2. 程式人生 > >三分鐘學會.NET Core Jwt 策略授權認證

三分鐘學會.NET Core Jwt 策略授權認證

阿新 發佈:2019-12-27

一.前言

  大家好我又回來了,前幾天講過一個關於Jwt的身份驗證最簡單的案例,但是功能還是不夠強大,不適用於真正的專案,是的,在真正面對複雜而又苛刻的客戶中,我們會不知所措,就現在需要將認證授權這一塊也變的複雜而又實用起來,那在專業術語中就叫做自定義策略的API認證,本次案例執行在.NET Core 3.0中,最後我們將在swagger中進行瀏覽,來嘗試專案是否正常,對於.NET Core 2.x 版本,這篇文章有些程式碼不適用,但我會在文中說明。

二.在.NET Core中嘗試

  我們都知道Jwt是為了認證,微軟給我們提供了進城打鬼子的城門,那就是 AuthorizationHandle。

  我們首先要實現它,並且我們還可以根據依賴注入的 AuthorizationHandlerContext 來獲取上下文,就這樣我們就更可以做一些許可權的手腳

public class PolicyHandler : AuthorizationHandler<PolicyRequirement>
    {
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, PolicyRequirement requirement)
        {
            var http = (context.Resource as Microsoft.AspNetCore.Routing.RouteEndpoint);
            var questUrl = "/"+http.RoutePattern.RawText; 
            //賦值使用者許可權
            var userPermissions = requirement.UserPermissions;
            //是否經過驗證
            var isAuthenticated = context.User.Identity.IsAuthenticated;
            if (isAuthenticated)
            {
                if (userPermissions.Any(u=>u.Url == questUrl))
                {
                    //使用者名稱
                    var userName = context.User.Claims.SingleOrDefault(s => s.Type == ClaimTypes.NameIdentifier).Value;
                    if (userPermissions.Any(w => w.UserName == userName))
                    {
                        context.Succeed(requirement);
                    }
                }
            }
            return Task.CompletedTask;
        }
    }

  首先,我們重寫了 HandleRequirementAsync 方法,如果你看過AspNetCore的原始碼你一定知道,它是Jwt身份認證的開端,也就是說你重寫了它,原來那一套就不會走了,我們觀察一下原始碼,我貼在下面,可以看到這就是一個最基本的授權,通過 context.Succeed(requirement 完成了最後的認證動作!

public class DenyAnonymousAuthorizationRequirement : AuthorizationHandler<DenyAnonymousAuthorizationRequirement>, IAuthorizationRequirement
    {
        /// <summary>
        /// Makes a decision if authorization is allowed based on a specific requirement.
        /// </summary>
        /// <param name="context">The authorization context.</param>
        /// <param name="requirement">The requirement to evaluate.</param>
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, DenyAnonymousAuthorizationRequirement requirement)
        {
            var user = context.User;
            var userIsAnonymous =
                user?.Identity == null ||
                !user.Identities.Any(i => i.IsAuthenticated);
            if (!userIsAnonymous)
            {
                context.Succeed(requirement);
            }
            return Task.CompletedTask;
        }
    }

那麼  Succeed  是一個什麼呢?它是一個在  AuthorizationHandlerContext的定義動作,包括Fail() ,也是如此,當然具體實現我們不在細談,其內部還是挺複雜的,不過我們需要的是  DenyAnonymousAuthorizationRequirement  被當作了抽象的一部分。

public abstract class AuthorizationHandler<TRequirement> : IAuthorizationHandler
            where TRequirement : IAuthorizationRequirement
    {}

好吧,言歸正傳(看原始碼挺刺激的),我們剛剛在  PolicyHandler實現了自定義認證策略,上面還說到了兩個方法。現在我們在專案中配置並啟動它,並且我在程式碼中也是用了Swagger用於後面的演示。

