摘要:
本文演示如何向有效用戶提供jwt,以及如何在webapi中使用該token通過JwtBearerMiddleware中間件對用戶進行身份認證。
認證和授權區別?
首先我們要弄清楚認證(Authentication)和授權(Authorization)的區別,以免混淆了。認證是確認的過程中你是誰,而授權圍繞是你被允許做什么,即權限。顯然,在確認允許用戶做什么之前,你需要知道他們是誰,因此,在需要授權時,還必須以某種方式對用戶進行身份驗證。
什么是JWT?
根據維基百科的定義,JSON WEB Token(JWT),是一種基于JSON的、用于在網絡上聲明某種主張的令牌(token)。JWT通常由三部分組成:頭信息(header),消息體(payload)和簽名(signature)。
頭信息指定了該JWT使用的簽名算法:
|
1
|
header = '{"alg":"HS256","typ":"JWT"}' |
HS256表示使用了HMAC-SHA256來生成簽名。
消息體包含了JWT的意圖:
|
1
|
payload = '{"loggedInAs":"admin","iat":1422779638}'//iat表示令牌生成的時間 |
未簽名的令牌由base64url編碼的頭信息和消息體拼接而成(使用"."分隔),簽名則通過私有的key計算而成:
|
1
2
3
|
key = 'secretkey'unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload) signature = HMAC-SHA256(key, unsignedToken) |
最后在未簽名的令牌尾部拼接上base64url編碼的簽名(同樣使用"."分隔)就是JWT了:
|
1
2
3
|
token = encodeBase64(header) + '.' + encodeBase64(payload) + '.' + encodeBase64(signature)# token看起來像這樣: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI |
JWT常常被用作保護服務端的資源(resource),客戶端通常將JWT通過HTTP的Authorization header發送給服務端,服務端使用自己保存的key計算、驗證簽名以判斷該JWT是否可信:
|
1
|
Authorization: Bearer eyJhbGci*...<snip>...*yu5CSpyHI |
準備工作
使用vs2019創建webapi項目,并且安裝nuget包
|
1
|
Microsoft.AspNetCore.Authentication.JwtBearer |
Startup類
ConfigureServices 添加認證服務
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
services.AddAuthentication(options => { options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme; }).AddJwtBearer(options => { options.SaveToken = true; options.RequireHttpsMetadata = false; options.TokenValidationParameters = new TokenValidationParameters() { ValidateIssuer = true, ValidateAudience = true, ValidAudience = "https://www.cnblogs.com/chengtian", ValidIssuer = "https://www.cnblogs.com/chengtian", IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey")) }; }); |
Configure 配置認證中間件
|
1
|
app.UseAuthentication();//認證中間件、 |
創建一個token
添加一個登錄model命名為LoginInput
|
1
2
3
4
5
6
7
|
public class LoginInput { public string Username { get; set; } public string Password { get; set; } } |
添加一個認證控制器命名為AuthenticateController
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
|
[Route("api/[controller]")] public class AuthenticateController : Controller { [HttpPost] [Route("login")] public IActionResult Login([FromBody]LoginInput input) { //從數據庫驗證用戶名,密碼 //驗證通過 否則 返回Unauthorized //創建claim var authClaims = new[] { new Claim(JwtRegisteredClaimNames.Sub,input.Username), new Claim(JwtRegisteredClaimNames.Jti,Guid.NewGuid().ToString()) }; IdentityModelEventSource.ShowPII = true; //簽名秘鑰 可以放到json文件中 var authSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("SecureKeySecureKeySecureKeySecureKeySecureKeySecureKey")); var token = new JwtSecurityToken( issuer: "https://www.cnblogs.com/chengtian", audience: "https://www.cnblogs.com/chengtian", expires: DateTime.Now.AddHours(2), claims: authClaims, signingCredentials: new SigningCredentials(authSigningKey, SecurityAlgorithms.HmacSha256) ); //返回token和過期時間 return Ok(new { token = new JwtSecurityTokenHandler().WriteToken(token), expiration = token.ValidTo }); } } |
添加api資源
利用默認的控制器WeatherForecastController
- 添加個Authorize標簽
- 路由調整為:[Route("api/[controller]")] 代碼如下
|
1
2
3
4
|
[Authorize][ApiController][Route("api/[controller]")]public class WeatherForecastController : ControllerBase |
到此所有的代碼都已經準好了,下面進行運行測試
運行項目
使用postman進行模擬
輸入url:https://localhost:44364/api/weatherforecast
發現返回時401未認證,下面獲取token
通過用戶和密碼獲取token
如果我們的憑證正確,將會返回一個token和過期日期,然后利用該令牌進行訪問
利用token進行請求
ok,最后發現請求狀態200!
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,謝謝大家對服務器之家的支持。
原文鏈接:https://www.cnblogs.com/chengtian/p/11927663.html
