ASP.Net Core3.0中使用JWT认证的实现
JWT认证简单介绍
关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。
JWT主要由三部分组成,如下:
HEADER.PAYLOAD.SIGNATURE
HEADER包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了
加密的对象类型是JWT,加密算法是HMACSHA-256
{"alg":"HS256","typ":"JWT"}
然后需要通过BASE64编码后存入token中
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload主要包含一些声明信息(claim),这些声明是key-value对的数据结构。
通常如用户名,角色等信息,过期日期等,因为是未加密的,所以不建议存放敏感信息。
{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"WebApi"}
也需要通过BASE64编码后存入token中
eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9
Signaturejwt要符合jws(JsonWebSignature)的标准生成一个最终的签名。把编码后的Header和Payload信息加在一起,然后使用一个强加密算法,如HmacSHA256,进行加密。HS256(BASE64(Header).Base64(Payload),secret)
2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4
最后生成的token如下
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4
开发环境
框架:asp.net3.1
IDE:VS2019
ASP.NET3.1Webapi中使用JWT认证
命令行中执行执行以下命令,创建webapix项目:
dotnetnewwebapi-nWebapi-oWebApi
特别注意的时,3.x默认是没有jwt的Microsoft.AspNetCore.Authentication.JwtBearer库的,所以需要手动添加NuGetPackage,切换到项目所在目录,执行.netcli命令
dotnetaddpackageMicrosoft.AspNetCore.Authentication.JwtBearer--version3.1.0
创建一个简单的POCO类,用来存储签发或者验证jwt时用到的信息
usingNewtonsoft.Json; usingSystem; usingSystem.Collections.Generic; usingSystem.Linq; usingSystem.Threading.Tasks; namespaceWebapi.Models { publicclassTokenManagement { [JsonProperty("secret")] publicstringSecret{get;set;} [JsonProperty("issuer")] publicstringIssuer{get;set;} [JsonProperty("audience")] publicstringAudience{get;set;} [JsonProperty("accessExpiration")] publicintAccessExpiration{get;set;} [JsonProperty("refreshExpiration")] publicintRefreshExpiration{get;set;} } }
然后在appsettings.Development.json增加jwt使用到的配置信息(如果是生成环境在appsettings.json添加即可)
"tokenManagement":{ "secret":"123456", "issuer":"webapi.cn", "audience":"WebApi", "accessExpiration":30, "refreshExpiration":60 }
然后再startup类的ConfigureServices方法中增加读取配置信息
publicvoidConfigureServices(IServiceCollectionservices) { services.AddControllers(); services.Configure(Configuration.GetSection("tokenManagement")); vartoken=Configuration.GetSection("tokenManagement").Get (); }
到目前为止,我们完成了一些基础工作,下面再webapi中注入jwt的验证服务,并在中间件管道中启用authentication中间件。
startup类中要引用jwt验证服务的命名空间
usingMicrosoft.AspNetCore.Authentication.JwtBearer; usingMicrosoft.IdentityModel.Tokens;
然后在ConfigureServices方法中添加如下逻辑
services.AddAuthentication(x=> { x.DefaultAuthenticateScheme=JwtBearerDefaults.AuthenticationScheme; x.DefaultChallengeScheme=JwtBearerDefaults.AuthenticationScheme; }).AddJwtBearer(x=> { x.RequireHttpsMetadata=false; x.SaveToken=true; x.TokenValidationParameters=newTokenValidationParameters { ValidateIssuerSigningKey=true, IssuerSigningKey=newSymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)), ValidIssuer=token.Issuer, ValidAudience=token.Audience, ValidateIssuer=false, ValidateAudience=false }; });
再Configure方法中启用验证
publicvoidConfigure(IApplicationBuilderapp,IWebHostEnvironmentenv) { if(env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseHttpsRedirection(); app.UseAuthentication(); app.UseRouting(); app.UseAuthorization(); app.UseEndpoints(endpoints=> { endpoints.MapControllers(); }); }
上面完成了JWT验证的功能,下面就需要增加签发token的逻辑。我们需要增加一个专门用来用户认证和签发token的控制器,命名成AuthenticationController,同时增加一个请求的DTO类
publicclassLoginRequestDTO { [Required] [JsonProperty("username")] publicstringUsername{get;set;} [Required] [JsonProperty("password")] publicstringPassword{get;set;} }
[Route("api/[controller]")] [ApiController] publicclassAuthenticationController:ControllerBase { [AllowAnonymous] [HttpPost,Route("requestToken")] publicActionResultRequestToken([FromBody]LoginRequestDTOrequest) { if(!ModelState.IsValid) { returnBadRequest("InvalidRequest"); } returnOk(); } }
目前上面的控制器只实现了基本的逻辑,下面我们要创建签发token的服务,去完成具体的业务。第一步我们先创建对应的服务接口,命名为IAuthenticateService
publicinterfaceIAuthenticateService { boolIsAuthenticated(LoginRequestDTOrequest,outstringtoken); }
接下来,实现接口
