2. 程式人生 > >ASP.NET Core 中jwt授權認證的流程原理

ASP.NET Core 中jwt授權認證的流程原理

阿新 發佈:2020-03-15
[TOC] ## 1,快速實現授權驗證 什麼是 JWT ?為什麼要用 JWT ?JWT 的組成? 這些百度可以直接找到,這裡不再贅述。 實際上,只需要知道 JWT 認證模式是使用一段 Token 作為認證依據的手段。 我們看一下 Postman 設定 Token 的位置。 ![](https://img2020.cnblogs.com/blog/1315495/202003/1315495-20200315145237288-1522687558.png) 那麼,如何使用 C# 的 HttpClient 訪問一個 JWT 認證的 WebAPI 呢? ![](https://img2020.cnblogs.com/blog/1315495/202003/1315495-20200315145247048-773187380.png) 下面來建立一個 ASP.NET Core 專案,嘗試新增 JWT 驗證功能。 ### 1.1 新增 JWT 服務配置 在 Startup.cs 的 `ConfigureServices` 方法中,新增一個服務 ```C# // 設定驗證方式為 Bearer Token // 你也可以新增 using Microsoft.AspNetCore.Authentication.JwtBearer; // 使用 JwtBearerDefaults.AuthenticationScheme 代替 字串 "Brearer" services.AddAuthentication("Bearer") .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuerSigningKey = true, IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abcdABCD1234abcdABCD1234")), // 加密解密Token的金鑰 // 是否驗證釋出者 ValidateIssuer = true, // 釋出者名稱 ValidIssuer = "server", // 是否驗證訂閱者 // 訂閱者名稱 ValidateAudience = true, ValidAudience = "client007", // 是否驗證令牌有效期 ValidateLifetime = true, // 每次頒發令牌,令牌有效時間 ClockSkew = TimeSpan.FromMinutes(120) }; }); ``` 修改 `Configure` 中的中介軟體 ```C# app.UseHttpsRedirection(); app.UseRouting(); app.UseAuthentication(); // 注意這裡 app.UseAuthorization(); ``` 就是這麼簡單,通過以上設定,要求驗證請求是否有許可權。 ### 1.2 頒發 Token 頒發的 Token ,ASP.NET Core 不會儲存。 ASP.NET Core 啟用了 Token 認證,你隨便將生成 Token 的程式碼放到不同程式的控制檯,只要金鑰和 Issuer 和 Audience 一致,生成的 Token 就可以登入這個 ASP.NET Core。 也就是說,可以隨意建立控制檯程式生成 Token,生成的 Token 完全可以登入 ASP.NET Core 程式。 至於原因,我們後面再說, 在 Program.cs 中,新增一個這樣的方法 ```C# static void ConsoleToke() { // 定義使用者資訊 var claims = new Claim[] { new Claim(ClaimTypes.Name, "痴者工良"), new Claim(JwtRegisteredClaimNames.Email, "[email protected]"), }; // 和 Startup 中的配置一致 SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("abcdABCD1234abcdABCD1234")); JwtSecurityToken token = new JwtSecurityToken( issuer: "server", audience: "client007", claims: claims, notBefore: DateTime.Now, expires: DateTime.Now.AddMinutes(30), signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256) ); string jwtToken = new JwtSecurityTokenHandler().WriteToken(token); Console.WriteLine(jwtToken); } ``` `Main()` 中,呼叫此方法 ```C# public static void Main(string[] args) { ConsoleToke(); CreateHostBuilder(args).Build().Run(); } ``` ### 1.3 新增 API訪問 我們新增一個 API。 `[Authorize]` 特性用於標識此 Controller 或 Action 需要使用合規的 Token 才能登入。 ```C# [Authorize] [Route("api/[controller]")] [ApiController] public class HomeController : ControllerBase { public string Get() { Console.WriteLine(User.Claims.FirstOrDefault(x => x.Type == ClaimTypes.Name)); return "訪問成功"; } } ``` 然後啟動 ASP.NET Core,在 Postman 測試 訪問 https://localhost/api/home。 ![](https://img2020.cnblogs.com/blog/1315495/202003/1315495-20200315145311894-1355256906.png) 發現報 401 (無許可權)狀態碼,這是因為請求時不攜帶令牌,會導致不能訪問 API。 從控制檯終端複製生成的 Token 碼,複製到 Postman 中,再次訪問,發現響應狀態碼為 200,響應成功。 ![](https://img2020.cnblogs.com/blog/1315495/202003/1315495-20200315145325988-376843745.png) ASP.NET Core 自帶 jwt 認證大概就是這樣。 那麼,ASP.NET Core 內部是如何實現的呢?又有哪些特性哪些坑呢?請往下看~ ## 2,探究授權認證中介軟體 在上面的操作中,我們在管道配置了兩個中介軟體。 ``` app.UseAuthentication(); app.UseAuthorization(); ``` `app.UseAuthentication();` 的作用是通過 ASP.NET Core 中配置的授權認證,讀取客戶端中的身份標識(Cookie,Token等)並解析出來,儲存到 `context.User` 中。 `app.UseAuthorization();` 的作用是判斷當前訪問 `Endpoint` (Controller或Action)是否使用了 `[Authorize]`以及配置角色或策略,然後校驗 Cookie 或 Token 是否有效。 使用特性設定相應通過認證才能訪問,一般有以下情況。 ```C# // 不適用特性,可以直接訪問 public class AController : ControllerBase { public string Get() { return "666"; } } /// /// 整個控制器都需要授權才能訪問 ///
[Authorize] public class BController : ControllerBase { public string Get() { return "666"; } } public class CController : ControllerBase { // 只有 Get 需要授權 [Authorize] public string Get() { return "666"; } public string GetB() { return "666"; } } /// /// 整個控制器都需要授權,但 Get 不需要 ///
[Authorize] public class DController : ControllerBase { [AllowAnonymous] public string Get() { return "666"; } } ``` ### 2.1 實現 Token 解析 至於 ASP.NET Core 中,`app.UseAuthentication();` 和 `app.UseAuthorization();` 的原始碼各種使用了一個專案來寫,程式碼比較多。要理解這兩個中介軟體的作用,我們不妨來手動實現他們的功能。 解析出的 Token 是一個 ClaimsPrincipal 物件,將此物件給 `context.User` 賦值,然後在 API 中可以使用 `User` 例項來獲取使用者的資訊。 在中介軟體中,使用下面的程式碼可以獲取客戶端請求的 Token 解析。 ```C# context.RequestServices.GetRequiredService().AuthenticateAsync(context, JwtBearerDefaults.AuthenticationScheme); ``` 那麼,我們如何手工從原生的 Http 請求中,解析出來呢?且看我慢慢來分解步驟。 首先建立一個 TestMiddleware 檔案,作為中介軟體使用。 ```C# public class TestMiddleware { private readonly RequestDelegate _next; jwtSecurityTokenHandler = new JwtSecurityTokenHandler(); public TestMiddleware(RequestDelegate next) { _next = next; } public async Task Invoke(HttpContext context) { if (context == null) { throw new ArgumentNullException(nameof(context)); } // 我們寫程式碼的區域 // 我們寫程式碼的區域 await _next(context); } } ``` #### 2.1.1 從 Http 中獲取 Token 下面程式碼可以中 http 請求中,取得頭部的 Token 。 當然,客戶端可能沒有攜帶 Token,可能獲取結果為 null ,自己加個判斷。 貼到程式碼區域。 ```c# string tokenStr = context.Request.Headers["Authorization"].ToString(); ``` Header 的 Authorization 鍵,是由 `Breaer {Token} `組成的字串。 #### 2.1.2 判斷是否為有效令牌 拿到 Token 後,還需要判斷這個 Token 是否有效。 因為 Authorization 是由 `Breaer {Token}`組成,所以我們需要去掉前面的 `Brear ` 才能獲取 Token。 ```c# /// /// Token是否是符合要求的標準 Json Web 令牌 ///