在  AddJwtBearer中我們添加了jwt驗證包括了驗證引數以及幾個事件處理,這個很基本,不在解釋。不過在Swagger中新增jwt的一些功能是在  AddSecurityDefinition  中寫入的。

public void ConfigureServices(IServiceCollection services)
        {
            //新增策略鑑權模式
            services.AddAuthorization(options =>
            {
                options.AddPolicy("Permission", policy => policy.Requirements.Add(new PolicyRequirement()));
            })
            .AddAuthentication(s =>
            {
                //新增JWT Scheme
                s.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                s.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
                s.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            //新增jwt驗證:
            .AddJwtBearer(options =>
            {
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateLifetime = true,//是否驗證失效時間
                    ClockSkew = TimeSpan.FromSeconds(30),

                    ValidateAudience = true,//是否驗證Audience
                    //ValidAudience = Const.GetValidudience(),//Audience
                    //這裡採用動態驗證的方式,在重新登陸時,重新整理token,舊token就強制失效了
                    AudienceValidator = (m, n, z) =>
                    {
                        return m != null && m.FirstOrDefault().Equals(Const.ValidAudience);
                    },
                    ValidateIssuer = true,//是否驗證Issuer
                    ValidIssuer = Const.Domain,//Issuer,這兩項和前面簽發jwt的設定一致

                    ValidateIssuerSigningKey = true,//是否驗證SecurityKey
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Const.SecurityKey))//拿到SecurityKey
                };
                options.Events = new JwtBearerEvents
                {
                    OnAuthenticationFailed = context =>
                    {
                        //Token expired
                        if (context.Exception.GetType() == typeof(SecurityTokenExpiredException))
                        {
                            context.Response.Headers.Add("Token-Expired", "true");
                        }
                        return Task.CompletedTask;
                    }
                };
            }); 
            services.AddSwaggerGen(c =>
            {
                c.SwaggerDoc("v1", new OpenApiInfo
                {
                    Version = "v1",
                    Title = "HaoZi JWT",
                    Description = "基於.NET Core 3.0 的JWT 身份驗證",
                    Contact = new OpenApiContact
                    {
                        Name = "zaranet",
                        Email = "[email protected]",
                        Url = new Uri("http://cnblogs.com/zaranet"),
                    },
                });
                c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()
                {
                    Description = "在下框中輸入請求頭中需要新增Jwt授權Token:Bearer Token",
                    Name = "Authorization",
                    In = ParameterLocation.Header,
                    Type = SecuritySchemeType.ApiKey,
                    BearerFormat = "JWT",
                    Scheme = "Bearer"
                });
                c.AddSecurityRequirement(new OpenApiSecurityRequirement
                {
                    {
                        new OpenApiSecurityScheme
                        {
                            Reference = new OpenApiReference {
                                Type = ReferenceType.SecurityScheme,
                                Id = "Bearer"
                            }
                        },
                        new string[] { }
                    }
                });
            });
            //認證服務
            services.AddSingleton<IAuthorizationHandler, PolicyHandler>();
            services.AddControllers();
        }

在以上程式碼中,我們通過鑑權模式添加了認證規則,一個名叫  PolicyRequirement  的類,它實現了  IAuthorizationRequirement  介面,其中我們需要定義一些規則,通過建構函式我們可以新增我們要識別的許可權規則。那個UserName就是 Attribute 。

public class PolicyRequirement : IAuthorizationRequirement
    {/// <summary>
     /// User rights collection
     /// </summary>
        public List<UserPermission> UserPermissions { get; private set; }
        /// <summary>
        /// No permission action
        /// </summary>
        public string DeniedAction { get; set; }
        /// <summary>
        /// structure
        /// </summary>
        public PolicyRequirement()
        {
            //Jump to this route without permission
            DeniedAction = new PathString("/api/nopermission");
            //Route configuration that users have access to, of course you can read it from the database, you can also put it in Redis for persistence
            UserPermissions = new List<UserPermission> {
                              new UserPermission {  Url="/api/value3", UserName="admin"},
                          };
        }
    }
    public class UserPermission
    {
        public string UserName { get; set; }
        public string Url { get; set; }
    }

