NetCore WebApi使用Jwtbearer實現認證和受權

1. 什麼是JWT?

        JWT是一種用於雙方之間傳遞安全信息的簡潔的、URL安全的表述性聲明規範。JWT做爲一個開放的標準（RFC 7519），定義了一種簡潔的，自包含的方法用於通訊雙方之間以Json對象的形式安全的傳遞信息。由於數字簽名的存在，這些信息是可信的，JWT可使用HMAC算法或者是RSA的公私祕鑰對進行簽名。簡潔(Compact): 能夠經過URL，POST參數或者在HTTP header發送，由於數據量小，傳輸速度也很快 自包含(Self-contained)：負載中包含了全部用戶所須要的信息，避免了屢次查詢數據庫。

2. JWT 的應用場景是什麼？

       身份認證在這種場景下，一旦用戶完成了登錄，在接下來的每一個請求中包含JWT，能夠用來驗證用戶身份以及對路由，服務和資源的訪問權限進行驗證。因爲它的開銷很是小，能夠輕鬆的在不一樣域名的系統中傳遞，全部目前在單點登陸（SSO）中比較普遍的使用了該技術。 信息交換在通訊的雙方之間使用JWT對數據進行編碼是一種很是安全的方式，因爲它的信息是通過簽名的，能夠確保發送者發送的信息是沒有通過僞造的

3. JWT的結構 

JWT包含了使用.分隔的三部分： Header 頭部 Payload 負載 Signature 簽名

其結構看起來是這樣的Header.Payload.Signature

Header

在header中一般包含了兩部分：token類型和採用的加密算法。{ "alg": "HS256", "typ": "JWT"} 接下來對這部份內容使用 Base64Url 編碼組成了JWT結構的第一部分。

Payload

　　Token的第二部分是負載，它包含了claim， Claim是一些實體（一般指的用戶）的狀態和額外的元數據，有三種類型的claim：reserved, public 和 private.Reserved claims: 這些claim是JWT預先定義的，在JWT中並不會強制使用它們，而是推薦使用，經常使用的有 iss（簽發者）,exp（過時時間戳）, sub（面向的用戶）, aud（接收方）, iat（簽發時間）。 Public claims：根據須要定義本身的字段，注意應該避免衝突 Private claims：這些是自定義的字段，能夠用來在雙方之間交換信息 負載使用的例子：{ "sub": "1234567890", "name": "John Doe", "admin": true} 上述的負載須要通過Base64Url編碼後做爲JWT結構的第二部分。

Signature

　　建立簽名須要使用編碼後的header和payload以及一個祕鑰，使用header中指定簽名算法進行簽名。例如若是但願使用HMAC SHA256算法，那麼簽名應該使用下列方式建立： HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) 簽名用於驗證消息的發送者以及消息是沒有通過篡改的。 完整的JWT 完整的JWT格式的輸出是以. 分隔的三段Base64編碼，與SAML等基於XML的標準相比，JWT在HTTP和HTML環境中更容易傳遞。 下列的JWT展現了一個完整的JWT格式，它拼接了以前的Header， Payload以及祕鑰簽名：

 

 

4. 如何使用JWT？

　　在身份鑑定的實現中，傳統方法是在服務端存儲一個session，給客戶端返回一個cookie，而使用JWT以後，當用戶使用它的認證信息登錄系統以後，會返回給用戶一個JWT，用戶只須要本地保存該token（一般使用local storage，也可使用cookie）便可。 當用戶但願訪問一個受保護的路由或者資源的時候，一般應該在Authorization頭部使用Bearer模式添加JWT，其內容看起來是下面這樣：Authorization: Bearer <token>

