ASP.Net Core3.0中使用JWT认证的实现

2023-08-03 04:49:03 71

JWT认证简单介绍

关于Jwt的介绍网上很多，此处不在赘述，我们主要看看jwt的结构。

JWT主要由三部分组成，如下：

HEADER.PAYLOAD.SIGNATURE

HEADER包含token的元数据，主要是加密算法，和签名的类型，如下面的信息，说明了

加密的对象类型是JWT，加密算法是HMACSHA-256

{"alg":"HS256","typ":"JWT"}

然后需要通过BASE64编码后存入token中

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload主要包含一些声明信息（claim），这些声明是key-value对的数据结构。

通常如用户名，角色等信息，过期日期等，因为是未加密的，所以不建议存放敏感信息。

{"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"WebApi"}

也需要通过BASE64编码后存入token中

eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9

Signaturejwt要符合jws(JsonWebSignature)的标准生成一个最终的签名。把编码后的Header和Payload信息加在一起，然后使用一个强加密算法，如HmacSHA256，进行加密。HS256(BASE64(Header).Base64(Payload)，secret)

2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

最后生成的token如下

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

开发环境

框架：asp.net3.1

IDE：VS2019

ASP.NET3.1Webapi中使用JWT认证

命令行中执行执行以下命令，创建webapix项目：

dotnetnewwebapi-nWebapi-oWebApi

特别注意的时，3.x默认是没有jwt的Microsoft.AspNetCore.Authentication.JwtBearer库的，所以需要手动添加NuGetPackage，切换到项目所在目录，执行.netcli命令

dotnetaddpackageMicrosoft.AspNetCore.Authentication.JwtBearer--version3.1.0

创建一个简单的POCO类，用来存储签发或者验证jwt时用到的信息

usingNewtonsoft.Json;
usingSystem;
usingSystem.Collections.Generic;
usingSystem.Linq;
usingSystem.Threading.Tasks;

namespaceWebapi.Models

{
publicclassTokenManagement
{
[JsonProperty("secret")]
publicstringSecret{get;set;}

[JsonProperty("issuer")]
publicstringIssuer{get;set;}

[JsonProperty("audience")]
publicstringAudience{get;set;}

[JsonProperty("accessExpiration")]
publicintAccessExpiration{get;set;}

[JsonProperty("refreshExpiration")]
publicintRefreshExpiration{get;set;}
}
}

然后在appsettings.Development.json增加jwt使用到的配置信息（如果是生成环境在appsettings.json添加即可）

"tokenManagement":{
"secret":"123456",
"issuer":"webapi.cn",
"audience":"WebApi",
"accessExpiration":30,
"refreshExpiration":60
}

然后再startup类的ConfigureServices方法中增加读取配置信息

publicvoidConfigureServices(IServiceCollectionservices)
{
services.AddControllers();
services.Configure(Configuration.GetSection("tokenManagement"));
vartoken=Configuration.GetSection("tokenManagement").Get();

}

到目前为止，我们完成了一些基础工作，下面再webapi中注入jwt的验证服务，并在中间件管道中启用authentication中间件。

startup类中要引用jwt验证服务的命名空间

usingMicrosoft.AspNetCore.Authentication.JwtBearer;
usingMicrosoft.IdentityModel.Tokens;

然后在ConfigureServices方法中添加如下逻辑

services.AddAuthentication(x=>
{
x.DefaultAuthenticateScheme=JwtBearerDefaults.AuthenticationScheme;
x.DefaultChallengeScheme=JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(x=>
{
x.RequireHttpsMetadata=false;
x.SaveToken=true;
x.TokenValidationParameters=newTokenValidationParameters
{
ValidateIssuerSigningKey=true,
IssuerSigningKey=newSymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)),
ValidIssuer=token.Issuer,
ValidAudience=token.Audience,
ValidateIssuer=false,
ValidateAudience=false
};
});

再Configure方法中启用验证

publicvoidConfigure(IApplicationBuilderapp,IWebHostEnvironmentenv)
{
if(env.IsDevelopment())
{
app.UseDeveloperExceptionPage();
}

app.UseHttpsRedirection();

app.UseAuthentication();
app.UseRouting();

app.UseAuthorization();

app.UseEndpoints(endpoints=>
{
endpoints.MapControllers();
});
}

上面完成了JWT验证的功能，下面就需要增加签发token的逻辑。我们需要增加一个专门用来用户认证和签发token的控制器，命名成AuthenticationController，同时增加一个请求的DTO类

publicclassLoginRequestDTO
{
[Required]
[JsonProperty("username")]
publicstringUsername{get;set;}


[Required]
[JsonProperty("password")]
publicstringPassword{get;set;}
}

[Route("api/[controller]")]
[ApiController]
publicclassAuthenticationController:ControllerBase
{
[AllowAnonymous]
[HttpPost,Route("requestToken")]
publicActionResultRequestToken([FromBody]LoginRequestDTOrequest)
{
if(!ModelState.IsValid)
{
returnBadRequest("InvalidRequest");
}

returnOk();

}
}

目前上面的控制器只实现了基本的逻辑，下面我们要创建签发token的服务，去完成具体的业务。第一步我们先创建对应的服务接口，命名为IAuthenticateService

publicinterfaceIAuthenticateService
{
boolIsAuthenticated(LoginRequestDTOrequest,outstringtoken);
}

接下来，实现接口

publicclassTokenAuthenticationService:IAuthenticateService
{
publicboolIsAuthenticated(LoginRequestDTOrequest,outstringtoken)
{
thrownewNotImplementedException();
}
}