隨後我們應當啟動我們的服務,在.NET Core 3.0 中身份驗證的中介軟體位置需要在路由和端點配置的中間。

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
        {
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            app.UseSwagger();
            app.UseSwaggerUI(c =>
            {
                c.SwaggerEndpoint("/swagger/v1/swagger.json", "My API V1");
            });
            app.UseRouting();
            app.UseAuthentication();
            app.UseAuthorization();
            app.UseEndpoints(endpoints =>
            {
                endpoints.MapControllers();
            });
        }

  我們通常會有一個獲取token的API,用於讓Jwt通過  JwtSecurityTokenHandler().WriteToken(token)  用於生成我們的token,雖然jwt是沒有狀態的,但你應該也明白,如果你的jwt生成了隨後你重啟了你的網站,你的jwt會失效,這個是因為你的金鑰進行了改變,如果你的金鑰一直寫死,那麼這個jwt將不會再過期,這個還是有安全風險的,這個我不在這裡解釋,gettoken定義如下:

  [ApiController]
    public class AuthController : ControllerBase
    {
        [AllowAnonymous]
        [HttpGet]
        [Route("api/nopermission")]
        public IActionResult NoPermission()
        {
            return Forbid("No Permission!");
        }
        /// <summary>
        /// login
        /// </summary>
        [AllowAnonymous]
        [HttpGet]
        [Route("api/auth")]
        public IActionResult Get(string userName, string pwd)
        {
            if (CheckAccount(userName, pwd, out string role))
            {
                Const.ValidAudience = userName + pwd + DateTime.Now.ToString();
                // push the user’s name into a claim, so we can identify the user later on.
                //這裡可以隨意加入自定義的引數,key可以自己隨便起
                var claims = new[]
                {
                    new Claim(JwtRegisteredClaimNames.Nbf,$"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}") ,
                    new Claim (JwtRegisteredClaimNames.Exp,$"{new DateTimeOffset(DateTime.Now.AddMinutes(30)).ToUnixTimeSeconds()}"),
                    new Claim(ClaimTypes.NameIdentifier, userName),
                    new Claim("Role", role)
                };
                //sign the token using a secret key.This secret will be shared between your API and anything that needs to check that the token is legit.
                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Const.SecurityKey));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
                //.NET Core’s JwtSecurityToken class takes on the heavy lifting and actually creates the token.
                var token = new JwtSecurityToken(
                    issuer: Const.Domain, //頒發者
                    audience: Const.ValidAudience,//過期時間
                    expires: DateTime.Now.AddMinutes(30),// 簽名證書
                    signingCredentials: creds, //自定義引數
                    claims: claims );
                return Ok(new
                {
                    token = new JwtSecurityTokenHandler().WriteToken(token)
                });
            }
            else
            {
                return BadRequest(new { message = "username or password is incorrect." });
            }
        }
        /// <summary>
        /// 模擬登陸校驗
        /// </summary>
        private bool CheckAccount(string userName, string pwd, out string role)
        {
            role = "user";
            if (string.IsNullOrEmpty(userName))
                return false;
            if (userName.Equals("admin"))
                role = "admin";
            return true;
        }

  可能比較特別的是  AllowAnonymous  ,這個看我文章的同學可能頭一次見,其實怎麼說好呢,這個可無可有,沒有硬性的要求,我看到好幾個知名博主加上了,我也加上了~...最後我們建立了幾個資源控制器,它們是受保護的。

  在你新增策略許可權的時候例如政策名稱是XXX,那麼在對應的api表頭就應該是XXX,隨後到了  PolicyHandler我們解析了 Claims 處理了它是否有許可權。