由於用戶的狀態在服務端的內存中是不存儲的，因此這是一種無狀態的認證機制。服務端的保護路由將會檢查請求頭Authorization中的JWT信息，若是合法，則容許用戶的行爲。因爲JWT是自包含的，所以減小了須要查詢數據庫的須要。 JWT的這些特性使得咱們能夠徹底依賴其無狀態的特性提供數據API服務，甚至是建立一個下載流服務。由於JWT並不使用Cookie的，因此你可使用任何域名提供你的API服務而不須要擔憂跨域資源共享問題（CORS）。 下面的序列圖展現了該過程：

5. 爲何要使用JWT？

　　相比XML格式，JSON更加簡潔，編碼以後更小，這使得JWT比SAML更加簡潔，更加適合在HTML和HTTP環境中傳遞。 在安全性方面，SWT只可以使用HMAC算法和共享的對稱祕鑰進行簽名，而JWT和SAML token則可使用X.509認證的公私祕鑰對進行簽名。與簡單的JSON相比，XML和XML數字簽名會引入複雜的安全漏洞。 由於JSON能夠直接映射爲對象，在大多數編程語言中都提供了JSON解析器，而XML則沒有這麼天然的文檔-對象映射關係，這就使得使用JWT比SAML更方便

6. 在NetCore WebApi中怎麼用？

WebAPI使用NetCore2.2建立,無身份認證信息

 

nuget安裝包

IdentityModel 版本3.10.10
Microsoft.AspNetCore.Authorization 版本2.2.0
Microsoft.AspNetCore.Authentication.JwtBearer 版本2.2.0

 接下來咱們須要新建一個文件夾Models，在文件夾下面新建一個類JwtSettings.cs

 

    public class JwtSettings
    {
        /// <summary>
        /// token是誰頒發的
        /// </summary>
        public string Issuer { get; set; }

        /// <summary>
        /// token能夠給那些客戶端使用
        /// </summary>
        public string Audience { get; set; }

        /// <summary>
        /// 加密的key（SecretKey必須大於16個,是大於，不是大於等於）
        /// </summary>
        public string SecretKey { get; set; }
    }

而後咱們須要在appsettings.json中配置jwt參數的值 【注意】 SecretKey必須大於16個,是大於，不是大於等於

{
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*",
  "JwtSettings": {
    "Issuer": "https://localhost:44336",
    "Audience": "https://localhost:44336",
    "SecretKey": "Hello-key----------"
  }
}

 Startup注入服務

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            #region Jwt配置
            //將appsettings.json中的JwtSettings部分文件讀取到JwtSettings中，這是給其餘地方用的
            services.Configure<JwtSettings>(Configuration.GetSection("JwtSettings"));

            //因爲初始化的時候咱們就須要用，因此使用Bind的方式讀取配置
            //將配置綁定到JwtSettings實例中
            var jwtSettings = new JwtSettings();
            Configuration.Bind("JwtSettings", jwtSettings);

            //添加身份驗證
            services.AddAuthentication(options =>
            {
                //認證middleware配置
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(o =>
            {
                //jwt token參數設置
                o.TokenValidationParameters = new TokenValidationParameters
                {
                    NameClaimType = JwtClaimTypes.Name,
                    RoleClaimType = JwtClaimTypes.Role,
                    //Token頒發機構
                    ValidIssuer = jwtSettings.Issuer,
                    //頒發給誰
                    ValidAudience = jwtSettings.Audience,
                    //這裏的key要進行加密
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings.SecretKey)),

                    /***********************************TokenValidationParameters的參數默認值***********************************/
                    // RequireSignedTokens = true,
                    // SaveSigninToken = false,
                    // ValidateActor = false,
                    // 將下面兩個參數設置爲false，能夠不驗證Issuer和Audience，可是不建議這樣作。
                    // ValidateAudience = true,
                    // ValidateIssuer = true, 
                    // ValidateIssuerSigningKey = false,
                    // 是否要求Token的Claims中必須包含Expires
                    // RequireExpirationTime = true,
                    // 容許的服務器時間偏移量
                    // ClockSkew = TimeSpan.FromSeconds(300),
                    // 是否驗證Token有效期，使用當前時間與Token的Claims中的NotBefore和Expires對比
                    // ValidateLifetime = true
                };
            });

