2. 程式人生 > 其它 >WEB API身份驗證/token驗證

WEB API身份驗證/token驗證

阿新 發佈:2022-01-04

詳情可參考:https://www.cnblogs.com/aaron911/p/11300062.html

  

為什麼使用JWT?

JWT 全稱 JSON Web Tokens ,是一種規範化的 token。是對 token 這一技術提出一套規範. 隨著技術的發展,分散式web應用的普及,通過session管理使用者登入狀態成本越來越高,因此慢慢發展成為token的方式做登入身份校驗,然後通過token去取redis中的快取的使用者資訊,隨著之後jwt的出現,校驗方式更加簡單便捷化,無需通過redis快取,而是直接根據token取出儲存的使用者資訊,以及對token可用性校驗,單點登入更為簡單。這裡
還有一個線上的的JWT生成器

什麼時候你應該用JSON Web Tokens

下列場景中使用JSON Web Token是很有用的:

  • Authorization(授權) : 這是使用JWT的最常見場景。一旦使用者登入,後續每個請求都將包含JWT,允許使用者訪問該令牌允許的路由、服務和資源。單點登入是現在廣泛使用的JWT的一個特性,因為它的開銷很小,並且可以輕鬆地跨域使用。
  • Information Exchange(資訊交換) : 對於安全的在各方之間傳輸資訊而言,JSON Web Tokens無疑是一種很好的方式。因為JWTs可以被簽名,例如,用公鑰/私鑰對,你可以確定傳送人就是它們所說的那個人。另外,由於簽名是使用頭和有效負載計算的,您還可以驗證內容沒有被篡改

JSON Web Token的結構是什麼樣的

JSON Web Token由三部分組成,它們之間用圓點(.)連線。這三部分分別是:

  • Header
  • Payload
  • Signature

因此,一個典型的JWT看起來是這個樣子的:

xxxxx.yyyyy.zzzzz

  header典型的由兩部分組成:token的型別(“JWT”)和演算法名稱(比如:HMAC SHA256或者RSA等等)。用Base64對這個JSON編碼就得到JWT的第一部分

  JWT的第二部分是payload,它包含宣告(要求)。宣告是關於實體(通常是使用者)和其他資料的宣告。宣告有三種類型: registered, public 和 private。注意,不要在JWT的payload或header中放置敏感資訊,除非它們是加密的。

  Signature為了得到簽名部分,你必須有編碼過的header、編碼過的payload、一個祕鑰,簽名演算法是header中指定的那個,然對它們簽名即可。

    例如:

    HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

    簽名是用於驗證訊息在傳遞過程中有沒有被更改,並且,對於使用私鑰簽名的token,它還可以驗證JWT的傳送方是否為它所稱的傳送方。

使用JWT

1、我們開啟Nuget,搜尋JWT 安裝。

2、封裝一個jwt幫助類

public class JwtHelp
    {
        //私鑰  web.config中配置
        //"GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk";
        private static string secret = ConfigurationManager.AppSettings["Secret"].ToString();

        /// <summary>
        /// 生成JwtToken
        /// </summary>
        /// <param name="payload">不敏感的使用者資料</param>
        /// <returns></returns>
        public static string SetJwtEncode(Dictionary<string, object> payload)
        {
            //格式如下
            //var payload = new Dictionary<string, object>
            //{
            //    { "username","admin" },
            //    { "pwd", "claim2-value" }
            //};

            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serializer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);

            var token = encoder.Encode(payload, secret);
            return token;
        }

        /// <summary>
        /// 根據jwtToken  獲取實體
        /// </summary>
        /// <param name="token">jwtToken</param>
        /// <returns></returns>
        public static dynamic GetJwtDecode(string token)
        {
            try
            {
                IJsonSerializer serializer = new JsonNetSerializer();
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);

                token = token.Replace("Bearer ", "");
                var userInfo = decoder.DecodeToObject<dynamic>(token, secret, verify: true);//token為之前生成的字串
                return userInfo;
            }
            catch (TokenExpiredException)
            {
                Console.WriteLine("Token has expired");  //過期
                return "";
            }
            catch (SignatureVerificationException)
            {
                Console.WriteLine("Token has invalid signature");  //簽名沒有驗證
                return "";
            }


            //var json = JwtBuilder.Create()
            //                     .WithAlgorithm(new HMACSHA256Algorithm()) // symmetric
            //                     .WithSecret(secret)
            //                     .MustVerifySignature()
            //                     .Decode(token);

        }
    }

3、編寫一個繼承AuthorizeAttribute實現類

public class TokenAuthAttribute : AuthorizeAttribute
    {
        /// <summary>
        /// 驗證入口
        /// </summary>
        /// <param name="actionContext"></param>

        public override void OnAuthorization(HttpActionContext actionContext)
        {
            //前端請求api時會將token存放在名為"AccessToken"的請求頭中
            var content = actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase;
            var token = content.Request.Headers["AccessToken"]; //自己加入在頭部的名稱

            if (!string.IsNullOrEmpty(token?.ToString()))
            {
               
                dynamic userinfo = JwtHelp.GetJwtDecode(token);
                if (userinfo != null)
                {
                    base.IsAuthorized(actionContext); 
                }
                else
                    HandleUnauthorizedRequest(actionContext);
            }
            else
            {
                var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
                bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
                if (isAnonymous) base.OnAuthorization(actionContext);
                else HandleUnauthorizedRequest(actionContext);
            }
        }

