当前位置: 开发笔记 > 编程语言 > 正文

C#实现JWT无状态验证的实战应用解析

作者：王瑾瑜2702935333 | 来源：互联网 | 2022-08-05 14:33

这篇文章主要介绍了C#实现JWT无状态验证的实战应用解析,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下

前言

本文主要介绍JWT的实战运用。

准备工作

首先我们创建一个Asp.Net的，包含MVC和WebApi的Web项目。

然后使用Nuget搜索JWT，安装JWT类库，如下图。

设计思路

这里我们简单的做了一个token验证的设计，设计思路如下图所示：

代码实现

缓存

首先，我们先开发工具类，根据设计思路图可得知，我们需要一个缓存类，用于在服务器端存储token。

编写缓存相关类代码如下：

public class CacheHelper
 {
 public static object GetCache(string key)
 {
  return HttpRuntime.Cache[key];
 }
&＃8203;
 public static T GetCache(string key) where T : class
 {
  return (T)HttpRuntime.Cache[key];
 }
&＃8203;
 public static bool ContainsKey(string key)
 {
  return GetCache(key) != null;
 }
&＃8203;
 public static void RemoveCache(string key)
 {
  HttpRuntime.Cache.Remove(key);
 }
&＃8203;
 public static void SetKeyExpire(string key, TimeSpan expire)
 {
  object value = GetCache(key);
  SetCache(key, value, expire);
 }
&＃8203;
 public static void SetCache(string key, object value)
 {
  _SetCache(key, value, null, null);
 }
&＃8203;
 public static void SetCache(string key, object value, TimeSpan timeout)
 {
  _SetCache(key, value, timeout, ExpireType.Absolute);
 }
&＃8203;
 public static void SetCache(string key, object value, TimeSpan timeout, ExpireType expireType)
 {
  _SetCache(key, value, timeout, expireType);
 }
&＃8203;
 private static void _SetCache(string key, object value, TimeSpan&＃63; timeout, ExpireType&＃63; expireType)
 {
  if (timeout == null)
  HttpRuntime.Cache[key] = value;
  else
  {
  if (expireType == ExpireType.Absolute)
  {
   DateTime endTime = DateTime.Now.AddTicks(timeout.Value.Ticks);
   HttpRuntime.Cache.Insert(key, value, null, endTime, Cache.NoSlidingExpiration);
  }
  else
  {
   HttpRuntime.Cache.Insert(key, value, null, Cache.NoAbsoluteExpiration, timeout.Value);
  }
  }
 }
 }
 /// 
 /// 过期类型
 /// 
 public enum ExpireType
 {
 /// 
 /// 绝对过期
 /// 注：即自创建一段时间后就过期
 /// 
 Absolute,
&＃8203;
 /// 
 /// 相对过期
 /// 注：即该键未被访问后一段时间后过期，若此键一直被访问则过期时间自动延长
 /// 
 Relative,
 }

如上述代码所示，我们编写了缓存帮助类—CacheHelper类。

CacheHelper类：使用HttpRuntime的缓存，类里实现缓存的增删改，因为使用的是HttpRuntime，所以，如果没有设置缓存的超时时间，则缓存的超时时间等于HttpRuntime.Cache配置的默认超时时间。

如果网站挂载在IIS里，那么，HttpRuntime.Cache配置超时时间的地方在该网站的应用程序池中，如下图：

Jwt的帮助类

现在我们编写Jwt的帮助类，代码如下：

public class JwtHelper
{
 //私钥 
 public const string secret = "MIGfMA0GCSqGSIb3DQEBAQUAA4GNAmD7RTE2drj6hf3oZjJpMPZUQ1Qjb5H3K3PNwIDAQAB";
 
 /// 
 /// 
 /// 生成JwtToken
 /// 
 /// 不敏感的用户数据
 /// 
 public static string SetJwtEncode(string username,int expiresMinutes)
 {
 //格式如下
 var payload = new Dictionary
 {
  { "username",username },
  { "exp ", expiresMinutes },
  { "domain", "" }
 };
&＃8203;
 IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
 IJsonSerializer serializer = new JsonNetSerializer();
 IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
 IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
&＃8203;
 var token = encoder.Encode(payload, secret);
 return token;
 }
 
