ASP.NET Core使用JWT認證授權的方法
阿新 • • 發佈:2020-11-05
demo地址: https://github.com/william0705/JWTS
名詞解析
認證 : 識別使用者是否合法
授權: 賦予使用者許可權 (能訪問哪些資源)
鑑權: 鑑定許可權是否合法
Jwt優勢與劣勢
優勢
1、 無狀態
token 儲存身份驗證所有資訊,服務端不需要儲存使用者身份驗證資訊,減少服務端壓力,服務端更容易水平擴充套件,由於無狀態,又會導致它最大缺點,很難登出
2、 支援跨域訪問
Cookie是不允許垮域訪問的,token支援
3、 跨語言
基於標準化的 JSON Web Token (JWT),不依賴特定某一個語言,例如生成的Token可以對多種語言使用(Net,Java,PHP …)
劣勢
1、Token有效性問題
後臺很難登出已經發布的Token,通常需要藉助第三方儲存(資料庫/快取) 實現登出,這樣就會失去JWT最大的優勢
2、佔頻寬
Token長度(取決存放內容) 比session_id大,每次請求多消耗頻寬,token只存必要資訊,避免token過長
3、需要實現續簽
cookies – session 通常是框架已經實現續簽功能,每次訪問把過期時間更新,JWT需要自己實現,參考OAuth2重新整理Token機制實現重新整理Token
4、消耗更多CPU
每次請求需要對內容解密和驗證簽名這兩步操作,典型用時間換空間
只能根據自身使用場景決定使用哪一種身份驗證方案,沒有一種方案是通用的,完美的
.NET Core整合JWT認證授權服務
1、認證服務API:認證使用者,併發布Token
1、引入nuget包,System.IdentityModel.Tokens.Jwt
2、建立生成Token的服務,建議使用面向介面和實現程式設計,方便服務注入容器ServicesCollection(涉及DI和IOC概念)
3、建立介面
namespace JWTS.Services
{
public interface IJWTService
{
/// <summary>
/// 根據驗證通過後的使用者以及角色生成Token,以達到角色控制的作用
/// </summary>
/// <param name="userName"></param>
/// <param name="role"></param>
/// <returns></returns>
string GetToken(string userName,string role);
}
}
4、在appsettings.config中新增生成token需要的資訊,並對映成物件
"TokenParameter": {
"Issuer": "William",//這個JWT的簽發主體(發行者)
"Audience": "William",//這個JWT的接收物件
"SecurityKey": "askalsnlkndhasnaslkasmadka"
}
public class TokenParameter
{
public string Issuer { get; set; }
public string Audience { get; set; }
public string SecurityKey { get; set; }
}
5、實現介面,注入Configuration,獲取TokenParameter物件
using Microsoft.Extensions.Configuration;
using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.IdentityModel.Tokens;
namespace JWTS.Services
{
public class JWTService : IJWTService
{
private readonly TokenParameter _tokenParameter;
public JWTService(IConfiguration configuration)
{
_tokenParameter = configuration.GetSection("TokenParameter").Get<TokenParameter>();
}
/// <summary>
/// JWT由三部分組成(Header、Payload、Signature)
/// {Header}.{Payload}.{Signature}
/// </summary>
/// <param name="userName"></param>
/// <param name="role"></param>
/// <returns></returns>
public string GetToken(string userName,string role)
{
Claim[] claims = new[]
{
new Claim(ClaimTypes.Name,userName),new Claim("NickName","Richard"),new Claim("Role",role)//傳遞其他資訊
};
SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenParameter.SecurityKey));
SigningCredentials creds = new SigningCredentials(key,SecurityAlgorithms.HmacSha256);
/**
* Claims (Payload)
Claims 部分包含了一些跟這個 token 有關的重要資訊。 JWT 標準規定了一些欄位,下面節選一些欄位:
JWT會被加密,但是這部分內容任何人都可以讀取,所以不要存放機密資訊
iss: The issuer of the token,token 是給誰的
sub: The subject of the token,token 主題
exp: Expiration Time。 token 過期時間,Unix 時間戳格式
iat: Issued At。 token 建立時間, Unix 時間戳格式
jti: JWT ID。針對當前 token 的唯一標識
除了規定的欄位外,可以包含其他任何 JSON 相容的欄位。
* */
var token = new JwtSecurityToken(
issuer: _tokenParameter.Issuer,audience: _tokenParameter.Audience,claims: claims,expires: DateTime.Now.AddMinutes(10),//10分鐘有效期
signingCredentials: creds);
string returnToken = new JwtSecurityTokenHandler().WriteToken(token);
return returnToken;
}
}
}
6、jwt中定義好的Claims
JWT標準裡面定好的claim有:
- iss(Issuser):代表這個JWT的簽發主體;
- sub(Subject):代表這個JWT的主體,即它的所有人;
- aud(Audience):代表這個JWT的接收物件;
- exp(Expiration time):是一個時間戳,代表這個JWT的過期時間;
- nbf(Not Before):是一個時間戳,代表這個JWT生效的開始時間,意味著在這個時間之前驗證JWT是會失敗的;
- iat(Issued at):是一個時間戳,代表這個JWT的簽發時間;
- jti(JWT ID):是JWT的唯一標識。
7、在鑑權專案工程Startup.cs檔案裡依賴注入JWT的服務類
public void ConfigureServices(IServiceCollection services) { services.AddScoped <IJWTService,JWTService> (); services.AddControllers(); }
8、新增AuthenticationController,生成Token,後期可以新增RefreshToken