            #endregion

            //mvc路由配置
            services.AddMvc(options =>
            {
                options.Filters.Add(new ActionFilter());
            }).SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
        {            
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            else
            {
                app.UseHsts();
            }

            //身份受權認證
            app.UseAuthentication();
            app.UseHttpsRedirection();
            app.UseMvc();
        }

咱們新建一個用戶的實體類app_mobile_user

    public class app_mobile_user
    {
        public long id { get; set; }
        /// <summary>
        /// 手機號
        /// </summary>
        public string phone { get; set; }
        /// <summary>
        /// 密碼
        /// </summary>
        public string password { get; set; }

    }

接下來在Controllers文件夾下新建控制器userController.cs，完整代碼以下

 

namespace Mms.Api.Controllers
{
    [Route("[controller]")]
    [ApiController]
    public class userController : ControllerBase
    {
        //獲取JwtSettings對象信息
        private JwtSettings _jwtSettings;
        public userController(IOptions<JwtSettings> _jwtSettingsAccesser)
        {
            _jwtSettings = _jwtSettingsAccesser.Value;
        }

        /// <summary>
        /// 獲取token
        /// </summary>
        /// <param name="user"></param>
        private object Token(app_mobile_user model)
        {
            //測試本身建立的對象
            var user = new app_mobile_user
            {
                id = 1,
                phone = "138000000",
                password = "e10adc3949ba59abbe56e057f20f883e"
            };
            var tokenHandler = new JwtSecurityTokenHandler();

            var key = Encoding.UTF8.GetBytes(_jwtSettings.SecretKey);
            var authTime = DateTime.Now;//受權時間
            var expiresAt = authTime.AddDays(30);//過時時間
            var tokenDescripor = new SecurityTokenDescriptor
            {
                Subject = new ClaimsIdentity(new Claim[] {
                    new Claim(JwtClaimTypes.Audience,_jwtSettings.Audience),
                    new Claim(JwtClaimTypes.Issuer,_jwtSettings.Issuer),
                    new Claim(JwtClaimTypes.Name, user.phone.ToString()),
                    new Claim(JwtClaimTypes.Id, user.id.ToString()),
                    new Claim(JwtClaimTypes.PhoneNumber, user.phone.ToString())
                }),
                Expires = expiresAt,
                //對稱祕鑰SymmetricSecurityKey
                //簽名證書(祕鑰，加密算法)SecurityAlgorithms
                SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
            };
            var token = tokenHandler.CreateToken(tokenDescripor);
            var tokenString = tokenHandler.WriteToken(token);
            var result = new
            {
                access_token = tokenString,
                token_type = "Bearer",
                profile = new
                {
                    id = user.id,
                    name = user.phone,
                    phone = user.phone,
                    auth_time = authTime,
                    expires_at = expiresAt
                }
            };
            return result;
        }

        [Route("get_token")]
        [HttpPost]
        public IActionResult GetToken()
        {
            return Ok(Token(null));
        }

        [Authorize]
        [Route("get_user_info")]
        [HttpPost]
        public IActionResult GetUserInfo()
        {
            //獲取當前請求用戶的信息，包含token信息
            var user = HttpContext.User;
            return Ok();
        }

    }

接下來就開始作驗證！

PostMan測試獲取token

 

這樣能夠成功獲取token,下面來作權限校驗

在須要受權的api上新增 [Authorize] 標記

 

咱們分別使用攜帶token和不攜帶token訪問get_user_info接口

 1.未攜帶token,返回401

 

2.攜帶token訪問,返回了想要的數據

 

 

若是查看token信息到官方：https://jwt.io/

 

 

項目中須要解析token能夠調用HttpContext.User

 

轉：http://www.javashuo.com/article/p-mwhmvjmh-w.html

http://www.javashuo.com/article/p-ehpdassb-bz.html

https://blog.csdn.net/sD7O95O/article/details/85043163