/// /// public bool IsCanReadToken(ref string tokenStr) { if (string.IsNullOrWhiteSpace(tokenStr) || tokenStr.Length < 7) return false; if (!tokenStr.Substring(0, 6).Equals(Microsoft.AspNetCore.Authentication.JwtBearer.JwtBearerDefaults.AuthenticationScheme)) return false; tokenStr = tokenStr.Substring(7); bool isCan = jwtSecurityTokenHandler.CanReadToken(tokenStr); return isCan; } ``` 獲得 Token 後,通過 `JwtSecurityTokenHandler.CanReadToken(tokenStr);` 來判斷 Token 是否符合協議規範。 將下面判斷貼到程式碼區域。 ```C# if (!IsCanReadToken(ref tokenStr)) return ; ``` #### 2.1.3 解析 Token 下面程式碼可以將 Header 的 Authorization 內容轉為 JwtSecurityToken 物件。 (擷取字串的方式很多種,喜歡哪個就哪個。。。) ```c# /// /// 從Token解密出JwtSecurityToken,JwtSecurityToken : SecurityToken /// /// /// public JwtSecurityToken GetJwtSecurityToken(string tokenStr) { var jwt = jwtSecurityTokenHandler.ReadJwtToken(tokenStr); return jwt; } ``` 不過這個 `GetJwtSecurityToken` 不是我們關注的內容,我們是要獲取 Claim。 ``` JwtSecurityToken.Claims ``` 將下面程式碼貼到程式碼區域 ```c# JwtSecurityToken jst = GetJwtSecurityToken(tokenStr); IEnumerable claims = jst.Claims; ``` #### 2.1.4 生成 context.User context.User 是一個 ClaimsPrincipal 型別,我們通過解析出的 Claim,生成 ClaimsPrincipal。 ```C# JwtSecurityToken jst = GetJwtSecurityToken(tokenStr); IEnumerable claims = jst.Claims; List ci = new List() { new ClaimsIdentity(claims) }; context.User = new ClaimsPrincipal(ci); ``` 最終的程式碼塊是這樣的 ```C# // 我們寫程式碼的區域 string tokenStr = context.Request.Headers["Authorization"].ToString(); string requestUrl = context.Request.Path.Value; if (!IsCanReadToken(ref tokenStr)) return; JwtSecurityToken jst = GetJwtSecurityToken(tokenStr); IEnumerable claims = jst.Claims; List ci = new List() { new ClaimsIdentity(claims) }; context.User = new ClaimsPrincipal(ci); var x = new ClaimsPrincipal(ci); // 我們寫程式碼的區域 ``` ### 2.2 實現校驗認證 `app.UseAuthentication();` 的大概實現過程已經做出了說明,現在我們來繼續實現 `app.UseAuthorization();` 中的功能。 繼續使用上面的中介軟體,在原始碼塊區域新增新的區域。 ``` // 我們寫程式碼的區域 // 我們寫的程式碼塊 2 ``` #### 2.2.1 Endpoint Endpoint 標識了一個 http 請求所訪問的路由資訊和 Controller 、Action 及其特性等資訊。 `[Authorize]` 特性繼承了 `IAuthorizeData`。`[AllowAnonymous]` 特性繼承了 `IAllowAnonymous`。 以下程式碼可以獲取所訪問的節點資訊。 ```c# var endpoint = context.GetEndpoint(); ``` 那麼如何判斷所訪問的 Controller 和 Action 是否使用了認證相關的特性? ```c# var authorizeData = endpoint?.Metadata.GetOrderedMetadata() ?? Array.Empty(); ``` Metadata 是一個 ASP.NET Core 實現的集合物件,`GetOrderedMetadata` 可以找出需要的特性資訊。 這個集合不會區分是 Contrller 還是 Action 的 `[Authorize]` 特性。 那麼判斷 是否有 `[AllowAnonymous]` 特性,可以這樣使用。 ```c# if (endpoint?.Metadata.GetMetadata() != null) { await _next(context); return;