在Startup的ConfigureServices方法中注册服务

services.AddScoped();

在Controller中注入IAuthenticateService服务，并完善action

publicclassAuthenticationController:ControllerBase
{
privatereadonlyIAuthenticateService_authService;
publicAuthenticationController(IAuthenticateServiceauthService)
{
this._authService=authService;
}
[AllowAnonymous]
[HttpPost,Route("requestToken")]
publicActionResultRequestToken([FromBody]LoginRequestDTOrequest)
{
if(!ModelState.IsValid)
{
returnBadRequest("InvalidRequest");
}

stringtoken;
if(_authService.IsAuthenticated(request,outtoken))
{
returnOk(token);
}

returnBadRequest("InvalidRequest");

}
}

正常情况，我们都会根据请求的用户和密码去验证用户是否合法，需要连接到数据库获取数据进行校验，我们这里为了方便，假设任何请求的用户都是合法的。

这里单独加个用户管理的服务，不在IAuthenticateService这个服务里面添加相应逻辑，主要遵循了职责单一原则。首先和上面一样，创建一个服务接口IUserService

publicinterfaceIUserService
{
boolIsValid(LoginRequestDTOreq);
}

实现IUserService接口

publicclassUserService:IUserService
{
//模拟测试，默认都是人为验证有效
publicboolIsValid(LoginRequestDTOreq)
{
returntrue;
}
}

同样注册到容器中

services.AddScoped();

接下来，就要完善TokenAuthenticationService签发token的逻辑，首先要注入IUserService和TokenManagement，然后实现具体的业务逻辑，这个token的生成还是使用的Jwt的类库提供的api，具体不详细描述。

特别注意下TokenManagement的注入是已IOptions的接口类型注入的，还记得在Startpup中吗？我们是通过配置项的方式注册TokenManagement类型的。

publicclassTokenAuthenticationService:IAuthenticateService
{
privatereadonlyIUserService_userService;
privatereadonlyTokenManagement_tokenManagement;
publicTokenAuthenticationService(IUserServiceuserService,IOptionstokenManagement)
{
_userService=userService;
_tokenManagement=tokenManagement.Value;
}
publicboolIsAuthenticated(LoginRequestDTOrequest,outstringtoken)
{
token=string.Empty;
if(!_userService.IsValid(request))
returnfalse;
varclaims=new[]
{
newClaim(ClaimTypes.Name,request.Username)
};
varkey=newSymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenManagement.Secret));
varcredentials=newSigningCredentials(key,SecurityAlgorithms.HmacSha256);
varjwtToken=newJwtSecurityToken(_tokenManagement.Issuer,_tokenManagement.Audience,claims,expires:DateTime.Now.AddMinutes(_tokenManagement.AccessExpiration),signingCredentials:credentials);

token=newJwtSecurityTokenHandler().WriteToken(jwtToken);

returntrue;

}
}

准备好测试试用的APi，打上Authorize特性，表明需要授权！

[ApiController]
[Route("[controller]")]
[Authorize]
publicclassWeatherForecastController:ControllerBase
{
privatestaticreadonlystring[]Summaries=new[]
{
"Freezing","Bracing","Chilly","Cool","Mild","Warm","Balmy","Hot","Sweltering","Scorching"
};

privatereadonlyILogger_logger;

publicWeatherForecastController(ILoggerlogger)
{
_logger=logger;
}

[HttpGet]
publicIEnumerableGet()
{
varrng=newRandom();
returnEnumerable.Range(1,5).Select(index=>newWeatherForecast
{
Date=DateTime.Now.AddDays(index),
TemperatureC=rng.Next(-20,55),
Summary=Summaries[rng.Next(Summaries.Length)]
})
.ToArray();
}
}

支持我们可以测试验证了，我们可以使用postman来进行http请求，先启动http服务，获取url，先测试一个访问需要授权的接口，但没有携带token信息，返回是401，表示未授权

下面我们先通过认证接口，获取token，居然报错，查询了下，发现HS256算法的秘钥长度最新为128位，转换成字符至少16字符，之前设置的秘钥是123456，所以导致异常。

System.ArgumentOutOfRangeException:IDX10603:Decryptionfailed.Keystried:'HS256'.Exceptionscaught:'128'.token:'48'(Parameter'KeySize')at

更新秘钥

"tokenManagement":{
"secret":"123456123456123456",
"issuer":"webapi.cn",
"audience":"WebApi",
"accessExpiration":30,
"refreshExpiration":60
}

重新发起请求，成功获取token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDUyMDMsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.AehD8WTAnEtklof2OJsvg0U4_o8_SjdxmwUjzAiuI-o

把token带到之前请求的api中，重新测试，成功获取数据

总结

基于token的认证方式，让我们构建分布式/松耦合的系统更加容易。任何地方生成的token，只有拥有相同秘钥，就可以再任何地方进行签名校验。

当然要用好jwt认证方式，还有其他安全细节需要处理，比如palyload中不能存放敏感信息，使用https的加密传输方式等等，可以根据业务实际需要再进一步安全加固！

同时我们也发现使用token，就可以摆脱cookie的限制，所以JWT是移动app开发的首选！

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持毛票票。

声明：本文内容来源于网络，版权归原作者所有，内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至：czq8825#qq.com（发邮件时，请将#更换为@）进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。

ASP.Net Core3.0中使用JWT认证的实现

热门推荐

随机推荐