using JWTS.Services;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.Logging;
namespace JWTS.Controllers
{
[Route("api/[controller]")]
[ApiController]
public class AuthenticationController : ControllerBase
{
#region 建構函式
private ILogger<AuthenticationController> _logger;
private IJWTService _iJWTService;
private readonly IConfiguration _iConfiguration;
public AuthenticationController(ILogger<AuthenticationController> logger,IConfiguration configuration,IJWTService service)
{
_logger = logger;
_iConfiguration = configuration;
_iJWTService = service;
}
#endregion
/// <summary>
/// 實際場景使用Post方法
/// http://localhost:5000/api/Authentication/Login?name=william&password=123123
/// </summary>
/// <param name="name"></param>
/// <param name="password"></param>
/// <returns></returns>
[Route("Login")]
[HttpGet]
public IActionResult Login(string name,string password)
{
//這裡應該是需要去連線資料庫做資料校驗,為了方便所有使用者名稱和密碼寫死了
if ("william".Equals(name) && "123123".Equals(password))//應該資料庫
{
var role = "Administrator";//可以從資料庫獲取角色
string token = this._iJWTService.GetToken(name,role);
return new JsonResult(new
{
result = true,token
});
}
return Unauthorized("Not Register!!!");
}
}
}
2、資源中心API:使用從認證服務中心獲取的Token,去訪問資源,資源中心對使用者資訊以及Token進行鑑權操作,認證失敗返回401
1、資源中心新增Nuget包(Microsoft.AspNetCore.Authentication.JwtBearer)
2、新增Authentication服務,新增JwtBearer,通過Configuration獲取TokenParameter物件
using System;
using System.Text;
using API.Core.Models;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.Extensions.Hosting;
using Microsoft.IdentityModel.Tokens;
namespace API.Core
{
public class Startup
{
private TokenParameter _tokenParameter;
public IConfiguration Configuration { get; }
public Startup(IConfiguration configuration)
{
Configuration = configuration;
_tokenParameter = configuration.GetSection("TokenParameter").Get<TokenParameter>()??throw new ArgumentNullException(nameof(_tokenParameter));
}
public void ConfigureServices(IServiceCollection services)
{
services.AddControllers();
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)//預設授權機制
.AddJwtBearer(options =>
{
options.TokenValidationParameters=new TokenValidationParameters()
{
ValidateIssuer = true,ValidateAudience = true,ValidateLifetime = true,ValidateIssuerSigningKey = true,ValidIssuer = _tokenParameter.Issuer,ValidAudience = _tokenParameter.Audience,IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenParameter.SecurityKey))
};
});
}
public void Configure(IApplicationBuilder app,IWebHostEnvironment env)
{
if (env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}
app.UseRouting();
app.UseAuthentication();
app.UseAuthorization();
app.UseEndpoints(endpoints =>
{
endpoints.MapControllers();
});
}
}
}
3、在資源控制器上新增[Authorize]屬性,以啟用認證授權訪問API資源
[ApiController]
[Route("[controller]")]
[Authorize]
public class WeatherForecastController : ControllerBase
{
private static readonly string[] Summaries = new[]
{
"Freezing","Bracing","Chilly","Cool","Mild","Warm","Balmy","Hot","Sweltering","Scorching"
};
private readonly ILogger<WeatherForecastController> _logger;
public WeatherForecastController(ILogger<WeatherForecastController> logger)
{
_logger = logger;
}
[HttpGet]
public IEnumerable<WeatherForecast> Get()
{
var rng = new Random();
return Enumerable.Range(1,5).Select(index => new WeatherForecast
{
Date = DateTime.Now.AddDays(index),TemperatureC = rng.Next(-20,55),Summary = Summaries[rng.Next(Summaries.Length)]
})
.ToArray();
}
}
到此這篇關於ASP.NET Core使用JWT認證授權的方法的文章就介紹到這了,更多相關ASP.NET Core JWT認證授權 內容請搜尋我們以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援我們!