// GET api/values1
        [HttpGet]
        [Route("api/value1")]
        public ActionResult<IEnumerable<string>> Get()
        {
            return new string[] { "value1", "value1" };
        }
        // GET api/values2
        /**
         * 該介面用Authorize特性做了許可權校驗,如果沒有通過許可權校驗,則http返回狀態碼為401
         */
        [HttpGet]
        [Route("api/value2")]
        [Authorize]
        public ActionResult<IEnumerable<string>> Get2()
        {
            var auth = HttpContext.AuthenticateAsync().Result.Principal.Claims;
            var userName = auth.FirstOrDefault(t => t.Type.Equals(ClaimTypes.NameIdentifier))?.Value;
            return new string[] { "這個介面登陸過的都能訪問", $"userName={userName}" };
        }
        /**
         * 這個介面必須用admin
         **/
        [HttpGet]
        [Route("api/value3")]
        [Authorize("Permission")]
        public ActionResult<IEnumerable<string>> Get3()
        {
            //這是獲取自定義引數的方法
            var auth = HttpContext.AuthenticateAsync().Result.Principal.Claims;
            var userName = auth.FirstOrDefault(t => t.Type.Equals(ClaimTypes.NameIdentifier))?.Value;
            var role = auth.FirstOrDefault(t => t.Type.Equals("Role"))?.Value;
            return new string[] { "這個介面有管理員許可權才可以訪問", $"userName={userName}", $"Role={role}" };
        }

三.效果圖

四.栗子原始碼和以往版本

  看到很多前輩彩的坑,原來的  (context.Resource as Microsoft.AspNetCore.Routing.RouteEndpoint);  實際上在.NET Core 3.0 已經不能用了,原因是.NET Core 3.0 啟用 EndpointRouting 後,許可權filter不再新增到 ActionDescriptor ,而將許可權直接作為中介軟體執行,同時所有filter都會新增到  endpoint.Metadata  ,如果在.NET Core 2.1 & 2.2 版本中你通常Handler可以這麼寫:

public class PolicyHandler : AuthorizationHandler<PolicyRequirement>
    {
        protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, PolicyRequirement requirement)
        {
            //賦值使用者許可權
            var userPermissions = requirement.UserPermissions;
            //從AuthorizationHandlerContext轉成HttpContext,以便取出表求資訊
            var httpContext = (context.Resource as Microsoft.AspNetCore.Mvc.Filters.AuthorizationFilterContext).HttpContext;
            //請求Url
            var questUrl = httpContext.Request.Path.Value.ToUpperInvariant();
            //是否經過驗證
            var isAuthenticated = httpContext.User.Identity.IsAuthenticated;
            if (isAuthenticated)
            {
                if (userPermissions.GroupBy(g => g.Url).Any(w => w.Key.ToUpperInvariant() == questUrl))
                {
                    //使用者名稱
                    var userName = httpContext.User.Claims.SingleOrDefault(s => s.Type == ClaimTypes.NameIdentifier).Value;
                    if (userPermissions.Any(w => w.UserName == userName && w.Url.ToUpperInvariant() == questUrl))
                    {
                        context.Succeed(requirement);
                    }
                    else
                    {
                        //無許可權跳轉到拒絕頁面
                        httpContext.Response.Redirect(requirement.DeniedAction);
                    }
                }
                else
                    context.Succeed(requirement);
            }
            return Task.CompletedTask;
        }
    }

  該案例原始碼在我的Github上:https://github.com/zaranetCore/aspNetCore_JsonwebToken/tree/master/Jwt_Policy_Demo  謝謝大家

相關推薦

分鐘學會.NET Core Jwt 策略授權認證

一.前言   大家好我又回來了,前幾天講過一個關於Jwt的身份驗證最簡單的案例,但是功能還是不夠強大,不適用於真正的專案,是的,在真正面對複雜而又苛刻的客戶中,我們會不知所措,就現在需要將認證授權這一塊也變的複雜而又實用起來,那在專業術語中就叫做自定義策略的API認證,本次案例執行在.NET Core 3.0