相關推薦

ASP.NET Core jwt授權認證流程原理

[TOC] ## 1,快速實現授權驗證 什麼是 JWT ?為什麼要用 JWT ?JWT 的組成? 這些百度可以直接找到,這裡不再贅述。 實際上,只需要知道 JWT 認證模式是使用一段 Token 作為認證依據的手段。 我們看一下 Postman 設定 Token 的位置。 ![](https://

asp.net core使用cookie認證

local 不知道 file version sent space 如何 使用 pub 以admin控制器為要認證的控制器舉例 1.對控制器設置權限特性 //a 認證命名空間 using Microsoft.AspNetCore.Authorization; using

ASP.NET Core 的那些認證中介軟體及一些重要知識點

前言 在讀這篇文章之間,建議先看一下我的 ASP.NET Core 之 Identity 入門系列(一,二,三)奠定一下基礎。 有關於 Authentication 的知識太廣,所以本篇介紹幾個在 ASP.NET Core 認證中會使用到的中介軟體,還有Authentication的一些零碎知識點,這些知識點

ASP.NET Core 基於JWT認證(二)

ipa arr role fig get metrics ets parameter 身份證號碼 ASP.NET Core 基於JWT的認證(二) 上一節我們對 Jwt 的一些基礎知識進行了一個簡單的介紹,這一節我們將詳細的講解,本次我們將詳細的介紹一下 Jwt在 .Ne

asp.net core 3.x 授權預設流程

一、前言 接上一篇《asp.net core 3.x 授權中的概念》,本篇看看asp.net core預設授權的流程。從兩個方面來看整個授權系統是怎麼執行的:啟動階段的配置、請求階段中介軟體的處理流程。 由於asp.net core 3.x目前使用終結點路由,因此授權框架可以用於所有asp.net web專案

Asp.Net Core IdentityServer4 授權中心之應用實戰

## 一、前言 查閱了大多數相關資料,查閱到的IdentityServer4 的相關文章大多是比較簡單並且多是翻譯官網的文件編寫的,我這裡在 Asp.Net Core 中IdentityServer4 的應用分析中會以一個電商系統架構升級過程中普遍會遇到的場景進行實戰性講述分析,同時最後會把我的實戰性的程式碼

Asp.Net Core IdentityServer4 授權中心之自定義授權模式

## 一、前言 上一篇我分享了一篇關於 [Asp.Net Core 中IdentityServer4 授權中心之應用實戰](https://www.cnblogs.com/jlion/p/12447081.html) 的文章,其中有不少博友給我提了問題,其中有一個博友問我的一個場景,我給他解答的還不夠完美,

Asp.Net Core IdentityServer4 授權原理及重新整理Token的應用

## 一、前言 上面分享了`IdentityServer4` 兩篇系列文章,核心主題主要是`密碼授權模式`及`自定義授權模式`,但是僅僅是分享了這兩種模式的使用,這篇文章進一步來分享`IdentityServer4`的授權流程及`refreshtoken`。 系列文章目錄(**沒看過的先看這幾篇文章再來閱

Core使用Hangfire 在Asp.Net Core使用DI的方式使用Hangfire構建後臺執行指令碼 解決 ASP.NET Core Hangfire 未授權(401 Unauthorized)

    之前使用Quartz.Net,後來發現hangfire對Core的繼承更加的好,而且自帶管理後臺,這就比前者好用太多了。 安裝註冊 安裝 PM> Install-Package Hangfire Startup.cs,在ConfigureServices方法中添加註冊:

