碼上快樂

相關內容    簡體    繁體

ASP.NET Core的JWT的實現(自定義策略形式驗證).md

本文轉載自   查看原文   2019-03-19 11:58   1482    JWT/ ASP.NET/ Asp.Net Core/ 自定義策略/ JsonWebToken

既然選擇了遠方,便只顧風雨兼程 __ HANS許

在上篇文章,我們講了JWT在ASP.NET Core的實現,基於中間件來實現。這種方式有個缺點,就是所有的URL,要嘛需要驗證,要嘛不需要驗證,沒有辦法各取所需,因為我們某個API與另一個API的驗證方式不一樣。這就引導出“基於自定義策略形式下的驗證了”。

ASP.NET Core 的Authorization實現

我們使用Core自帶的Authorization(認證與授權)來實現。大家可以先看下微軟官方的策略授權

  1. 微軟官方例子:
    1.1 定義策略

    1. internal class MinimumAgeAuthorizeAttribute : AuthorizeAttribute 
    3. const string POLICY_PREFIX = "MinimumAge"
    4. public MinimumAgeAuthorizeAttribute(int age) => Age = age; 
    5. // Get or set the Age property by manipulating the underlying Policy property 
    6. public int Age 
    8. get 
    10. if (int.TryParse(Policy.Substring(POLICY_PREFIX.Length), out var age)) 
    12. return age; 
    14. return default(int); 
    16. set 
    18. Policy = $"{POLICY_PREFIX}{value.ToString()}"

    1.2 使用策略

    1. [MinimumAgeAuthorize(10)] 
    2. public IActionResult RequiresMinimumAge10() 

    這樣在執行RequiresMinimumAge10會先執行MinimumAgeAuthorize策略,很像MVC的Attribute特性,
    但內部又不像,在這邊就不多做解釋了,微軟的Core官方文檔講的很清楚。大家去看下就清楚了。

  2. JWT的自定義策略形式的實現
    2.1 了解IAuthorizationRequirement
    IAuthorizationRequirement表示授權要求,用戶可以繼承這個接口,實現自己認證與授權的要求,比如上面的片段代碼,它就繼承該接口,並有個字段Age,也就是這個策略有年齡的要求,這個要求可以帶到我們后面驗證的方法里面。我們往下看。

    2.2 繼承IAuthorizationRequirement
    所以我們實現了JwtAuthorizeBaseRequiremente該接口,並繼承IAuthorizationRequirement,可以看到我們的要求是一個叫validatePayLoad的委托函數,委托函數的入參是字典,JWT,字典便是上篇文章說的JWT的負載部分了。而返回參數是bool,便代表我們自定義的策略驗證JWT是否成功。IJwtAuthorizRequiremente繼承了IAuthorizationRequirement

    1. public class JwtAuthorizeBaseRequiremente : IJwtAuthorizRequiremente 
    3. protected internal Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad = (a, b) => 
    5. return true
    6. }; 
    7.  
    8. public virtual IJwtAuthorizRequiremente SetValidateFunc(Func<Dictionary<string, string>, JsonWebTokenSetting, bool> func) 
    9.  
    11. this.validatePayLoad = func ?? this.validatePayLoad; 
    12. return this

    2.3 了解AuthorizationHandler
    AuthorizationHandler為特定需求類型調用的授權處理程序的基類。也就是說我們處理策略是會到這個基類來處理,並且判斷是否認證成功,也就是授權成功。

    2.4 繼承AuthorizationHandler
    JwtAuthorizeHandler繼承AuthorizationHandler並實現泛型JwtAuthorizeBaseRequiremente的定義,這樣子我們的自定義的策略委托驗證函數就會傳遞到這個處理類。我們需要重寫HandleRequirementAsync來自定已處理。可以看到,最終我們還是調用上篇文章所講的驗證函數_jsonWebTokenValidate.Validate,大家不清楚可以去看上篇文章。而requirement.validatePayLoad便是我們稍后再外面自定義的驗證函數了。

