系统城装机大师 - 固镇县祥瑞电脑科技销售部宣传站!

当前位置:首页 > 网络编程 > ASP.NET > 详细页面

ASP.Net Core3.0中使用JWT认证的实现

时间:2020-02-03来源:系统城作者:电脑系统城

JWT认证简单介绍

关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构。

JWT主要由三部分组成,如下:


 
  1. HEADER.PAYLOAD.SIGNATURE

HEADER 包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了

加密的对象类型是JWT,加密算法是HMAC SHA-256


 
  1. {"alg":"HS256","typ":"JWT"}

然后需要通过BASE64编码后存入token中


 
  1. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload 主要包含一些声明信息(claim),这些声明是key-value对的数据结构。

通常如用户名,角色等信息,过期日期等,因为是未加密的,所以不建议存放敏感信息。


 
  1. {"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/name":"admin","exp":1578645536,"iss":"webapi.cn","aud":"WebApi"}

也需要通过BASE64编码后存入token中


 
  1. eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9

Signature jwt要符合jws(Json Web Signature)的标准生成一个最终的签名。把编码后的Header和Payload信息加在一起,然后使用一个强加密算法,如 HmacSHA256,进行加密。HS256(BASE64(Header).Base64(Payload),secret)


 
  1. 2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

最后生成的token如下


 
  1. eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDU1MzYsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.2_akEH40LR2QWekgjm8Tt3lesSbKtDethmJMo_3jpF4

开发环境

框架:asp.net 3.1

IDE:VS2019

ASP.NET 3.1 Webapi中使用JWT认证

命令行中执行执行以下命令,创建webapix项目:


 
  1. dotnet new webapi -n Webapi -o WebApi

特别注意的时,3.x默认是没有jwt的Microsoft.AspNetCore.Authentication.JwtBearer库的,所以需要手动添加NuGet Package,切换到项目所在目录,执行 .net cli命令


 
  1. dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0

创建一个简单的POCO类,用来存储签发或者验证jwt时用到的信息


 
  1. using Newtonsoft.Json;
  2. using System;
  3. using System.Collections.Generic;
  4. using System.Linq;
  5. using System.Threading.Tasks;
  6.  
  7. namespace Webapi.Models
  8.  
  9. {
  10. public class TokenManagement
  11. {
  12. [JsonProperty("secret")]
  13. public string Secret { get; set; }
  14.  
  15. [JsonProperty("issuer")]
  16. public string Issuer { get; set; }
  17.  
  18. [JsonProperty("audience")]
  19. public string Audience { get; set; }
  20.  
  21. [JsonProperty("accessExpiration")]
  22. public int AccessExpiration { get; set; }
  23.  
  24. [JsonProperty("refreshExpiration")]
  25. public int RefreshExpiration { get; set; }
  26. }
  27. }

然后在 appsettings.Development.json 增加jwt使用到的配置信息(如果是生成环境在 appsettings.json 添加即可)


 
  1. "tokenManagement": {
  2. "secret": "123456",
  3. "issuer": "webapi.cn",
  4. "audience": "WebApi",
  5. "accessExpiration": 30,
  6. "refreshExpiration": 60
  7. }

然后再startup类的ConfigureServices方法中增加读取配置信息


 
  1. public void ConfigureServices(IServiceCollection services)
  2. {
  3. services.AddControllers();
  4. services.Configure<TokenManagement>(Configuration.GetSection("tokenManagement"));
  5. var token = Configuration.GetSection("tokenManagement").Get<TokenManagement>();
  6.  
  7. }

到目前为止,我们完成了一些基础工作,下面再webapi中注入jwt的验证服务,并在中间件管道中启用authentication中间件。

startup类中要引用jwt验证服务的命名空间


 
  1. using Microsoft.AspNetCore.Authentication.JwtBearer;
  2. using Microsoft.IdentityModel.Tokens;

然后在 ConfigureServices 方法中添加如下逻辑


 
  1. services.AddAuthentication(x =>
  2. {
  3. x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
  4. x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
  5. }).AddJwtBearer(x =>
  6. {
  7. x.RequireHttpsMetadata = false;
  8. x.SaveToken = true;
  9. x.TokenValidationParameters = new TokenValidationParameters
  10. {
  11. ValidateIssuerSigningKey = true,
  12. IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(token.Secret)),
  13. ValidIssuer = token.Issuer,
  14. ValidAudience = token.Audience,
  15. ValidateIssuer = false,
  16. ValidateAudience = false
  17. };
  18. });

再 Configure 方法中启用验证


 
  1. public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
  2. {
  3. if (env.IsDevelopment())
  4. {
  5. app.UseDeveloperExceptionPage();
  6. }
  7.  
  8. app.UseHttpsRedirection();
  9.  
  10. app.UseAuthentication();
  11. app.UseRouting();
  12.  
  13. app.UseAuthorization();
  14.  
  15. app.UseEndpoints(endpoints =>
  16. {
  17. endpoints.MapControllers();
  18. });
  19. }

上面完成了JWT验证的功能,下面就需要增加签发token的逻辑。我们需要增加一个专门用来用户认证和签发token的控制器,命名成 AuthenticationController ,同时增加一个请求的DTO类


 
  1. public class LoginRequestDTO
  2. {
  3. [Required]
  4. [JsonProperty("username")]
  5. public string Username { get; set; }
  6.  
  7.  
  8. [Required]
  9. [JsonProperty("password")]
  10. public string Password { get; set; }
  11. }

 
  1. [Route("api/[controller]")]
  2. [ApiController]
  3. public class AuthenticationController : ControllerBase
  4. {
  5. [AllowAnonymous]
  6. [HttpPost, Route("requestToken")]
  7. public ActionResult RequestToken([FromBody] LoginRequestDTO request)
  8. {
  9. if (!ModelState.IsValid)
  10. {
  11. return BadRequest("Invalid Request");
  12. }
  13.  
  14. return Ok();
  15.  
  16. }
  17. }

目前上面的控制器只实现了基本的逻辑,下面我们要创建签发token的服务,去完成具体的业务。第一步我们先创建对应的服务接口,命名为 IAuthenticateService


 
  1. public interface IAuthenticateService
  2. {
  3. bool IsAuthenticated(LoginRequestDTO request, out string token);
  4. }

接下来,实现接口


 
  1. public class TokenAuthenticationService : IAuthenticateService
  2. {
  3. public bool IsAuthenticated(LoginRequestDTO request, out string token)
  4. {
  5. throw new NotImplementedException();
  6. }
  7. }

在 Startup 的 ConfigureServices 方法中注册服务


 
  1. services.AddScoped<IAuthenticateService, TokenAuthenticationService>();

在Controller中注入IAuthenticateService服务,并完善action


 
  1. public class AuthenticationController : ControllerBase
  2. {
  3. private readonly IAuthenticateService _authService;
  4. public AuthenticationController(IAuthenticateService authService)
  5. {
  6. this._authService = authService;
  7. }
  8. [AllowAnonymous]
  9. [HttpPost, Route("requestToken")]
  10. public ActionResult RequestToken([FromBody] LoginRequestDTO request)
  11. {
  12. if (!ModelState.IsValid)
  13. {
  14. return BadRequest("Invalid Request");
  15. }
  16.  
  17. string token;
  18. if (_authService.IsAuthenticated(request, out token))
  19. {
  20. return Ok(token);
  21. }
  22.  
  23. return BadRequest("Invalid Request");
  24.  
  25. }
  26. }

正常情况,我们都会根据请求的用户和密码去验证用户是否合法,需要连接到数据库获取数据进行校验,我们这里为了方便,假设任何请求的用户都是合法的。

这里单独加个用户管理的服务,不在IAuthenticateService这个服务里面添加相应逻辑,主要遵循了 职责单一原则 。首先和上面一样,创建一个服务接口 IUserService


 
  1. public interface IUserService
  2. {
  3. bool IsValid(LoginRequestDTO req);
  4. }

实现 IUserService 接口


 
  1. public class UserService : IUserService
  2. {
  3. //模拟测试,默认都是人为验证有效
  4. public bool IsValid(LoginRequestDTO req)
  5. {
  6. return true;
  7. }
  8. }

同样注册到容器中


 
  1. services.AddScoped<IUserService, UserService>();

接下来,就要完善TokenAuthenticationService签发token的逻辑,首先要注入IUserService 和 TokenManagement,然后实现具体的业务逻辑,这个token的生成还是使用的Jwt的类库提供的api,具体不详细描述。

