResult.NoAuthorization;
        objAjaxResult.PromptMsg = "用戶名或密碼錯誤";
    }
    else
    {
        //jwtTokenOptions 是通過配置獲取上面配置的參數信息
        var jwtTokenOptions = BaseConfigModel.jwtConfig;
        var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtTokenOptions.SigningKey));
        var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        //身份
        var claims = new List<Claim>
            {
                new Claim("userID",user.Id.ToString()),
                new Claim("userName",user.UserName),
            };
        //令牌
        var expires = DateTime.Now.AddMinutes(jwtTokenOptions.Expires);
        var token = new JwtSecurityToken(
            issuer: jwtTokenOptions.Issuer,
            audience: jwtTokenOptions.Audience,
            claims: claims,
            notBefore: DateTime.Now,
            expires: expires,
            signingCredentials: credentials
            );
        string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);
        objAjaxResult.Result = DoResult.Success;
        objAjaxResult.RetValue = new
        {
            token = jwtToken
        };
        objAjaxResult.PromptMsg = "登錄成功";
    }
    return new NewtonsoftJsonResult(objAjaxResult);
}

授權

在授權時,應用指示要使用的處理程序。 選擇應用程序將通過以逗號分隔的身份驗證方案列表傳遞到來授權的處理程序 [Authorize] 。 [Authorize]屬性指定要使用的身份驗證方案或方案,不管是否配置瞭默認。

默認授權

因為上面認證配置中我們使用cookie作為默認配置,所以前端對應的controller就不用指定驗證方案,直接打上[Authorize]即可。

選擇授權

對於API接口我們使用Jwt授權,在Controller上打上指定方案。 

[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]

總結

關於多種方案混合驗證授權的流程:
1、配置認證方案(相關的配置參數可采用配置文件形式)。
2、添加授權驗證中間件。
3、提供認證接口。
4、配置需要授權的接口授權方案。

到此這篇關於asp.net core3.1cookie和jwt混合認證授權實現多種身份驗證方案的文章就介紹到這瞭,更多相關asp.net core cookie和jwt認證授權內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: