ASP.NetCore3.0中使用JWT认证的实现

作者：杭ai君浩 | 来源：互联网 | 2022-08-14 21:29

这篇文章主要介绍了ASP.NetCore3.0中使用JWT认证的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧

JWT认证简单介绍

关于Jwt的介绍网上很多，此处不在赘述，我们主要看看jwt的结构。

JWT主要由三部分组成，如下：

HEADER.PAYLOAD.SIGNATURE

HEADER 包含token的元数据，主要是加密算法，和签名的类型，如下面的信息，说明了

加密的对象类型是JWT，加密算法是HMAC SHA-256

{"alg":"HS256","typ":"JWT"}

然后需要通过BASE64编码后存入token中

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload 主要包含一些声明信息（claim），这些声明是key-value对的数据结构。

通常如用户名，角色等信息，过期日期等，因为是未加密的，所以不建议存放敏感信息。

{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"WebApi"}

也需要通过BASE64编码后存入token中

eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9

Signature jwt要符合jws(Json Web Signature)的标准生成一个最终的签名。把编码后的Header和Payload信息加在一起，然后使用一个强加密算法，如 HmacSHA256，进行加密。HS256(BASE64(Header).Base64(Payload)，secret)

2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

最后生成的token如下

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

开发环境

框架：asp.net 3.1

IDE：VS2019

ASP.NET 3.1 Webapi中使用JWT认证

命令行中执行执行以下命令，创建webapix项目：

dotnet new webapi -n Webapi -o WebApi

特别注意的时，3.x默认是没有jwt的Microsoft.AspNetCore.Authentication.JwtBearer库的，所以需要手动添加NuGet Package，切换到项目所在目录，执行 .net cli命令

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0

创建一个简单的POCO类，用来存储签发或者验证jwt时用到的信息

using Newtonsoft.Json;
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;

namespace Webapi.Models

{
  public class TokenManagement
  {
    [JsonProperty("secret")]
    public string Secret { get; set; }

    [JsonProperty("issuer")]
    public string Issuer { get; set; }

    [JsonProperty("audience")]
    public string Audience { get; set; }

    [JsonProperty("accessExpiration")]
    public int AccessExpiration { get; set; }

    [JsonProperty("refreshExpiration")]
    public int RefreshExpiration { get; set; }
  }
}

然后在 appsettings.Development.json 增加jwt使用到的配置信息（如果是生成环境在 appsettings.json 添加即可）

"tokenManagement": {
    "secret": "123456",
    "issuer": "webapi.cn",
    "audience": "WebApi",
    "accessExpiration": 30,
    "refreshExpiration": 60
  }

然后再startup类的ConfigureServices方法中增加读取配置信息

public void ConfigureServices(IServiceCollection services)
    {
      services.AddControllers();
      services.Configure(Configuration.GetSection("tokenManagement"));
      var token = Configuration.GetSection("tokenManagement").Get();

    }

到目前为止，我们完成了一些基础工作，下面再webapi中注入jwt的验证服务，并在中间件管道中启用authentication中间件。

startup类中要引用jwt验证服务的命名空间

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;

然后在 ConfigureServices 方法中添加如下逻辑

services.AddAuthentication(x =>
      {
        x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
      }).AddJwtBearer(x =>
      {
        x.RequireHttpsMetadata = false;
        x.SaveToken = true;
        x.TokenValidatiOnParameters= new TokenValidationParameters
        {
          ValidateIssuerSigningKey = true,
          IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)),
          ValidIssuer = token.Issuer,
          ValidAudience = token.Audience,
          ValidateIssuer = false,
          ValidateAudience = false
        };
      });

再 Configure 方法中启用验证

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
    {
      if (env.IsDevelopment())
      {
        app.UseDeveloperExceptionPage();
      }

      app.UseHttpsRedirection();

      app.UseAuthentication();
      app.UseRouting();

      app.UseAuthorization();

      app.UseEndpoints(endpoints =>
      {
        endpoints.MapControllers();
      });
    }