特别注意下TokenManagement的注入是已IOptions的接口类型注入的,还记得在Startpup中吗?我们是通过配置项的方式注册TokenManagement类型的。


 
  1. public class TokenAuthenticationService : IAuthenticateService
  2. {
  3. private readonly IUserService _userService;
  4. private readonly TokenManagement _tokenManagement;
  5. public TokenAuthenticationService(IUserService userService, IOptions<TokenManagement>tokenManagement)
  6. {
  7. _userService = userService;
  8. _tokenManagement = tokenManagement.Value;
  9. }
  10. public bool IsAuthenticated(LoginRequestDTO request, out string token)
  11. {
  12. token = string.Empty;
  13. if (!_userService.IsValid(request))
  14. return false;
  15. var claims = new[]
  16. {
  17. new Claim(ClaimTypes.Name,request.Username)
  18. };
  19. var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenManagement.Secret));
  20. var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
  21. var jwtToken = new JwtSecurityToken(_tokenManagement.Issuer,_tokenManagement.Audience, claims, expires:DateTime.Now.AddMinutes(_tokenManagement.AccessExpiration), signingCredentials:credentials);
  22.  
  23. token = new JwtSecurityTokenHandler().WriteToken(jwtToken);
  24.  
  25. return true;
  26.  
  27. }
  28. }

准备好测试试用的APi,打上Authorize特性,表明需要授权!


 
  1. [ApiController]
  2. [Route("[controller]")]
  3. [Authorize]
  4. public class WeatherForecastController : ControllerBase
  5. {
  6. private static readonly string[] Summaries = new[]
  7. {
  8. "Freezing", "Bracing", "Chilly", "Cool", "Mild", "Warm", "Balmy", "Hot", "Sweltering", "Scorching"
  9. };
  10.  
  11. private readonly ILogger<WeatherForecastController> _logger;
  12.  
  13. public WeatherForecastController(ILogger<WeatherForecastController> logger)
  14. {
  15. _logger = logger;
  16. }
  17.  
  18. [HttpGet]
  19. public IEnumerable<WeatherForecast> Get()
  20. {
  21. var rng = new Random();
  22. return Enumerable.Range(1, 5).Select(index => new WeatherForecast
  23. {
  24. Date = DateTime.Now.AddDays(index),
  25. TemperatureC = rng.Next(-20, 55),
  26. Summary = Summaries[rng.Next(Summaries.Length)]
  27. })
  28. .ToArray();
  29. }
  30. }

支持我们可以测试验证了,我们可以使用postman来进行http请求,先启动http服务,获取url,先测试一个访问需要授权的接口,但没有携带token信息,返回是401,表示未授权

下面我们先通过认证接口,获取token,居然报错,查询了下,发现HS256算法的秘钥长度最新为128位,转换成字符至少16字符,之前设置的秘钥是123456,所以导致异常。


 
  1. System.ArgumentOutOfRangeException: IDX10603: Decryption failed. Keys tried: 'HS256'.Exceptions caught: '128'. token: '48' (Parameter 'KeySize') at

更新秘钥


 
  1. "tokenManagement": {
  2. "secret": "123456123456123456",
  3. "issuer": "webapi.cn",
  4. "audience": "WebApi",
  5. "accessExpiration": 30,
  6. "refreshExpiration": 60
  7. }

重新发起请求,成功获取token

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJleHAiOjE1Nzg2NDUyMDMsImlzcyI6IndlYmFwaS5jbiIsImF1ZCI6IldlYkFwaSJ9.AehD8WTAnEtklof2OJsvg0U4_o8_SjdxmwUjzAiuI-o

把token带到之前请求的api中,重新测试,成功获取数据

 总结

基于token的认证方式,让我们构建分布式/松耦合的系统更加容易。任何地方生成的token,只有拥有相同秘钥,就可以再任何地方进行签名校验。

当然要用好jwt认证方式,还有其他安全细节需要处理,比如palyload中不能存放敏感信息,使用https的加密传输方式等等,可以根据业务实际需要再进一步安全加固!

同时我们也发现使用token,就可以摆脱cookie的限制,所以JWT是移动app开发的首选!

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

分享到:

相关信息

系统教程栏目

栏目热门教程

人气教程排行

站长推荐

热门系统下载