publicclassTokenAuthenticationService:IAuthenticateService { publicboolIsAuthenticated(LoginRequestDTOrequest,outstringtoken) { thrownewNotImplementedException(); } }
在Startup的ConfigureServices方法中注册服务
services.AddScoped();
在Controller中注入IAuthenticateService服务,并完善action
publicclassAuthenticationController:ControllerBase { privatereadonlyIAuthenticateService_authService; publicAuthenticationController(IAuthenticateServiceauthService) { this._authService=authService; } [AllowAnonymous] [HttpPost,Route("requestToken")] publicActionResultRequestToken([FromBody]LoginRequestDTOrequest) { if(!ModelState.IsValid) { returnBadRequest("InvalidRequest"); } stringtoken; if(_authService.IsAuthenticated(request,outtoken)) { returnOk(token); } returnBadRequest("InvalidRequest"); } }
正常情况,我们都会根据请求的用户和密码去验证用户是否合法,需要连接到数据库获取数据进行校验,我们这里为了方便,假设任何请求的用户都是合法的。
这里单独加个用户管理的服务,不在IAuthenticateService这个服务里面添加相应逻辑,主要遵循了职责单一原则。首先和上面一样,创建一个服务接口IUserService
publicinterfaceIUserService { boolIsValid(LoginRequestDTOreq); }
实现IUserService接口
publicclassUserService:IUserService { //模拟测试,默认都是人为验证有效 publicboolIsValid(LoginRequestDTOreq) { returntrue; } }
同样注册到容器中
services.AddScoped();
接下来,就要完善TokenAuthenticationService签发token的逻辑,首先要注入IUserService和TokenManagement,然后实现具体的业务逻辑,这个token的生成还是使用的Jwt的类库提供的api,具体不详细描述。
特别注意下TokenManagement的注入是已IOptions的接口类型注入的,还记得在Startpup中吗?我们是通过配置项的方式注册TokenManagement类型的。
publicclassTokenAuthenticationService:IAuthenticateService { privatereadonlyIUserService_userService; privatereadonlyTokenManagement_tokenManagement; publicTokenAuthenticationService(IUserServiceuserService,IOptionstokenManagement) { _userService=userService; _tokenManagement=tokenManagement.Value; } publicboolIsAuthenticated(LoginRequestDTOrequest,outstringtoken) { token=string.Empty; if(!_userService.IsValid(request)) returnfalse; varclaims=new[] { newClaim(ClaimTypes.Name,request.Username) }; varkey=newSymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenManagement.Secret)); varcredentials=newSigningCredentials(key,SecurityAlgorithms.HmacSha256); varjwtToken=newJwtSecurityToken(_tokenManagement.Issuer,_tokenManagement.Audience,claims,expires:DateTime.Now.AddMinutes(_tokenManagement.AccessExpiration),signingCredentials:credentials); token=newJwtSecurityTokenHandler().WriteToken(jwtToken); returntrue; } }
准备好测试试用的APi,打上Authorize特性,表明需要授权!
[ApiController] [Route("[controller]")] [Authorize] publicclassWeatherForecastController:ControllerBase { privatestaticreadonlystring[]Summaries=new[] { "Freezing","Bracing","Chilly","Cool","Mild","Warm","Balmy","Hot","Sweltering","Scorching" }; privatereadonlyILogger_logger; publicWeatherForecastController(ILogger logger) { _logger=logger; } [HttpGet] publicIEnumerable Get() { varrng=newRandom(); returnEnumerable.Range(1,5).Select(index=>newWeatherForecast { Date=DateTime.Now.AddDays(index), TemperatureC=rng.Next(-20,55), Summary=Summaries[rng.Next(Summaries.Length)] }) .ToArray(); } }
支持我们可以测试验证了,我们可以使用postman来进行http请求,先启动http服务,获取url,先测试一个访问需要授权的接口,但没有携带token信息,返回是401,表示未授权
下面我们先通过认证接口,获取token,居然报错,查询了下,发现HS256算法的秘钥长度最新为128位,转换成字符至少16字符,之前设置的秘钥是123456,所以导致异常。
System.ArgumentOutOfRangeException:IDX10603:Decryptionfailed.Keystried:'HS256'.Exceptionscaught:'128'.token:'48'(Parameter'KeySize')at
更新秘钥
"tokenManagement":{ "secret":"123456123456123456", "issuer":"webapi.cn", "audience":"WebApi", "accessExpiration":30, "refreshExpiration":60 }
重新发起请求,成功获取token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDUyMDMsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.AehD8WTAnEtklof2OJsvg0U4_o8_SjdxmwUjzAiuI-o
把token带到之前请求的api中,重新测试,成功获取数据
基于token的认证方式,让我们构建分布式/松耦合的系统更加容易。任何地方生成的token,只有拥有相同秘钥,就可以再任何地方进行签名校验。
当然要用好jwt认证方式,还有其他安全细节需要处理,比如palyload中不能存放敏感信息,使用https的加密传输方式等等,可以根据业务实际需要再进一步安全加固!
同时我们也发现使用token,就可以摆脱cookie的限制,所以JWT是移动app开发的首选!
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持毛票票。
声明:本文内容来源于网络,版权归原作者所有,内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:czq8825#qq.com(发邮件时,请将#更换为@)进行举报,并提供相关证据,一经查实,本站将立刻删除涉嫌侵权内容。