    1. public class JwtAuthorizeHandler : AuthorizationHandler<JwtAuthorizeBaseRequiremente
    3. private readonly JsonWebTokenSetting _setting; 
    4. private readonly IJsonWebTokenValidate _jsonWebTokenValidate; 
    5.  
    6. public JwtAuthorizeHandler(IOptions<JsonWebTokenSetting> setting, IJsonWebTokenValidate jsonWebTokenValidate) 
    8. this._setting = setting.Value; 
    9. this._jsonWebTokenValidate = jsonWebTokenValidate; 
    11.  
    12. /// <summary> 
    13. /// 驗證JWT 
    14. /// </summary> 
    15. /// <param name="context"></param> 
    16. /// <param name="requirement"></param> 
    17. /// <returns></returns> 
    18. protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, JwtAuthorizeBaseRequiremente requirement) 
    20. var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext; 
    21.  
    22. var result = httpContext.Request.Headers.TryGetValue("Authorization", out StringValues authStr); 
    23. if (!result || string.IsNullOrEmpty(authStr.ToString())) 
    25. throw new UnauthorizedAccessException("未授權,請傳遞Header頭的Authorization參數。"); 
    27. result = result && _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), _setting, requirement.validatePayLoad); 
    28. if (!result) 
    30. throw new UnauthorizedAccessException("驗證失敗,請查看傳遞的參數是否正確或是否有權限訪問該地址。"); 
    32. context.Succeed(requirement); 
    33. return Task.CompletedTask; 

    2.5 怎么使用呢?

    • 我們需要在Startup.cs文件進行注冊服務。其中CommonAuthorize繼承JwtAuthorizeBaseRequiremente,並將自定義的策略方法,傳遞進去。其中common是策略名稱。可以多個定義策略

      1. public void ConfigureServices(IServiceCollection services) 
      3. services.AddJwt(Configuration); 
      4. services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2); 
      5. services.AddAuthorization(option => 
      7. #region 自定義驗證策略 可以一直自定義策略 
      8. option.AddPolicy("common", policy => policy.Requirements.Add(new CommonAuthorize(). 
      9. SetValidateFunc((playLoad, sertting) => 
      11. //每個策略自定義驗證函數,playLoad為帶過來的參數字典,setting為失效時間與秘鑰 
      12. return true
      13. }))); 
      14. #endregion 自定義驗證策略 
      15. }).AddAuthentication(option => 
      17. option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme; 
      18. }); 
      19. }  

    • 接着我們在想要的Controller或者Action的頭部使用[Authorize(Policy = "common")],這樣每次進到相對應的Controller或者Action,會先進行策略驗證,而我們這邊驗證的便是JWT了。

總結一下,我們在這篇文章是基於上篇文章的,所以JWT的生成與驗證我們就不講了。兩篇文章講了JWT的驗證,兩種方式有好有壞,大家可以根據自己的模式進行選擇。

1.使用管道的方式,感覺方便點,清晰點
2. 使用自定義策略的方式,效率稍微高一點,畢竟不是所有的請求都會進行是否可以匿名訪問運算和建立管道的消耗,只有加入Authorize屬性的Controller和Action的才會進入

最后附上源碼,或者直接到我的GitHub上看看。后面要是有時間,可以講下IdentityServer4的OAuth2的授權與認證。


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 ASP.NET Core 使用 JWT 自定義角色/策略授權需要實現的接口 asp.net core 2.0 web api基於JWT自定義策略授權 ASP.NET Core-自定義Jwt token驗證(ISecurityTokenValidator) Asp.Net Core--自定義基於策略的授權 gRPC asp.net core自定義策略認證 asp.net core 3.1 自定義中間件實現jwt token認證 ASP.NET Core - 實現Http自定義請求頭策略 ASP.NET Core 下自定義權限驗證 在ASP.NET Core中實現自定義驗證特性(Custom Validation Attribute) ASP.NET Core - 實現自定義WebApi模型驗證 ModelState
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM