手把手教你AspNetCore WebApi认证与授权的方法

 更新时间:2020-11-19 04:07:28   作者:佚名   我要评论(0)

前言
这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在

前言

这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在用JWT认证授权,这个倒是挺适合自己的。

什么是Token

Token是服务端生成的一串字符串,以作客户端进行请求的一个令牌,当第一次登录后,服务器生成一个Token便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次带上用户名和密码。

什么是JWT

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT认证流程

从图中可以看出主要有两部分组成:1、获取Token,2、通过Token进行授权。

使用JWT认证

首先,安装JwtBearer包。

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0

接下来,定义一个配置类,我这里为了简单直接用常量代替了,你也可以放在配置文件中。

public class TokenParameter
{  
 public const string Issuer = "深度码农";//颁发者  
 public const string Audience = "深度码农";//接收者  
 public const string Secret = "1234567812345678";//签名秘钥  
 public const int AccessExpiration = 30;//AccessToken过期时间(分钟)
}

接下来,定义一个通过用户名和密码,获取Token的控制器。

[Route("api/oauth")]
[ApiController]
public class OAuthController : ControllerBase
{
 /// <summary>
 /// 获取Token
 /// </summary>
 /// <returns></returns>
 [HttpGet]
 [Route("token")]
 public ActionResult GetAccessToken(string username, string password)
 {
  //这儿在做用户的帐号密码校验。我这儿略过了。
  if (username != "admin" || password != "admin")
   return BadRequest("Invalid Request");

  var claims = new[]
  {
   new Claim(ClaimTypes.Name, username),
   new Claim(ClaimTypes.Role, ""),
  };

  var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
  var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
  var jwtToken = new JwtSecurityToken(TokenParameter.Issuer, TokenParameter.Audience, claims, expires: DateTime.UtcNow.AddMinutes(TokenParameter.AccessExpiration), signingCredentials: credentials);
  var token = new JwtSecurityTokenHandler().WriteToken(jwtToken);

  return Ok(token);
 }
}

接下来,添加Token身份认证到容器(Startup.ConfigureServices)。

services.AddAuthentication(x =>
{
 x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
 x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(x =>
{
 x.RequireHttpsMetadata = false;
 x.SaveToken = true;
 x.TokenValidationParameters = new TokenValidationParameters
 {     
  ValidateIssuerSigningKey = true,//是否调用对签名securityToken的SecurityKey进行验证
  IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(TokenParameter.Secret)),//签名秘钥
  ValidateIssuer = true,//是否验证颁发者
  ValidIssuer = TokenParameter.Issuer, //颁发者
  ValidateAudience = true, //是否验证接收者
  ValidAudience = TokenParameter.Audience,//接收者
  ValidateLifetime = true,//是否验证失效时间
 };
});

接下来,添加身份认证到中间件(Startup.Configure)。

app.UseAuthentication();//必须在app.UseAuthorization();之前

接下来,控制器需要授权控制的添加[Authorize]。

[HttpGet("{id}")]
[Authorize]
public async Task<ActionResult<Todo>> GetTodo(Guid id)
{
 var todo = await context.Todo.FindAsync(id);

 if (todo == null)
 {
  return NotFound();
 }

 return todo;
}

最后,我们测试一下接口,效果如下。

这时会返回401,因为身份认证没有通过,说明身份验证起效果了。

接下来我们访问一下GetAccessToken接口,拿到Token,在访问GetTodo接口时放入Token,我们可以看到访问成功了。

小结

目前为止,小明把授权认证搞定了,赶紧给马老板汇报工作去吧。当然这个授权认证还是非常简单的,还有很多等待的小伙伴们去发掘,比如如何自动刷新Token?如何强制Token失效?OAuth其他实现方式等等?大家如果有兴趣,让小明下次告诉你们。

到此这篇关于手把手教你AspNetCore WebApi认证与授权的方法的文章就介绍到这了,更多相关AspNetCore WebApi认证与授权内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

您可能感兴趣的文章:
  • .net core webapi jwt 更为清爽的认证详解

相关文章

  • 手把手教你AspNetCore WebApi认证与授权的方法

    手把手教你AspNetCore WebApi认证与授权的方法

    前言 这几天小明又有烦恼了,之前给小红的接口没有做认证授权,直接裸奔在线上,被马老板发现后狠狠的骂了一顿,赶紧让小明把授权加上。赶紧Baidu一下,发现大家都在
    2020-11-19
  • net core webapi多版本控制与swagger(nswag)配置教程

    net core webapi多版本控制与swagger(nswag)配置教程

    前言 首先希望webapi支持多版本,swagger针对不同的版本可进行交互。多版本控制基于Microsoft.AspNetCore.Mvc.Versioning.ApiExplorer包,swagger可以选择Swashbuck
    2020-11-19
  • ASP.NET Core3.1 Ocelot路由的实现

    ASP.NET Core3.1 Ocelot路由的实现

    1.路由 前一个章节我们已经介绍过Ocelot,相信大家也了解到,Ocelot的主要功能是接收客户端等传入的HTTP请求,并将其转发到下游服务。Ocelot当前仅以另一个http请求
    2020-11-19
  • 手把手教你AspNetCore WebApi数据验证的实现

    手把手教你AspNetCore WebApi数据验证的实现

    前言 小明最近又遇到麻烦了,小红希望对接接口传送的数据进行验证,既然是小红要求,那小明说什么都得满足呀,这还不简单嘛。 传统验证 [HttpPost] public
    2020-11-19
  • .NET Core使用Topshelf方式创建Windows服务的全过程记录

    .NET Core使用Topshelf方式创建Windows服务的全过程记录

    前言 Topshelf是一个.NET Standard库,它消除了在.NET Framework和.NET Core中创建Windows服务的那些麻烦。 安装 Install-Package Topshelf 代码 using Syste
    2020-11-19
  • ASP.NET Core3.1 Ocelot认证的实现

    ASP.NET Core3.1 Ocelot认证的实现

    1.认证 当客户端通过Ocelot访问下游服务的时候,为了保护下游资源服务器会进行认证鉴权,这时候需要在Ocelot添加认证服务。添加认证服务后,随后Ocelot会基于授权密
    2020-11-19
  • .NET Core使用FluentEmail发送邮件的示例代码

    .NET Core使用FluentEmail发送邮件的示例代码

    前言 在实际的项目开发中,我们会遇到许多需要通过程序发送邮件的场景,比如异常报警、消息、进度通知等等。一般情况下我们使用原生的SmtpClient类库居多,它能满足
    2020-11-19
  • ASP.NET Core使用JWT认证授权的方法

    ASP.NET Core使用JWT认证授权的方法

    demo地址: https://github.com/william0705/JWTS 名词解析 认证 : 识别用户是否合法 授权: 赋予用户权限 (能访问哪些资源) 鉴权: 鉴定权限是否合法 Jwt优势与劣
    2020-11-19
  • ASP.NET Core3.1 Ocelot负载均衡的实现

    ASP.NET Core3.1 Ocelot负载均衡的实现

    1.负载均衡 Ocelot可以在每个路由的可用下游服务中实现负载均衡,这使我们更有效地选择下游服务来处理请求。负载均衡类型: LeastConnection:根据服务正在处
    2020-11-19
  • .Net Core中使用Grpc的方法

    .Net Core中使用Grpc的方法

    一、Grpc概述   gRPC 基于如下思想:定义一个服务, 指定其可以被远程调用的方法及其参数和返回类型。gRPC 默认使用protocol buffers作为接口定义语言,来描述服务
    2020-11-19

最新评论