中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

怎樣使用Jwt身份認證保護 Asp.Net Core Web Api

發布時間:2021-11-10 15:59:07 來源:億速云 閱讀:133 作者:柒染 欄目:大數據

怎樣使用Jwt身份認證保護 Asp.Net Core Web Api,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

網絡上有許多資源可以教你如何保護ASP.NET Core Web應用程序。我寫過一些,例如 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.

不過對于保護Asp.Net WebApi,網絡上有用的信息似乎不多。在這里我將介紹如何使用Json Web Tokens(JWT)來保護ASP.NET Core中的Web Api。我在github中有一個演示項目,你可以照著它來做。

使用token替代cookie

在一個Web應用程序中,如果你不打算使用供應外部調用(例如一個移動應用程序)的API,那么它通常使用一個cookie來表示一個已經登錄的用戶。

一般的流程是:用戶單擊登錄,進入登錄頁面,輸入有效憑證后,服務器發送給用戶瀏覽器的響應包含一個帶有加密信息的 Set-Cookie 頭。

cookie會被設置上domain 例如 blinkingcaret.com,每次瀏覽器向這個domain發送請求時,設置在這個domain上的cookie也會被帶上。

在服務器上,cookie將被解密,然后使用解密后的內容來創建用戶的 Identity

如果客戶端是一個瀏覽器,這種方式將會非常非常適合。不過當我們的客戶端是一個移動應用程序時候,那就另當別論了。

JWT

我們可以使用什么來代替cookie呢?沒錯就是token。token也代表用戶,但是當我們使用它的時候,我們不再依賴于瀏覽器的內置機制以及用它和cookie打交道。

我們必須明確地向服務器要一個token,我們自己將它存儲在某個地方,然后在每個請求發送時手動帶上它。有一些方法可以使這個盡可能簡單快捷,我會在后面討論其中的一些方法。

我將在這里討論的token格式是JWT。

JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature

一個heder的例子是

{
    “alg”: “HS265”,
    “typ”: “JWT”
}

payload包含一系列 claims,例如:

{
    "name": "Rui",
    "admin": true}

最后,通過采用“base64(header).base64(payload)”創建簽名,并使用頭部指定的算法對簽名其進行加密。例如 HMAC-SHA256。簽名部分會用到一個存儲在server上的密鑰,這個密鑰是不會發給客戶端的。

下面是一個真正的JWT的例子:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoicnVpIiwic3ViIjoidGVzdCIsIm5iZiI6MTUwMzYxNDU4NSwiZXhwIjoxNTA2MDMzNzg1LCJpc3MiOiJibGlua2luZ2NhcmV0IHN0cyIsImF1ZCI6ImJsaW5raW5nY2FyZXQgYXBwIn0.F7PFoYcQXez3zV98BFKLpyON6d_1p-6IAeihZRSv0VM

你必須注意的是,JWT中包含的信息沒有加密。為了獲得有效payload,你只需要base64解碼。你甚至可以從你的開發者工具控制臺(例如在Chrome中)這樣做。使用atob方法并將payload作為參數傳遞。你會得到解密后的JSON 。signature只能保證如果有人篡改了payload,那么signature將會失效。如果有人想成功替換有效載荷并生成有效的token,他們需要知道簽名中使用的密鑰,但是該密鑰永遠不會被發送到客戶端。

所以,當你想往payload里放一些東西的時候,你一定要知道上面這些

譯者注:就是不要把敏感信息放在payload里,比如:密碼。

在 ASP.NET Core 中使用JWT

要在ASP.NET Core中使用JWT,我們需要知道如何手動創建JWTtoken,如何驗證它們以及如何創建端點以便客戶端應用程序可以獲得它們。

如何創建JWTtoken

首先你需要安裝nuget包System.IdentityModel.Tokens.Jwt

$ dotnet add package System.IdentityModel.Tokens.Jwt

然后創建一個密鑰。我們將使用 symmetric key(譯者注:對稱密鑰),代碼如下:

var secretKey = new SymmetricSecurityKey(Endoding.UTF8.GetBytes("a secret that needs to be at least 16 characters long"));

譯者注:a secret that needs to be at least 16 characters long=>一個至少需要16個字符的密碼,在驗證簽名時還會用到。

我們的token將包含一組claims。所以讓我們創建它們:

var claims = new Claim[] {   
 new Claim(ClaimTypes.Name, "John"),
    new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com") }