分鐘學會.NET微服務之Polly

  熔斷降級是一個非常重要的概念,我們先說一下什麼是熔斷降級,咱們都知道服務發現,一個有問題的伺服器沒來得急登出過一會就崩潰掉了,那麼我們的請求就有可能訪問一個已經崩潰的伺服器,那麼就會請求失敗,因為已經game over了。那麼這個問題怎麼解決呢,你一定要承認,這個問題是無法避免的。沒有什麼

CZGL.Auth: ASP.NET Core Jwt角色授權快速配置庫

CZGL.Auth CZGL.Auth 是一個基於 Jwt 實現的快速角色授權庫,ASP.Net Core 的 Identity 預設的授權是 Cookie。而 Jwt 授權只提供了基礎實現和介面,需要自己實現角色授權和上下文攔截等。 使用第三方開源類庫,例如 IdentityServer4 ,過於複雜,學習

分鐘學會在ASP.NET Core MVC 中使用Cookie

一.Cookie是什麼?   我的朋友問我cookie是什麼,用來幹什麼的,可是我居然無法清楚明白簡短地向其闡述cookie,這不禁讓我陷入了沉思:為什麼我無法解釋清楚,我對學習的方法產生了懷疑!所以我們在學習一個東西的時候,一定要做到知其然知其所以然。   HTTP協議本身是無狀態的。什麼是無狀態呢,即伺

ASP.NET Core 2.0利用Jwt實現授權認證

metrics 登錄驗證 cor new end exc csharp async time 背景 在微服務架構下,一般都會按不同的業務或功能將整個系統切分成不同的獨立子系統,再通過REST API或RPC進行通訊並相互調用,形成各個子系統之間的串聯結構。在這裏,我們將采

分鐘學會用SpringMVC搭建最小系統(超詳細)

springmvc+mybatis dubbo+zookeeper restful redis分布式緩存 kafka 前言做 Java Web 開發的你,一定聽說過SpringMVC的大名,作為現在運用最廣泛的Java框架,它到目前為止依然保持著強大的活力和廣泛的用戶群。本文介紹如何用ecli

分鐘學會如何在函數計算中使用 puppeteer

但是 span 排查 認證 MQ order 截圖 lan rds 摘要: 使用 puppeteer 結合函數計算,可以快速的構建彈性的服務完成各種功能,包括:生成網頁截圖或者 PDF、高級爬蟲,可以爬取大量異步渲染內容的網頁、模擬鍵盤輸入、表單自動提交、登錄網頁等,實現

Core中使用Hangfire 在Asp.Net Core中使用DI的方式使用Hangfire構建後臺執行指令碼 解決 ASP.NET Core Hangfire 未授權(401 Unauthorized)

    之前使用Quartz.Net,後來發現hangfire對Core的繼承更加的好,而且自帶管理後臺,這就比前者好用太多了。 安裝註冊 安裝 PM> Install-Package Hangfire Startup.cs,在ConfigureServices方法中添加註冊:

分鐘學會看大型專案的原始碼

作者:Jerish_C 來源:CSDN 原文:https://blog.csdn.net/u012999985/article/details/80877671 最近有朋友突然問我一個問題 “你怎麼把UE4引擎程式碼看的那麼深入的?” 看到問題後我還愣了一下,因為

【.NET Core專案實戰-統一認證平臺】第章 閘道器篇-資料庫儲存配置(1)

原文: 【.NET Core專案實戰-統一認證平臺】第三章 閘道器篇-資料庫儲存配置(1) 【.NET Core專案實戰-統一認證平臺】開篇及目錄索引 本篇將介紹如何擴充套件Ocelot中介軟體實現自定義閘道器,並使用2種不同資料庫來演示Ocelot配置資訊儲存和動態更新功能,內容也是從實際設計出發