 /// 
 /// 根据jwtToken 获取实体
 /// 
 /// jwtToken
 /// 
 public static IDictionary GetJwtDecode(string token)
 {
 IJsonSerializer serializer = new JsonNetSerializer();
 IDateTimeProvider provider = new UtcDateTimeProvider();
 IJwtValidator validator = new JwtValidator(serializer, provider);
 IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
 IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
 IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);
 var dicInfo = decoder.DecodeToObject(token, secret, verify: true);//token为之前生成的字符串
 return dicInfo;
 }
}

代码很简单，实现了JWT的Code的创建和解析。

注：JWT的Code虽然是密文，但它是可以被解析的，所以我们不要在Code里存储重要信息，比如密码。

JWT的Code与解析后的内容如下图所示，左边未Code，右边未解析的内容。

AuthenticationHelper验证帮助类

现在，我们已经可以编写验证类了，利用刚刚已创建的缓存帮助类和JWT帮助类。

AuthenticationHelper验证帮助类代码如下：

public class AuthenticationHelper
 {
 /// 
 /// 默认30分钟
 /// 
 /// 
 public static void AddUserAuth(string username)
 {
  var token = JwtHelper.SetJwtEncode(username, 30);
  CacheHelper.SetCache(username, token, new TimeSpan(TimeSpan.TicksPerHour / 2));
 }
 public static void AddUserAuth(string username, TimeSpan ts)
 {
  var token = JwtHelper.SetJwtEncode(username, ts.Minutes);
  CacheHelper.SetCache(username, token, ts);
&＃8203;
 }
 public static string GetToken(string username)
 {
  var cachetoken = CacheHelper.GetCache(username);
  return cachetoken.ParseToString(); 
 }
 public static bool CheckAuth(string token)
 {
  var dicInfo = JwtHelper.GetJwtDecode(token);
  var username = dicInfo["username"];
&＃8203;
  var cachetoken = CacheHelper.GetCache(username.ToString());
  if (!cachetoken.IsNullOrEmpty() && cachetoken.ToString() == token)
  {
  return true;
  }
  else
  {
  return false;
  }
 }
 }

如代码所示，我们实现了验证token创建、验证token获取、验证Token校验三个方法。

到此，我们的基础代码已经编写完了，下面进入验证的应用。

Fliter

首先，在Global.asax文件中，为我们WebApi添加一个过滤器，代码如下：

public class WebApiApplication : System.Web.HttpApplication
{
 protected void Application_Start()
 {
 AreaRegistration.RegisterAllAreas();
 GlobalConfiguration.Configure(WebApiConfig.Register);
 //webapiFilter
 System.Web.Http.GlobalConfiguration.Configuration.Filters.Add(new HttpPermissionFilter());
 System.Web.Http.GlobalConfiguration.Configuration.Filters.Add(new HttpExceptionFilter());
 //mvcFliter
 System.Web.Mvc.GlobalFilters.Filters.Add(new MvcExceptionFilter());
 System.Web.Mvc.GlobalFilters.Filters.Add(new MvcPermissionFilter());
 RouteConfig.RegisterRoutes(RouteTable.Routes);
 BundleConfig.RegisterBundles(BundleTable.Bundles);
 }
}

代码中创建了四个过滤器，分别是MVC的请求和异常过滤器和WebApi的请求和异常过滤器。

这里我们主要看WebApi的请求过滤器——HttpPermissionFilter。代码如下：

public class HttpPermissionFilter : System.Web.Http.Filters.ActionFilterAttribute
{
 public override void OnActionExecuting(HttpActionContext actionContext)
 {
 string url ="请求Url" + actionContext.Request.RequestUri.ToString();
 var action = actionContext.ActionDescriptor.ActionName.ToLower();
 var cOntroller= actionContext.ControllerContext.ControllerDescriptor.ControllerName.ToLower();
 if (controller != "login" && controller != "loginout")
 {
  //客户端段token获取
  var token = actionContext.Request.Headers.Authorization != null &＃63; actionContext.Request.Headers.Authorization.ToString() : "";
  //服务端获取token 与客户端token进行比较
  if (!token.IsNullOrEmpty() && AuthenticationHelper.CheckAuth(token))
  {
  //认证通过，可进行日志等处理
  }
  else
  {
  throw new Exception("Token无效");
  }
 }
 }
}