上面完成了JWT验证的功能，下面就需要增加签发token的逻辑。我们需要增加一个专门用来用户认证和签发token的控制器，命名成 AuthenticationController ，同时增加一个请求的DTO类

public class LoginRequestDTO
  {
    [Required]
    [JsonProperty("username")]
    public string Username { get; set; }


    [Required]
    [JsonProperty("password")]
    public string Password { get; set; }
  }

[Route("api/[controller]")]
  [ApiController]
  public class AuthenticationController : ControllerBase
  {
    [AllowAnonymous]
     [HttpPost, Route("requestToken")]
    public ActionResult RequestToken([FromBody] LoginRequestDTO request)
    {
      if (!ModelState.IsValid)
      {
        return BadRequest("Invalid Request");
      }

      return Ok();

    }
  }

目前上面的控制器只实现了基本的逻辑，下面我们要创建签发token的服务，去完成具体的业务。第一步我们先创建对应的服务接口，命名为 IAuthenticateService

public interface IAuthenticateService
  {
    bool IsAuthenticated(LoginRequestDTO request, out string token);
  }

接下来，实现接口

public class TokenAuthenticationService : IAuthenticateService
  {
    public bool IsAuthenticated(LoginRequestDTO request, out string token)
    {
      throw new NotImplementedException();
    }
  }

在 Startup 的 ConfigureServices 方法中注册服务

services.AddScoped();

在Controller中注入IAuthenticateService服务，并完善action

public class AuthenticationController : ControllerBase
  {
    private readonly IAuthenticateService _authService;
    public AuthenticationController(IAuthenticateService authService)
    {
      this._authService = authService;
    }
    [AllowAnonymous]
     [HttpPost, Route("requestToken")]
    public ActionResult RequestToken([FromBody] LoginRequestDTO request)
    {
      if (!ModelState.IsValid)
      {
        return BadRequest("Invalid Request");
      }

      string token;
      if (_authService.IsAuthenticated(request, out token))
      {
        return Ok(token);
      }

      return BadRequest("Invalid Request");

    }
  }

正常情况，我们都会根据请求的用户和密码去验证用户是否合法，需要连接到数据库获取数据进行校验，我们这里为了方便，假设任何请求的用户都是合法的。

这里单独加个用户管理的服务，不在IAuthenticateService这个服务里面添加相应逻辑，主要遵循了 职责单一原则 。首先和上面一样，创建一个服务接口 IUserService

public interface IUserService
  {
    bool IsValid(LoginRequestDTO req);
  }

实现 IUserService 接口

public class UserService : IUserService
  {
    //模拟测试，默认都是人为验证有效
    public bool IsValid(LoginRequestDTO req)
    {
      return true;
    }
  }

同样注册到容器中

services.AddScoped();

接下来，就要完善TokenAuthenticationService签发token的逻辑，首先要注入IUserService 和 TokenManagement，然后实现具体的业务逻辑，这个token的生成还是使用的Jwt的类库提供的api，具体不详细描述。

特别注意下TokenManagement的注入是已IOptions的接口类型注入的，还记得在Startpup中吗？我们是通过配置项的方式注册TokenManagement类型的。

public class TokenAuthenticationService : IAuthenticateService
  {
    private readonly IUserService _userService;
    private readonly TokenManagement _tokenManagement;
    public TokenAuthenticationService(IUserService userService, IOptions tokenManagement)
    {
      _userService = userService;
      _tokenManagement = tokenManagement.Value;
    }
    public bool IsAuthenticated(LoginRequestDTO request, out string token)
    {
      token = string.Empty;
      if (!_userService.IsValid(request))
        return false;
      var claims = new[]
      {
        new Claim(ClaimTypes.Name,request.Username)
      };
      var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenManagement.Secret));
      var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
      var jwtToken = new JwtSecurityToken(_tokenManagement.Issuer, _tokenManagement.Audience, claims, expires: DateTime.Now.AddMinutes(_tokenManagement.AccessExpiration), signingCredentials: credentials);

      token = new JwtSecurityTokenHandler().WriteToken(jwtToken);

      return true;

