Dotnet core使用JWT認證受權最佳實踐(一)
最近,團隊的小夥伴們在作項目時,須要用到JWT認證。遂根據本身的經驗,整理成了這篇文章,用來幫助理清JWT認證的原理和代碼編寫操做。web
1、JWT
JSON Web Token (JWT)是一個開放標準(RFC 7519),它定義了一種緊湊的、自包含的方式,用於做爲JSON對象在各方之間安全地傳輸信息。該信息能夠被驗證和信任,由於它是數字簽名的。json
JWT是什麼,看上面這段網上抄來的話。c#
關於JWT以及優缺點,網上有不少詳細的說法,我這兒就不重複了。api
咱們只須要知道如下的事實:安全
在通常的系統中,咱們有時候會作個用戶登陸。用戶登陸完成進到系統後,須要根據用戶的權限,來控制一些功能可用,而另外一些功能不可用。bash
在SOA/AOP架構中,作爲最重要的API端,其實也須要有相似登陸或認證的內容,用來區分哪些用戶可使用某個API,哪些用戶不行。微信
同時,咱們但願這個登陸或相似登陸的過程,只發生在一個固定位置。這樣,在咱們寫代碼時,創建好這樣一個過程後,在咱們後邊寫代碼時,簡單引用便可,而不須要每一個API程序都開發一次認證。這個需求,其實就是OAuth的由來。架構
最重要的是,這樣的代碼寫出來,顯得高大上。app
下面進入正題。post
認證這個操做,就像咱們最近的日子。
首先,咱們要有一個出入證,或者綠碼。這個證,咱們稱做令牌(Token)。咱們去領這個證,這個操做稱爲發行(Issue)。
咱們拿着這個證,去到一個地方。有專人會檢查這個證,這稱爲用戶身份驗證(Authentication)。驗證經過放行,稱爲受權(Authorization),驗證不經過,叫做未受權錯誤(Unauthorized)。
若是這個證過時了,你就須要去從新辦一個證。這個過程叫作刷新(RefreshToken)。
簡言之,這就是認證的所有流程。
下面,我用一個Demo項目,來逐步完成這個過程。
2、開發環境&基礎項目
這個Demo的開發環境是:Mac + VS Code + Dotnet Core 3.1.2。
$ dotnet --info
.NET Core SDK (reflecting any global.json):
Version: 3.1.201
Commit: b1768b4ae7
Runtime Environment:
OS Name: Mac OS X
OS Version: 10.15
OS Platform: Darwin
RID: osx.10.15-x64
Base Path: /usr/local/share/dotnet/sdk/3.1.201/
Host (useful for support):
Version: 3.1.3
Commit: 4a9f85e9f8
.NET Core SDKs installed:
3.1.201 [/usr/local/share/dotnet/sdk]
.NET Core runtimes installed:
Microsoft.AspNetCore.App 3.1.3 [/usr/local/share/dotnet/shared/Microsoft.AspNetCore.App]
Microsoft.NETCore.App 3.1.3 [/usr/local/share/dotnet/shared/Microsoft.NETCore.App]
首先,在這個環境下創建工程:
- 建立Solution
% dotnet new sln -o demo
The template "Solution File" was created successfully.
- 用Webapi模板建立項目
% cd demo
% dotnet new webapi -o demo
The template "ASP.NET Core Web API" was created successfully.
Processing post-creation actions...
Running 'dotnet restore' on demo/demo.csproj...
Restore completed in 179.13 ms for demo/demo.csproj.
Restore succeeded.
- 把Demo項目加到Solution中
% dotnet sln add demo/demo.csproj
Project `demo/demo.csproj` added to the solution.
- 安裝Swagger(這步非必須,我習慣用Swagger,不習慣用Postman)
% dotnet add package Swashbuckle.AspNetCore
log : Restore completed in 2.75 sec for demo/demo.csproj.
- 安裝JWT認證支持庫(必須引入)
% dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer
log : Restore completed in 3.09 sec for demo/demo.csproj.