ASP.NET Core 基於策略的授權

軟體應用程式的授權層可確保當前使用者能夠訪問指定資源、執行給定操作或對指定資源執行給定操作。在 ASP.NET Core 中,授權層的設定方式有兩種。可以使用角色,也可以使用策略。前一種方法(即基於角色的授權)一直在舊版 ASP.NET 平臺中沿用,而基於策略的

Asp.net Core 系列之--5.認證授權與自定義許可權的實現

ChuanGoing 2019-11-24   asp.net core系列已經來到了第五篇,通過之前的基礎介紹,我們瞭解了事件訂閱/釋出的eventbus整個流程,初探dapper ORM實現,並且簡單的介紹了領域模型、領域倉儲及服務實現,結合上一篇的日誌、錯誤處理及事務和本篇將要介紹的許可權,大

asp.net core 3.x 授權的概念

前言 預計是通過三篇來將清楚asp.net core 3.x中的授權:1、基本概念介紹;2、asp.net core 3.x中授權的預設流程;3、擴充套件。 在完全沒有概念的情況下無論是看官方文件還是原始碼都暈乎乎的,希望本文能幫到你。不過我也是看原始碼結合官方文件看的,可能有些地方理解不對,所以只作為參考。

Asp.Net Core IdentityServer4 實戰之角色授權詳解

## 一、前言 前幾篇文章分享了`IdentityServer4`密碼模式的基本授權及自定義授權等方式,最近由於改造一個閘道器服務,用到了`IdentityServer4`的授權,改造過程中發現比較適合基於`Role`角色的授權,通過不同的角色來限制使用者訪問不同的`Api資源`,這裡我就來分享`Identi

從零搭建一個IdentityServer——聊聊Asp.net core的身份驗證與授權

  OpenIDConnect是一個身份驗證服務,而Oauth2.0是一個授權框架,在前面幾篇文章裡通過IdentityServer4實現了基於Oauth2.0的客戶端證書(Client_Credentials)、使用者名稱密碼(Password)的授權流程,同時也實現OpenIDConnect的授權碼(Au

Asp.Net CoreJson序列化處理整理

忽略 化工 res ref 工具 使用 asp.net ctr ide 一、Asp.Net Core中的Json序列化處理使用的是Newtonsoft.Json,更多參考:C# Newtonsoft.Json JsonSerializerSettings配置序列化操作,C#

asp.net core負載均衡場景下http重定向https的問題

進行 urn 循環 == 是否 美的 err add ddr 上周欣喜地發現,微軟官方終於針對 asp.net core 在使用負載均衡的情況下從 http 強制重定向至 https 的問題提供了解決方法。 app.UseForwardedHeaders(new Fo

體驗 ASP.NET Core 的多語言支持(Localization)

lan expander -c blank 根據 body esp doc input 首先在 Startup 的 ConfigureServices 中添加 AddLocalization 與 AddViewLocalization 以及配置 RequestLocaliz

ASP.NET Core 使用Cookie中間件

新用戶 private 應該 validate ive mes esp tom 全選 http://ASP.NET Core 提供了Cookie中間件來序列化用戶主題到一個加密的Cookie中並且在後來的請求中校驗這個Cookie,再現用戶並且分配到HttpContext對

ASP.NET.Core使用AutoMapper

nvi 創建 reat fin intern stat 中間件 isa addm 首先需要在NuGet中引用AutoMapper的類庫 install-package AutoMapper install-package AutoMapper.Extens

Asp.net Core 入門實戰 2.請求流程

圖片 入門 可能 其他 http請求 交流 stop 擴展 del Asp.Net Core 是開源,跨平臺,模塊化,快速而簡單的Web框架. Asp.net Core官網的一個源碼合集,方便一次性Clone,喜歡的(Star),本系列持續更新,也可以通過我的網站訪問,歡迎