【.NET Core專案實戰-統一認證平臺】第六章 閘道器篇-自定義客戶端授權

原文: 【.NET Core專案實戰-統一認證平臺】第六章 閘道器篇-自定義客戶端授權 【.NET Core專案實戰-統一認證平臺】開篇及目錄索引 上篇文章我們介紹了閘道器使用Redis進行快取,並介紹瞭如何進行快取實現,快取資訊清理介面的使用。本篇我們將介紹如何實現閘道器自定義客戶端授權,實現可以

【.NET Core專案實戰-統一認證平臺】第八章 授權篇-IdentityServer4原始碼分析

原文: 【.NET Core專案實戰-統一認證平臺】第八章 授權篇-IdentityServer4原始碼分析 【.NET Core專案實戰-統一認證平臺】開篇及目錄索引 上篇文章我介紹瞭如何在閘道器上實現客戶端自定義限流功能,基本完成了關於閘道器的一些自定義擴充套件需求,後面幾篇將介紹基於Ident

【.NET Core專案實戰-統一認證平臺】第九章 授權篇-使用Dapper持久化IdentityServer4

【.NET Core專案實戰-統一認證平臺】開篇及目錄索引 上篇文章介紹了IdentityServer4的原始碼分析的內容,讓我們知道了IdentityServer4的一些執行原理,這篇將介紹如何使用dapper來持久化Identityserver4,讓我們對IdentityServer4理解更透徹,

分鐘學會在spring boot 專案中使用RabbitMq做訊息佇列

第一步:在spring boot專案中新增RabbitMq的maven依賴 <dependency> <groupId>org.springframework.boot</groupId>

用 Log4Net 步實現 .Net Core 類庫 分日誌等級(不同檔案目錄)存日誌

1,建立.Net Core  Web 專案,引入 log4net 2,建立類庫,新增如下 helper方法 1 using log4net; 2 using log4net.Config; 3 using System; 4 using Syste

【.NET Core專案實戰-統一認證平臺】第十一章 授權篇-密碼授權模式

【.NET Core專案實戰-統一認證平臺】開篇及目錄索引 上篇文章介紹了基於Ids4客戶端授權的原理及如何實現自定義的客戶端授權,並配合閘道器實現了統一的授權異常返回值和許可權配置等相關功能,本篇將介紹密碼授權模式,從使用場景、原始碼剖析到具體實現詳細講解密碼授權模式的相關應用。 .netcor

【.NET Core專案實戰-統一認證平臺】第十章 授權篇-客戶端授權

上篇文章介紹瞭如何使用Dapper持久化IdentityServer4(以下簡稱ids4)的資訊,並實現了sqlserver和mysql兩種方式儲存,本篇將介紹如何使用ids4進行客戶端授權。 .netcore專案實戰交流群(637326624),有興趣的朋友可以在群裡交流討論

分鐘學會用SpringMVC搭建最小系統(超詳細)_轉載

前言 做 Java Web 開發的你,一定聽說過SpringMVC的大名,作為現在運用最廣泛的Java框架,它到目前為止依然保持著強大的活力和廣泛的使用者群。 本文介紹如何用eclipse一步一步搭建SpringMVC的最小系統,所謂最小系統,就是足以使專案在SpringMVC框架下成功跑起來,並且能夠做

七天學會ASP.NET MVC (四)——使用者授權認證問題

本文參考自:http://www.codeproject.com/Articles/996832/Learn-MVC-Project-in-Days-Day 轉載請註明出處:葡萄城官網,葡萄城為開發者提供專業的開發工具、解決方案和服務,賦能開發者。 小編應各位的要求,快馬加鞭,馬不停蹄的終於:七天

分鐘學會《門面模式》

前言 只有光頭才能變強 回顧前面所寫過的設計模式: 給女朋友講解什麼是代理模式 包裝模式就是這麼簡單啦 單例模式你會幾種寫法? 工廠模式理解了沒有? 策略模式原來就這麼簡單! 無論是面試還是個人的提升,設計模式是必學的。今天來講解門面(外觀)模式~ 上一次分享了一