我们的HttpPermissionFilter类继承了System.Web.Http.Filters.ActionFilterAttribute，这样他就可以截获所有的WebApi请求了。

然后我们重写了他的OnActionExecuting方法，在方法里，我们查询到当前请求的Controller的名称，然后对其进行了一个简单的判断，如果是login（登录）或loginout（登出），那我们就不对他的token进行验证。如果是其他请求，则会从请求的Headers的Authorization属性里读取token，并使用AuthenticationHelper类对这个token进行正确性的验证。

WebApi接口

现在我们编写WebApi接口，编写一个登录接口和一个普通请求接口。

登录接口：这里我们使用AuthenticationHelper类创建一个token，并把他存储到缓存中。

然后再把token返回给调用者。

普通接口：这里我们不做任何操作，就是简单的返回成功，因为是否可以访问这个接口，已经又Filter控制了。

代码如下:

public class LoginController : ApiController
{ 
 public string Get(string username,string pwd)
 {
 AuthenticationHelper.AddUserAuth(username, new TimeSpan(TimeSpan.TicksPerMinute * 5));//5分钟
 string token = AuthenticationHelper.GetToken(username);
 return token;
 } 
}
public class RequestController : ApiController
{
 public string Get()
 {
 return "请求成功";
 } 
}

测试页面

现在我们编写测试页面，这里我们实现三个按钮，登录、带token访问Api、无token访问Api。

代码如下：


 
 测试JWT

测试结果如下：

如上图所示，我们已经成功实现简单的token验证。

到此JWT的实战应用就已经介绍完了。

代码已经传到Github上了，欢迎大家下载。

Github地址： https://github.com/kiba518/JwtNet

到此这篇关于C#实现JWT无状态验证的实战应用的文章就介绍到这了,更多相关C#实现JWT无状态验证内容请搜索以前的文章或继续浏览下面的相关文章希望大家以后多多支持！

推荐阅读

int
Android 新闻App的本地服务器搭建教程

本文介绍了在开发Android新闻App时，搭建本地服务器的步骤。通过使用XAMPP软件，可以一键式搭建起开发环境，包括Apache、MySQL、PHP、PERL。在本地服务器上新建数据库和表，并设置相应的属性。最后，给出了创建new表的SQL语句。这个教程适合初学者参考。 ... [详细]

蜡笔小新 2023-12-14 17:15:19
request
AJAX的POST请求及实现数据修改功能的方法

本文介绍了使用AJAX的POST请求实现数据修改功能的方法。通过ajax-post技术，可以实现在输入某个id后，通过ajax技术调用post.jsp修改具有该id记录的姓名的值。文章还提到了AJAX的概念和作用，以及使用async参数和open()方法的注意事项。同时强调了不推荐使用async=false的情况，并解释了JavaScript等待服务器响应的机制。 ... [详细]

蜡笔小新 2023-12-14 16:12:01
request
阿里云物联网 .NET Core 客户端 | CZGL.AliIoTClient：4. 设备上报属性

阿,里,云,物,联网,net,core,客户端,czgl,aliiotclient, ... [详细]

蜡笔小新 2023-12-14 12:40:20
request
Hyperledger Fabric外部链码构建与运行的开发笔记

本文介绍了Hyperledger Fabric外部链码构建与运行的相关知识，包括在Hyperledger Fabric 2.0版本之前链码构建和运行的困难性，外部构建模式的实现原理以及外部构建和运行API的使用方法。通过本文的介绍，读者可以了解到如何利用外部构建和运行的方式来实现链码的构建和运行，并且不再受限于特定的语言和部署环境。 ... [详细]

蜡笔小新 2023-12-13 21:47:39
python
的错误消息：

ZSI.generate.Wsdl2PythonError: unsupported local simpleType restriction ... [详细]