五步作完,基礎項目就建完了。
看一下整個的目錄結構:
% tree .
.
├── demo
│ ├── Controllers
│ │ └── WeatherForecastController.cs
│ ├── Program.cs
│ ├── Properties
│ │ └── launchSettings.json
│ ├── Startup.cs
│ ├── WeatherForecast.cs
│ ├── appsettings.Development.json
│ ├── appsettings.json
│ ├── demo.csproj
│ └── obj
│ ├── demo.csproj.nuget.dgspec.json
│ ├── demo.csproj.nuget.g.props
│ ├── demo.csproj.nuget.g.targets
│ ├── project.assets.json
│ └── project.nuget.cache
└── demo.sln
- 在Startup.cs中補充代碼,以啓用Swagger
在ConfigureServices方法中加入如下代碼:
services.AddSwaggerGen(c =>
{
c.SwaggerDoc("v1", new OpenApiInfo { Title = "Demo", Version = "V1" });
c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
{
Name = "Authorization",
Type = SecuritySchemeType.ApiKey,
Scheme = "Bearer",
BearerFormat = "JWT",
In = ParameterLocation.Header,
Description = "",
});
c.AddSecurityRequirement(new OpenApiSecurityRequirement
{
{
new OpenApiSecurityScheme
{
Reference = new OpenApiReference
{
Type = ReferenceType.SecurityScheme,
Id = "Bearer"
}
},
new string[] {}
}
});
});
在Configure方法中加入如下代碼
app.UseSwagger();
app.UseSwaggerUI(c =>
{
c.SwaggerEndpoint("/swagger/v1/swagger.json", "Demo V1");
});
關於Swagger的詳細配置,這裏不作說明,留着之後寫。
3、簽發Token
簽發Token是認證的第一步。
用戶進到系統,在驗證用戶賬號密碼後,須要根據用戶的數據,把Token返回給用戶。
這個過程其實跟認證沒什麼關係,只是一個普通的API功能。
- 工程下加一個目錄DTOModels,建立一個LoginRequestDTO的類,用於定義API的輸入參數。
using System;
namespace demo.DTOModels
{
public class LoginRequestDTO
{
public string username { get; set; }
public string password { get; set; }
}
}
- 建立一個控制器AuthenticationController,並在控制器裏建立一個API方法RequestToken。
using Microsoft.AspNetCore.Mvc;
using demo.DTOModels;
namespace demo.Controllers
{
public class AuthenticationController : ControllerBase
{
[HttpPost, Route("requesttoken")]
public ActionResult RequestToken([FromBody] LoginRequestDTO request)
{
//這兒待完善
return Ok();
}
}
}
- 生成JWT Token須要預設一些參數。咱們在appsetting.json裏先設置好。
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"AllowedHosts": "*",
"tokenParameter": {
"secret": "123456123456123456",
"issuer": "WangPlus",
"accessExpiration": 120,
"refreshExpiration": 1440
}
}
這裏,tokenParameter節是咱們設置的參數。通常來講,是這幾個:
secret: JWT加密的密鑰。如今主流用SHA256加密,須要256位以上的密鑰,unicode是16個字符以上,儘可能複雜一些。密鑰泄露,Token就會被破解,因此,你懂的。
issuer: 簽發人的名稱,若是沒人注意,你能夠把大名寫在上面。
accessExpiration: Token的有效分鐘數。過了這個時間,這個Token會過時。
refreshExpiration: refreshToken的有效分鐘數。過了這個時間,用戶須要從新登陸。
Token過時後,可讓用戶從新登陸認證拿Token。但這個方式會比較Low。高大上的方式是簽發Token的時候,同時也簽發一個refreshToken給用戶。用戶Token過時後,能夠拿refreshToken去申請新的Token,同時刷新refreshToken。若是用戶長時間未使用系統,refreshToken也過時了,才讓用戶從新登陸認證。
refreshToken能夠用JWT生成,也能夠本身生成,不影響認證。
- 建一個Models目錄,建立一個映射tokenParameter的類。這個類不是必須,只是爲了寫着方便。不想這樣寫,也能夠直接讀配置,再轉成數據。
using System;
namespace demo.Models
{
public class tokenParameter
{
public string Secret { get; set; }
public string Issuer { get; set; }
public int AccessExpiration { get; set; }
public int RefreshExpiration { get; set; }
}
}
- 在前邊建好的API - RequestToken中,完成Token和refreshToken的生成和返回。
using Microsoft.AspNetCore.Mvc;
using demo.DTOModels;
using Microsoft.Extensions.Configuration;
using System;
using System.Text;
using demo.Models;
using Microsoft.IdentityModel.Tokens;
using System.Security.Claims;
using System.IdentityModel.Tokens.Jwt;
namespace demo.Controllers
{
public class AuthenticationController : ControllerBase
{
private tokenParameter _tokenParameter = new tokenParameter();
public AuthenticationController()
{
var config = new ConfigurationBuilder()
.SetBasePath(AppContext.BaseDirectory)
.AddJsonFile("appsettings.json")
.Build();
_tokenParameter = config.GetSection("tokenParameter").Get<tokenParameter>();
}
[HttpPost, Route("requestToken")]
public ActionResult RequestToken([FromBody] LoginRequestDTO request)
{
//這兒在作用戶的賬號密碼校驗。我這兒略過了。
if (request.username == null && request.password == null)
return BadRequest("Invalid Request");
//生成Token和RefreshToken
var token = GenUserToken(request.username, "testUser");
var refreshToken = "123456";
return Ok(new[] { token, refreshToken });
}
//這兒是真正的生成Token代碼
private string GenUserToken(string username, string role)
{
var claims = new[]
{
new Claim(ClaimTypes.Name, username),
new Claim(ClaimTypes.Role, role),
};
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenParameter.Secret));
var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var jwtToken = new JwtSecurityToken(_tokenParameter.Issuer, null, claims, expires: DateTime.UtcNow.AddMinutes(_tokenParameter.AccessExpiration), signingCredentials: credentials);
var token = new JwtSecurityTokenHandler().WriteToken(jwtToken);
return token;
}
}
}
這個類裏,驗證賬號密碼的代碼我略過了。還有,refreshToken給了一個固定串。真實項目這兒就按須要作就好。
(未完待續)
 |
微信公衆號:老王Plus 掃描二維碼,關注我的公衆號,能夠第一時間獲得最新的我的文章和內容推送 本文版權歸做者全部,轉載請保留此聲明和原文連接 |
- 1. Dotnet core使用JWT認證受權最佳實踐(二)
- 2. jwt認證受權實踐
- 3. 手寫DotNet Core 認證受權代碼
- 4. JWT實現受權認證
- 5. .net core api Jwt認證與受權
- 6. 【java】使用jwt進行認證受權
- 7. ASP.NET Core WebAPI中使用JWT Bearer認證和受權
- 8. SpringSecurity和JWT實現認證和受權
- 9. Express + JWT用戶認證最輕實踐
- 10. Asp.net Core認證和受權:Cookie認證
- 更多相關文章...
- • Thymeleaf項目實踐 - Thymeleaf 教程
- • MySQL用戶授權(GRANT) - MySQL教程
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
- • PHP Ajax 跨域問題最佳解決方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019運行opencv圖片顯示代碼時,窗口亂碼
- 2. app自動化 - 元素定位不到?別慌,看完你就能解決
- 3. 在Win8下用cisco ××× Client連接時報Reason 422錯誤的解決方法
- 4. eclipse快速補全代碼
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代碼的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒發生變種 新文件名將帶有「.UIWIX」後綴
- 8. 【原創】Python 源文件編碼解讀
- 9. iOS9企業部署分發問題深入瞭解與解決
- 10. 安裝pytorch報錯CondaHTTPError:******