        /// <summary>
        /// 重寫HandleUnauthorizedRequest
        /// </summary>
        /// <param name="filterContext"></param>
        protected override void HandleUnauthorizedRequest(HttpActionContext filterContext)
        {
            base.HandleUnauthorizedRequest(filterContext);

            var response = filterContext.Response = filterContext.Response ?? new HttpResponseMessage();
            //狀態碼401改為其他狀態碼來避免被重定向。最合理的是改為403,表示伺服器拒絕。
            response.StatusCode = HttpStatusCode.Forbidden;
            var content = new
            {
                success = false,
                errs = new[] { "服務端拒絕訪問:沒有許可權" }
            };
            response.Content = new StringContent(Json.Encode(content), Encoding.UTF8, "application/json");
        }

    }

4、建立一個控制器

public class JwtController : ApiController
{
     public void CreateToken()
    {
          // 生成 token
            var payload = new Dictionary<string, object>
                {
                    { "Id",user.Id },
                    { "Account",user.Account },
                    { "Name",user.NickName },
                    { "AccountType",user.AccountType },
                    { "exptime",secondsSinceEpoch+1 }//token過期時間
                };
            //返回登入結果、使用者資訊、使用者驗證票據資訊
            var AccessToken = JwtHelp.SetJwtEncode(payload);
    }
    
    [TokenAuth]//只有加上這個才會進行token驗證,通常是放在類上面的,我放在這裡是為了測試使用。請求該方法如果請求頭不包含token,則會提示伺服器拒絕訪問
    public string Test()
    {
         return "來了";
    }
}

相關推薦

WEB API身份驗證/token驗證

詳情可參考:https://www.cnblogs.com/aaron911/p/11300062.html    為什麼使用JWT? JWT 全稱 JSON Web Tokens ,是一種規範化的 token。是對 token 這一技術提出一套規範.

Node登入許可權驗證token驗證實現的方法示例

1. token的使用場景 無狀態請求 保持使用者的登入狀態 第三方登入(token+auth2.0)

laravel passport api認證, 用簡訊驗證碼登入獲取 token

laravel api 認證使用了 passport 的密碼驗證方式,在做手機簡訊驗證碼登入時,由於獲取不到 明文密碼,無法獲取 token

Asp.Net Core Web Api基於cookie的安全驗證

一直以來都有一個說法,在對Asp.Net Core Web Api進行安全驗證時,只能使用Token而不能使用Cookie.

Java Web實現登入頁面驗證驗證功能

一、驗證驗證碼本質上是一張圖片,圖片內容會隨著程式的執行而隨機生成

基於redis實現token驗證使用者是否登陸

基於專案需求, 我們要實現一個基於redis實現token登入驗證,該如何實現呢:

python web框架Flask實現圖形驗證碼及驗證碼的動態重新整理例項

下列程式碼都是以自己的專案例項講述的,相關的文字內容很少,主要說明全在程式碼註釋中

SpringBoot整合JWT實現token驗證的流程

JWT官網: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什麼是JWT Json web token (JWT),是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準((RFC 7519).定義了一種簡潔的,

ASP.NET Core-自定義Jwt token驗證(ISecurityTokenValidator)

Core為我們提供了自定義token驗證的介面,當我們需要使用自己的方式驗證token時可以使用。

ASP.NET Core 3.x RESTful API學習記錄--輸入驗證:IValidatableObject

需要驗證的Dto模型 繼承於IValidatableObject public class ValidatableMovie : IValidatableObject

Spring Cloud Feign統一設定驗證token實現方法解析

我們也在zuul中通過前置過濾器來統一設定token,其實還漏掉了一種,那就是業務服務呼叫業務服務的時候,是沒有zuul這種前置過濾器的,那麼我們該如何設定呢?

token驗證

Token 概述 基於 Token的認證機制,有著無需長期儲存使用者名稱和密碼,伺服器端能主動讓token失效等諸多好處,非常實用於 Web 應用和 App 已經被很多大型網站採用,比如Facebook、Github、Google+等。

微信公眾平臺,伺服器配置 C#驗證token

首先要開放一個外網介面 ReceiveGZH(string signature, string timestamp, string nonce, string echostr)

修改下引數API呼叫返回的驗證規則,支援返回指定模型和返回所有模型

配置檔案內容 這裡,我們還將API監聽的地址和埠,日誌路徑也可以都配上 api_server:

Vue中登入驗證成功後儲存token,並每次請求攜帶並驗證token操作

在vue中,可以用**Storage(sessionStorage,localStorage)**來儲存token,也可以用vuex來儲存(但要考慮頁面重新整理資料消失問題,可以在vuex用Storage),

SpringBoot+JWT@註解實現token驗證

原文連結:https://segmentfault.com/a/1190000022776284?utm_source=tag-newest springboot整合jwt實現token驗證

golang jwt+token驗證的實現

Token驗證驗證使用者身份的重要方式,在golang開發中具有廣泛應用,文中主要闡述了利用jwt包加密後的token驗證

詳解ASP.NET Core Web Api之JWT重新整理Token

前言 如題,本節我們進入JWT最後一節內容,JWT本質上就是從身份認證伺服器獲取訪問令牌,繼而對於使用者後續可訪問受保護資源,但是關鍵問題是:訪問令牌的生命週期到底設定成多久呢?見過一些使用JWT的童鞋會將JWT過

cxf動態呼叫web service時新增basic驗證

package com.mobiwire.crm; import org.apache.cxf.Bus; import org.apache.cxf.BusFactory; import org.apache.cxf.configuration.security.AuthorizationPolicy;

Android之window機制token驗證

前言 很高興遇見你~ 歡迎閱讀我的文章 這篇文章講解關於window token的問題,同時也是Context機制和Window機制這兩篇文章的一個補充。如果你對Android的Window機制和Context機制目前位瞭解過,強烈建議你先閱讀前面兩