    }
  }

准备好测试试用的APi，打上Authorize特性，表明需要授权！

[ApiController]
  [Route("[controller]")]
  [Authorize]
  public class WeatherForecastController : ControllerBase
  {
    private static readonly string[] Summaries = new[]
    {
      "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
    };

    private readonly ILogger _logger;

    public WeatherForecastController(ILogger logger)
    {
      _logger = logger;
    }

    [HttpGet]
    public IEnumerable Get()
    {
      var rng = new Random();
      return Enumerable.Range(1, 5).Select(index => new WeatherForecast
      {
        Date = DateTime.Now.AddDays(index),
        TemperatureC = rng.Next(-20, 55),
        Summary = Summaries[rng.Next(Summaries.Length)]
      })
      .ToArray();
    }
  }

支持我们可以测试验证了，我们可以使用postman来进行http请求，先启动http服务，获取url，先测试一个访问需要授权的接口，但没有携带token信息，返回是401，表示未授权

下面我们先通过认证接口，获取token，居然报错，查询了下，发现HS256算法的秘钥长度最新为128位，转换成字符至少16字符，之前设置的秘钥是123456，所以导致异常。

System.ArgumentOutOfRangeException: IDX10603: Decryption failed. Keys tried: 'HS256'. Exceptions caught: '128'. token: '48' (Parameter 'KeySize') at

更新秘钥

 "tokenManagement": {
    "secret": "123456123456123456",
    "issuer": "webapi.cn",
    "audience": "WebApi",
    "accessExpiration": 30,
    "refreshExpiration": 60
  }

重新发起请求，成功获取token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDUyMDMsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.AehD8WTAnEtklof2OJsvg0U4_o8_SjdxmwUjzAiuI-o

把token带到之前请求的api中，重新测试，成功获取数据

总结

基于token的认证方式，让我们构建分布式/松耦合的系统更加容易。任何地方生成的token，只有拥有相同秘钥，就可以再任何地方进行签名校验。

当然要用好jwt认证方式，还有其他安全细节需要处理，比如palyload中不能存放敏感信息，使用https的加密传输方式等等，可以根据业务实际需要再进一步安全加固！

同时我们也发现使用token，就可以摆脱COOKIE的限制，所以JWT是移动app开发的首选！

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

推荐阅读

io
SpringBoot整合SpringSecurity+JWT实现单点登录

SpringBoot整合SpringSecurity+JWT实现单点登录,Go语言社区,Golang程序员人脉社 ... [详细]

蜡笔小新 2023-12-11 08:21:41
io
t-io 2.0.0发布-法网天眼第一版的回顾和更新说明

本文回顾了t-io 1.x版本的工程结构和性能数据，并介绍了t-io在码云上的成绩和用户反馈。同时，还提到了@openSeLi同学发布的t-io 30W长连接并发压力测试报告。最后，详细介绍了t-io 2.0.0版本的更新内容，包括更简洁的使用方式和内置的httpsession功能。 ... [详细]

蜡笔小新 2023-12-14 10:17:48
io
关于跨域踩的坑，浏览器 status code为200，但实际上是跨域了

背景后端使用Nginx并更改本地host文件，起本地服务。将aaa.bbbb.com代理至本地IP地址（10.26.36.156）。使用$.ajax调用后端restful接口，要求 ... [详细]

蜡笔小新 2023-10-13 13:30:04
io
Java工具类库Hutool介绍及功能概述

本文介绍了Java工具类库Hutool，该工具包封装了对文件、流、加密解密、转码、正则、线程、XML等JDK方法的封装，并提供了各种Util工具类。同时，还介绍了Hutool的组件，包括动态代理、布隆过滤、缓存、定时任务等功能。该工具包可以简化Java代码，提高开发效率。 ... [详细]