我已經使用了兩種claim類型 :

  1. ClaimTypes(System.Security.Claims)

  2. JwtRegisteredClaimNames(System.IdentityModel.Tokens.Jwt)

要強調的是JwtRegisteredClaimNames包含在JWT RFC中列舉的claims中。如果你打算使用不同編程語言或者框架生成的token,那么為了兼容性,你應該盡可能的使用這個。不過,有一些聲明類型可以在ASP.NET中啟用某些功能。例如,ClaimTypes.Name 是用戶名(User.Identity.Name)的默認聲明類型。另一個例子是ClaimTypes.Role,如果你在Authorize屬性中使用Roles屬性(例如[Authorize(Roles =“Administrator”)]),這個聲明將會被檢查用來確認權限。

在創建我們想要在token中編碼的claims列表之后,我們可以創建token本身,代碼如下:

var token = new JwtSecurityToken(  
   issuer: "your app",  
   audience: "the client of your app",  
   claims: claims,  
   notBefore: DateTime.Now,  
   expires: DateTime.Now.AddDays(28),  
   signingCredentials: new SigningCredentials(key, SecurityAlgorithms.HmacSha256) );

這里有一些我之前沒有提到的概念,即發issue,audience和expiration dates。

譯者注: 發行者,受眾/聽眾,過期時間

發行者表示生成token的實體,在這個例子里它是ASP.NET Core Web應用程序。audience代表將要使用這些token的實體,例如 client。如果你依靠第三方創建token(不是現在所要用到的),這個issue和audience是重要的。驗證token時,你可以驗證issue和audience。

notBefore 和 expire 定義了 token的有效時間區間,在notBefore之后expire之前。

最后在signedCredentials中指定使用哪個安全密鑰和什么算法來創建簽名。在這個例子中我們使用了HMAC-SHA256。

如果你不關心issue和audience(在JWT規范中是可選的),你可以使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更簡單的構造函數重載。不過你必須手動將expires和notBefore聲明添加到有效內容中,例如:

var claims = new Claim[] {    new Claim(ClaimTypes.Name, "John"),    new Claims(JwtRegisteredClaimNames.Email, "john.doe@blinkingcaret.com"),    new Claim(JwtRegisteredClaimNames.Exp, $"{new DateTimeOffset(DateTime.Now.AddDays(1)).ToUnixTimeSeconds()}"),    new Claim(JwtRegisteredClaimNames.Nbf, $"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}")        
}var token = new JwtSecurityToken(new JwtHeader(new SigningCredentials(key, SecurityAlgorithms.HmacSha256)), new JwtPayload(claims));

請注意Exp(expires)和Nbf(notBefore)聲明的值是一個Unix時間的字符串。將DateTime轉換為該格式的最簡單方法是使用DateTimeOffset

在創建JwtSecurityToken的實例后,實際生成token的方法是調用JwtSecurityTokenHandler實例的WriteToken方法,并將JwtSecurityToken作為參數傳遞:

string jwtToken = new JwtSecurityTokenHandler().WriteToken(token);

創建獲取token的端點

現在我們知道如何創建我們的JWT token了,我們還需要一種方法來讓客戶端獲得它們。最簡單的方法是創建一個期望發布請求的web api controller action 接受一個Post請求,例如下面的代碼:

public class TokenController : Controller{
    [Route("/token")]
    [HttpPost]        
    public IActionResult Create(string username, string password)    {    
   if (IsValidUserAndPasswordCombination(username, password))      
         return new ObjectResult(GenerateToken(username));    
      return BadRequest();    }//...

IsValidUserAndPasswordCombination中,你可以來驗證用戶的憑據例如使用例如ASP.NET Identity(如果你需要參考資料來學習ASP.NET Identity,你可以看這篇博客 ASP.NET Identity Core From Scratch)。

GenerateToken我們剛剛在上一節中描述過。

驗證用戶,并使其登陸

現在我們有了一種發行token的方法,我們還需要一種方法來驗證它們。我們將使用ASP.NET Core的身份驗證中間件,并將其配置為可接受JWT token。
Microsoft.AspNetCore.Authentication.JwtBearer NuGet包添加到你的項目。

$ dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer

接下來打開Startup.cs并更新ConfigureServices方法:

public void ConfigureServices(IServiceCollection services){    //...
    services.AddAuthentication(options => {
        options.DefaultAuthenticateScheme = "JwtBearer";
        options.DefaultChallengeScheme = "JwtBearer";            
    })
    .AddJwtBearer("JwtBearer", jwtBearerOptions =>
    {                        
        jwtBearerOptions.TokenValidationParameters = new TokenValidationParameters
        {                            
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your secret goes here")),

            ValidateIssuer = true,
            ValidIssuer = "The name of the issuer",

            ValidateAudience = true,
            ValidAudience = "The name of the audience",

            ValidateLifetime = true, //validate the expiration and not before values in the token

            ClockSkew = TimeSpan.FromMinutes(5) //5 minute tolerance for the expiration date
        };
    });
}

如果你不熟悉ASP.NET Core的身份驗證中間件,則建議你閱讀External Login Providers in ASP.NET Core。

即使是關于如何使用Google,Facebook等進行外部登陸提供程序登錄,但是這篇博客也含有有關身份驗證中間件如何工作的詳細說明。

此外請注意,這是新的ASP.NET Core 2.0語法,其中通過ConfigureServices方法完全配置了身份驗證,但概念是相同的。

譯者注:External Login Providers in ASP.NET Core這篇博客在撰寫的時候使用的是 Asp.Net Core 1.x。

在這個例子中更重要的是 TokenValidationParameters 類。這是你必須實例化的類,它將用來配置如何驗證token。

在Startup.cs中,你需要更新Configure方法并添加身份驗證中間件:

public void Configure(IApplicationBuilder app, IHostingEnvironment env){    //...
    app.UseAuthentication(); //needs to be up in the pipeline, before MVC
    //...
    app.UseMvc(ConfigureRoutes);//..

Client 客戶端

web api客戶端可以是桌面應用程序,移動設備甚至是瀏覽器。我將要描述的例子是Web應用程序的登錄、保存token、然后使用它來執行對請求的認證。你可以在這里找到一個可以正常工作的例子。

首先,為了能夠登陸,你需要將用戶名和密碼發送POST請求到“/ token”(或者你設置的獲取token的Web Api斷點)。你可以很容易地使用jQuery來做到這一點:

$.post("/token", $.param({username: "the username", password: "the password"})).done(function(token){    //save the token in local storage
    localStorage.setItem("token", token);    //...}).fail(handleError);

如果一切順利,則可以將獲得JWT token,然后你可以將其保存在某個位置,通常在Web應用程序中,我們將它保存到 local storage 中。在移動設備上則取決于你使用的平臺,但它們都具有允許你保存token的功能(例如Android的SharedPreferences)。

對于上一節中的身份驗證中間件,接受JWT token并將其轉換為可以在控制器操作中訪問的User,則該請求必須具有 Authorization header。header的值應該是“Bearer ”,然后是JWT token,例如:

Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1l...

盡管你可以“手動”將授權標頭添加到每個請求,但通常有自動執行的方法。例如jQuery中有一個時間可以允許你在發送請求之前做一些操作,例如在這里檢查是否存在 token,如果有就加到Authentication頭里。

$.ajaxSetup({
    beforeSend: function(xhr) {       
   if (localStorage.getItem("token") !== null) {            xhr.setRequestHeader('Authorization', 'Bearer ' + localStorage.getItem("token"));                              }    } });  

如果你使用其他框架,也有類似的機制,例如Angular有HttpInterceptors。

最后,你只需要從本地存儲中刪除token即可注銷:

localStorage.removeItem("token")

需要注意的一件事情是,如果客戶端執行的操作需要用戶進行身份驗證,并且請求中沒有(有效)授權標頭,則服務器將返回帶有401狀態碼的響應。該響應還將具有WWW-Authenticate:Bearer header。如果你收到這樣的響應,則你可以通知用戶需要驗證身份。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

绥芬河市| 安化县| 龙游县| 苗栗市| 南京市| 漯河市| 紫阳县| 武乡县| 水城县| 东乡| 大兴区| 嫩江县| 黑河市| 嘉义市| 广东省| 天门市| 日照市| 翼城县| 马关县| 新乡县| 时尚| 乐业县| 安阳市| 壤塘县| 封丘县| 福贡县| 大同县| 呼玛县| 象州县| 东安县| 安西县| 讷河市| 鄄城县| 寻乌县| 石城县| 江都市| 嘉荫县| 顺义区| 彭阳县| 德昌县| 红安县|