JWT With NetCore WebApi

本文轉載自查看原文 2018-09-15 20:42 2815 NetCore

1 什么是JWT?

　　JWT是一種用於雙方之間傳遞安全信息的簡潔的、URL安全的表述性聲明規范。JWT作為一個開放的標准（RFC 7519），定義了一種簡潔的，自包含的方法用於通信雙方之間以Json對象的形式安全的傳遞信息。因為數字簽名的存在，這些信息是可信的，JWT可以使用HMAC算法或者是RSA的公私秘鑰對進行簽名。簡潔(Compact): 可以通過URL，POST參數或者在HTTP header發送，因為數據量小，傳輸速度也很快自包含(Self-contained)：負載中包含了所有用戶所需要的信息，避免了多次查詢數據庫

2 JWT 的應用場景是什么？

　　身份認證在這種場景下，一旦用戶完成了登陸，在接下來的每個請求中包含JWT，可以用來驗證用戶身份以及對路由，服務和資源的訪問權限進行驗證。由於它的開銷非常小，可以輕松的在不同域名的系統中傳遞，所有目前在單點登錄（SSO）中比較廣泛的使用了該技術。信息交換在通信的雙方之間使用JWT對數據進行編碼是一種非常安全的方式，由於它的信息是經過簽名的，可以確保發送者發送的信息是沒有經過偽造的

3 JWT的結構

JWT包含了使用.分隔的三部分： Header 頭部 Payload 負載 Signature 簽名

其結構看起來是這樣的Header.Payload.Signature

Header

在header中通常包含了兩部分：token類型和采用的加密算法。{ "alg": "HS256", "typ": "JWT"} 接下來對這部分內容使用 Base64Url 編碼組成了JWT結構的第一部分。

Payload

　　Token的第二部分是負載，它包含了claim， Claim是一些實體（通常指的用戶）的狀態和額外的元數據，有三種類型的claim：reserved, public 和 private.Reserved claims: 這些claim是JWT預先定義的，在JWT中並不會強制使用它們，而是推薦使用，常用的有 iss（簽發者）,exp（過期時間戳）, sub（面向的用戶）, aud（接收方）, iat（簽發時間）。 Public claims：根據需要定義自己的字段，注意應該避免沖突 Private claims：這些是自定義的字段，可以用來在雙方之間交換信息負載使用的例子：{ "sub": "1234567890", "name": "John Doe", "admin": true} 上述的負載需要經過Base64Url編碼后作為JWT結構的第二部分。

Signature

　　創建簽名需要使用編碼后的header和payload以及一個秘鑰，使用header中指定簽名算法進行簽名。例如如果希望使用HMAC SHA256算法，那么簽名應該使用下列方式創建： HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) 簽名用於驗證消息的發送者以及消息是沒有經過篡改的。完整的JWT 完整的JWT格式的輸出是以. 分隔的三段Base64編碼，與SAML等基於XML的標准相比，JWT在HTTP和HTML環境中更容易傳遞。下列的JWT展示了一個完整的JWT格式，它拼接了之前的Header， Payload以及秘鑰簽名：

4 如何使用JWT？

　　在身份鑒定的實現中，傳統方法是在服務端存儲一個session，給客戶端返回一個cookie，而使用JWT之后，當用戶使用它的認證信息登陸系統之后，會返回給用戶一個JWT，用戶只需要本地保存該token（通常使用local storage，也可以使用cookie）即可。當用戶希望訪問一個受保護的路由或者資源的時候，通常應該在Authorization頭部使用Bearer模式添加JWT，其內容看起來是下面這樣：Authorization: Bearer <token>

因為用戶的狀態在服務端的內存中是不存儲的，所以這是一種無狀態的認證機制。服務端的保護路由將會檢查請求頭Authorization中的JWT信息，如果合法，則允許用戶的行為。由於JWT是自包含的，因此減少了需要查詢數據庫的需要。 JWT的這些特性使得我們可以完全依賴其無狀態的特性提供數據API服務，甚至是創建一個下載流服務。因為JWT並不使用Cookie的，所以你可以使用任何域名提供你的API服務而不需要擔心跨域資源共享問題（CORS）。下面的序列圖展示了該過程：

5 為什么要使用JWT？

　　相比XML格式，JSON更加簡潔，編碼之后更小，這使得JWT比SAML更加簡潔，更加適合在HTML和HTTP環境中傳遞。在安全性方面，SWT只能夠使用HMAC算法和共享的對稱秘鑰進行簽名，而JWT和SAML token則可以使用X.509認證的公私秘鑰對進行簽名。與簡單的JSON相比，XML和XML數字簽名會引入復雜的安全漏洞。因為JSON可以直接映射為對象，在大多數編程語言中都提供了JSON解析器，而XML則沒有這么自然的文檔-對象映射關系，這就使得使用JWT比SAML更方便

6 在NetCore WebApi中怎么用？

WebAPI使用NetCore2.1創建,無身份認證信息

Startup.cs中的Configure方法中配置使用Authentication

1 app.UseAuthentication();

接下來我們需要新建一個文件夾Models，在文件夾下面新建一個類JwtSettings.cs

 1     public class JwtSettings
 2     {
 3         //token是誰頒發的
 4         public string Issuer { get; set; }
 5         //token可以給哪些客戶端使用
 6         public string Audience { get; set; }
 7         //加密的key
 8         public string SecretKey{get;set;}
 9 
10     }

然后我們需要在appsettings.json中配置jwt參數的值 【注意】 SecretKey必須大於16個,是大於，不是大於等於

 1 {
 2   "Logging": {
 3     "IncludeScopes": false,
 4     "Debug": {
 5       "LogLevel": {
 6         "Default": "Warning"
 7       }
 8     },
 9     "Console": {
10       "LogLevel": {
11         "Default": "Warning"
12       }
13     }
14   },
15   
16   "JwtSettings":{
17     "Issuer":"http://localhost:44319",
18     "Audience":"http://localhost:44319",
19     "SecretKey":"Hello-key-----ztb"
20   }
21 }

這時候我們重新回到Startup.cs的ConfigureServices方法下，將appsettings.json中的文件讀取到JwtSettings中，進行Bind，然后設置jwt參數

 1 public void ConfigureServices(IServiceCollection services)
 2         {
 3             //將appsettings.json中的JwtSettings部分文件讀取到JwtSettings中，這是給其他地方用的
 4             services.Configure<JwtSettings>(Configuration.GetSection("JwtSettings"));
 5 
 6             //由於初始化的時候我們就需要用，所以使用Bind的方式讀取配置
 7             //將配置綁定到JwtSettings實例中
 8             var jwtSettings=new JwtSettings();
 9             Configuration.Bind("JwtSettings",jwtSettings);
10 
11             services.AddAuthentication(options=>{
12                 //認證middleware配置
13                 options.DefaultAuthenticateScheme=JwtBearerDefaults.AuthenticationScheme;
14                 options.DefaultChallengeScheme=JwtBearerDefaults.AuthenticationScheme;
15             })
16             .AddJwtBearer(o=>{
17                 //主要是jwt  token參數設置
18                 o.TokenValidationParameters=new Microsoft.IdentityModel.Tokens.TokenValidationParameters{
19 　　　　　　　　　　　　//Token頒發機構
20                     ValidIssuer =jwtSettings.Issuer,
21 　　　　　　　　　　　　//頒發給誰
22                     ValidAudience =jwtSettings.Audience,
23                     //這里的key要進行加密，需要引用Microsoft.IdentityModel.Tokens
24                     IssuerSigningKey=new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings.SecretKey))
25 　　　　　　　　　　　　//ValidateIssuerSigningKey=true,
26 　　　　　　　　　　　　////是否驗證Token有效期，使用當前時間與Token的Claims中的NotBefore和Expires對比
27 　　　　　　　　　　　　//ValidateLifetime=true,
28 　　　　　　　　　　　　////允許的服務器時間偏移量
29 　　　　　　　　　　　　//ClockSkew=TimeSpan.Zero
30 
31                 };
32             });
33 
34 
35             services.AddMvc();
36         }

如果我們需要安裝nuget包的話，只要在【查看】-》【命令面板】中輸入NuGet Package Manager，即可進入package安裝，輸入Microsoft.AspNetCore.Authentication.JwtBearer即可進行安裝

首先我們新建一個ViewModel文件夾，並在ViewModel文件夾下面新建LoginViewModel.cs

 1 using System.ComponentModel.DataAnnotations;
 2 
 3 namespace JwtAuthSample
 4 {
 5     public class LoginViewModel
 6     {
 7         //用戶名
 8         [Required]
 9         public string User { get; set; }
10         //密碼
11         [Required]
12         public string Password { get; set; }
13 
14     }
15 }

接下來在Controllers文件夾下新建控制器AuthorizeController.cs，完整代碼如下

 1 using System;
 2 using System.Collections.Generic;
 3 using System.Linq;
 4 using System.Threading.Tasks;
 5 using Microsoft.AspNetCore.Mvc;
 6 
 7 //引用命名空間
 8 using System.Security.Claims;
 9 using Microsoft.IdentityModel.Tokens;
10 using Microsoft.Extensions.Options;
11 using System.Text;
12 using System.IdentityModel.Tokens.Jwt;
13 
14 namespace JwtAuthSample.Controllers
15 {
16     [Route("api/[controller]")]
17     public class AuthorizeController : Controller
18     {
19         private JwtSettings _jwtSettings;
20 
21         public AuthorizeController(IOptions<JwtSettings> _jwtSettingsAccesser)
22         {
23             _jwtSettings=_jwtSettingsAccesser.Value;
24         }
25 
26         [HttpPost]
27         public IActionResult Token([FromBody]LoginViewModel viewModel)
28         {
29             if(ModelState.IsValid)//判斷是否合法
30             {
31                 if(!(viewModel.User=="ztb"&&viewModel.Password=="123456"))//判斷賬號密碼是否正確
32                 {
33                     return BadRequest();
34                 }
35 
36 
37                 var claim=new Claim[]{
38                     new Claim(ClaimTypes.Name,"ztb"),
39                     new Claim(ClaimTypes.Role,"admin")
40                 };
41 
42                 //對稱秘鑰
43                 var key=new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_jwtSettings.SecretKey));
44                 //簽名證書(秘鑰，加密算法)
45                 var creds=new SigningCredentials(key,SecurityAlgorithms.HmacSha256);
46                 
47                 //生成token  [注意]需要nuget添加Microsoft.AspNetCore.Authentication.JwtBearer包，並引用System.IdentityModel.Tokens.Jwt命名空間
48                 var token=new JwtSecurityToken(_jwtSettings.Issuer,_jwtSettings.Audience,claim,DateTime.Now,DateTime.Now.AddMinutes(30),creds);
49 
50                 return Ok(new {token=new JwtSecurityTokenHandler().WriteToken(token)});
51 
52             }
53 
54             return BadRequest();
55         }
56     }
57 }

PostMan測試獲取token

這樣可以成功獲取token,下面來做權限校驗

在需要授權的api上新增 [Authorize] 標記

比如萬年values控制器

我們分別使用攜帶token和不攜帶token訪問values接口

1 攜帶token訪問,返回了想要的數據

2 未攜帶token,返回401

Demo地址：https://gitee.com/shaolinsaodiseng/JWTDemo.git

免責聲明！

本站轉載的文章為個人學習借鑒使用，本站對版權不負任何法律責任。如果侵犯了您的隱私權益，請聯系本站郵箱yoyou2525@163.com刪除。

猜您在找 .NetCore WebApi——基於JWT的簡單身份認證與授權（Swagger） Asp.NetCore3.1 WebApi 使用Jwt 授權認證使用跟我一起學.NetCore之WebApi接口裸奔有風險(Jwt) NetCore+Dapper WebApi架構搭建（六）：添加JWT認證 WebApi使用JWT認證（一） netcore webapi參數【WebAPI No.1】創建簡單的 .NETCore WebApi .NetCore WebAPI初嘗試和部署IIS Asp.NetCore安全驗證之JWT .NetCore采取JWT方式進行身份認證