蜡笔小新 2023-12-14 14:29:36
ip
生成对抗式网络GAN及其衍生CGAN、DCGAN、WGAN、LSGAN、BEGAN介绍

一、GAN原理介绍学习GAN的第一篇论文当然由是IanGoodfellow于2014年发表的GenerativeAdversarialNetworks（论文下载链接arxiv：[h ... [详细]

蜡笔小新 2023-12-14 11:39:45
jar
Java验证码——kaptcha的使用配置及样式

本文介绍了如何使用kaptcha库来实现Java验证码的配置和样式设置，包括pom.xml的依赖配置和web.xml中servlet的配置。 ... [详细]

蜡笔小新 2023-12-13 13:58:25
io
单点登录原理及实现方案详解

本文详细介绍了单点登录的原理及实现方案，其中包括共享Session的方式，以及基于Redis的Session共享方案。同时，还分享了作者在应用环境中所遇到的问题和经验，希望对读者有所帮助。 ... [详细]

蜡笔小新 2023-12-12 19:23:28
object
使用JSONObiect和Gson相关方法实现json数据与kotlin对象的相互转换

本文介绍了如何使用JSONObiect和Gson相关方法实现json数据与kotlin对象的相互转换。首先解释了JSON的概念和数据格式，然后详细介绍了相关API，包括JSONObject和Gson的使用方法。接着讲解了如何将json格式的字符串转换为kotlin对象或List，以及如何将kotlin对象转换为json字符串。最后提到了使用Map封装json对象的特殊情况。文章还对JSON和XML进行了比较，指出了JSON的优势和缺点。 ... [详细]

蜡笔小新 2023-12-11 16:20:50
string
2021最新总结网易/腾讯/CVTE/字节面经分享（附答案解析）

本文分享作者在2021年面试网易、腾讯、CVTE和字节等大型互联网企业的经历和问题，包括稳定性设计、数据库优化、分布式锁的设计等内容。同时提供了大厂最新面试真题笔记，并附带答案解析。 ... [详细]

蜡笔小新 2023-12-09 19:11:31
web
ElasticSerach初探第一篇认识ES+环境搭建+简单MySQL数据同步+SpringBoot整合ES

一、认识ElasticSearch是一个基于Lucene的开源搜索引擎，通过简单的RESTfulAPI来隐藏Lucene的复杂性。全文搜索，分析系统&# ... [详细]

蜡笔小新 2023-12-09 10:36:06
io
python发送文件传输助手_python 通过 socket 发送文件的实例代码

{moduleinfo:{card_count:[{count_phone:1,count:1}],search_count:[{count_phone:4 ... [详细]

蜡笔小新 2023-10-17 20:20:31
io
postman下载安装教程

Postman是一款强大网页接口调试工具，我们在平时开发过程中经常会使用到，一般使用最多的是postman的客户端，实际上postman在谷歌浏览器上也提供了插件，可以不必要安装客 ... [详细]

蜡笔小新 2023-10-15 19:48:42
io
uniapp开发H5解决跨域问题的两种代理方法

本文介绍了uniapp开发H5解决跨域问题的两种代理方法，分别是在manifest.json文件和vue.config.js文件中设置代理。通过设置代理根域名和配置路径别名，可以实现H5页面的跨域访问。同时还介绍了如何开启内网穿透，让外网的人可以访问到本地调试的H5页面。 ... [详细]

蜡笔小新 2023-12-11 17:56:21
io
python限制递归次数（python最大公约数递归）

本文目录一览：1、python为什么要进行递归限制 ... [详细]

蜡笔小新 2023-12-11 17:39:02
ip
javascript和java的关系,JavaScript和java的关系

Java和JavaScript是什么关系？java跟javaScript都是编程语言，只是java跟javaScript没有什么太大关系，一个是脚本语言（前端语言），一个是面向对象 ... [详细]

蜡笔小新 2023-12-11 04:03:31

杭ai君浩

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章