蜡笔小新 2023-12-13 20:28:08
web
高校天文共享平台开发过程中的思考与规划

本文介绍了高校天文共享平台的开发过程中的思考和规划。该平台旨在为高校学生提供天象预报、科普知识、观测活动、图片分享等功能。文章分析了项目的技术栈选择、网站前端布局、业务流程、数据库结构等方面，并总结了项目存在的问题，如前后端未分离、代码混乱等。作者表示希望通过记录和规划，能够理清思路，进一步完善该平台。 ... [详细]

蜡笔小新 2023-12-13 18:08:58
web
Java验证码——kaptcha的使用配置及样式

本文介绍了如何使用kaptcha库来实现Java验证码的配置和样式设置，包括pom.xml的依赖配置和web.xml中servlet的配置。 ... [详细]

蜡笔小新 2023-12-13 13:58:25
int
iOS超签签名服务器搭建及其优劣势

本文介绍了搭建iOS超签签名服务器的原因和优势，包括不掉签、用户可以直接安装不需要信任、体验好等。同时也提到了超签的劣势，即一个证书只能安装100个，成本较高。文章还详细介绍了超签的实现原理，包括用户请求服务器安装mobileconfig文件、服务器调用苹果接口添加udid等步骤。最后，还提到了生成mobileconfig文件和导出AppleWorldwideDeveloperRelationsCertificationAuthority证书的方法。 ... [详细]

蜡笔小新 2023-12-11 20:23:23
web
AJAX操作授权过期的全局处理方式

本文介绍了一种处理AJAX操作授权过期的全局方式，以解决Asp.net MVC中Session过期异常的问题。同时还介绍了基于WebImage的图片上传工具类。详细内容请参考链接：https://www.cnblogs.com/starluck/p/8284949.html ... [详细]

蜡笔小新 2023-12-11 19:17:35
schema
如何进行Web.Config自定义配置节的配置转换

本文讨论了如何使用Web.Config进行自定义配置节的配置转换。作者提到，他将msbuild设置为详细模式，但转换却忽略了带有替换转换的自定义部分的存在。 ... [详细]

蜡笔小新 2023-12-11 17:54:55
数组
使用JSONObiect和Gson相关方法实现json数据与kotlin对象的相互转换

本文介绍了如何使用JSONObiect和Gson相关方法实现json数据与kotlin对象的相互转换。首先解释了JSON的概念和数据格式，然后详细介绍了相关API，包括JSONObject和Gson的使用方法。接着讲解了如何将json格式的字符串转换为kotlin对象或List，以及如何将kotlin对象转换为json字符串。最后提到了使用Map封装json对象的特殊情况。文章还对JSON和XML进行了比较，指出了JSON的优势和缺点。 ... [详细]

蜡笔小新 2023-12-11 16:20:50
数组
使用jQuery / AJAX实现两个div的动态更新

本文介绍了如何使用jQuery和AJAX来实现动态更新两个div的方法。通过调用PHP文件并返回JSON字符串，可以将不同的文本分别插入到两个div中，从而实现页面的动态更新。 ... [详细]

蜡笔小新 2023-12-11 10:07:32
install
Node.js学习笔记(一)package.json及cnpm

本文介绍了Node.js中包的概念，以及如何使用包来统一管理具有相互依赖关系的模块。同时还介绍了NPM（Node Package Manager）的基本介绍和使用方法，以及如何通过NPM下载第三方模块。 ... [详细]

蜡笔小新 2023-12-10 18:26:02
tags
Java后台Jsonp处理方法及其应用场景

本文介绍了Java后台Jsonp处理方法及其应用场景。首先解释了Jsonp是一个非官方的协议，它允许在服务器端通过Script tags返回至客户端，并通过javascript callback的形式实现跨域访问。然后介绍了JSON系统开发方法，它是一种面向数据结构的分析和设计方法，以活动为中心，将一连串的活动顺序组合成一个完整的工作进程。接着给出了一个客户端示例代码，使用了jQuery的ajax方法请求一个Jsonp数据。 ... [详细]

蜡笔小新 2023-12-10 10:55:21
request
微信官方授权及获取OpenId的方法，服务器通过SpringBoot实现

主要步骤：前端获取到code(wx.login)，传入服务器服务器通过参数AppID和AppSecret访问官方接口，获取到OpenId ... [详细]

蜡笔小新 2023-12-10 10:54:58

王瑾瑜2702935333

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章