ASP.NET Core实现鉴权授权的几个库

System.IdentityModel.Tokens.Jwt 和 Microsoft.AspNetCore.Authentication.JwtBearer 是两个常用的库,分别用于处理 JWT(JSON Web Token)相关的任务。它们在功能上有一定重叠,但侧重点和使用场景有所不同。

1. System.IdentityModel.Tokens.Jwt

功能

System.IdentityModel.Tokens.Jwt 是一个底层的库,专门用于创建、解析和验证 JWT。它不依赖于 ASP.NET Core 的身份验证框架,适用于任何需要手动处理 JWT 逻辑的场景。这意味着你可以在任意类型的 .NET 应用程序中使用它(如控制台应用、桌面应用、甚至其他非 ASP.NET] Core 的 Web 应用)。

主要用途

  • 生成 JWT Token:可以手动创建带有自定义声明(claims)的 JWT。
  • 解析 JWT Token:可以从 JWT 中提取声明和有效负载(payload)。
  • 手动验证 JWT Token:需要开发者手动处理 Token 的验证逻辑,例如验证签名、过期时间、发行者、受众等。

使用场景

  • 当你不想使用 ASP.NET Core 的内置身份验证中间件,想要完全控制 JWT 生成、解析和验证的过程时。
  • 适合非 ASP.NET Core 项目,或复杂业务场景下需要自定义 Token 验证的场合。

优缺点

  • 优点:灵活,适用于各种场景,不局限于 Web 应用。
  • 缺点:需要手动处理 Token 验证、解析等工作,增加开发复杂度。

2. Microsoft.AspNetCore.Authentication.JwtBearer

功能

Microsoft.AspNetCore.Authentication.JwtBearer 是 ASP.NET Core 的身份验证中间件,专门用于处理基于 JWT 的身份验证。它依赖于 System.IdentityModel.Tokens.Jwt 来处理底层的 Token 解析和验证,但它集成了 ASP.NET Core 的身份验证和授权机制。

主要用途

  • 自动处理 JWT 鉴权:可以将 JWT Bearer Token 验证集成到 ASP.NET Core 的身份验证管道中。
  • 简化验证流程:自动从 HTTP 请求的 Authorization 头中获取 Token,验证其有效性(包括签名、过期时间、发行者等)。
  • 基于 [Authorize] 的授权:可以轻松通过 [Authorize] 特性保护控制器或 API,并基于 Token 中的声明(如角色)进行授权。

使用场景

  • 当你开发 ASP.NET Core Web API 或 Web 应用,并希望集成 JWT 进行身份验证时。
  • 使用 ASP.NET Core 中的内置身份验证和授权机制,以简化开发流程。
  • 需要与 ASP.NET Core 的其他身份验证方式(如 Cookie 或 OAuth)无缝集成时。

优缺点

  • 优点:简单,自动处理 JWT 验证和授权,减少手动编写验证逻辑的工作。
  • 缺点:只能用于 ASP.NET Core 项目,灵活性相对较低,不适合需要手动控制 Token 验证的场景。

对比

特点System.IdentityModel.Tokens.JwtMicrosoft.AspNetCore.Authentication.JwtBearer
适用场景适用于任何 .NET 项目,支持自定义 Token 操作主要用于 ASP.NET Core Web 应用
功能提供手动生成、解析、验证 JWT 的功能自动处理 JWT 鉴权,集成到 ASP.NET Core 身份验证管道
集成无框架依赖,手动处理 JWT 的创建和验证集成 ASP.NET Core 身份验证和授权,自动验证 JWT
控制灵活性完全控制 Token 验证、解析、生成逻辑简化开发流程,但灵活性较低,依赖框架自动处理
是否自动处理请求中的 Token需要手动获取和验证 HTTP 请求中的 Token自动处理 HTTP 请求的 Authorization 头中的 Token
角色和声明的使用需要手动提取 Token 中的声明,并手动实现授权使用 [Authorize] 特性进行声明或角色的授权验证
开发复杂度较高,需要手动处理验证逻辑较低,ASP.NET Core 框架自动处理
常用场景控制台应用、桌面应用、非 ASP.NET Core Web 项目ASP.NET Core Web API 或 MVC 项目

何时使用哪个库?

  • 如果你正在开发 ASP.NET** Core Web API**,并希望使用 JWT 作为身份验证机制,推荐使用 Microsoft.AspNetCore.Authentication.JwtBearer,因为它可以简化开发过程,集成到 ASP.NET Core 框架的身份验证机制中。
  • 如果你需要在非 Web 应用程序中使用 JWT,或者你需要手动处理 JWT 的生成、验证和解析,可以使用 System.IdentityModel.Tokens.Jwt。这个库可以为你提供更大的灵活性,适用于任何 .NET 项目类型。

组合使用

在 ASP.NET Core 中,Microsoft.AspNetCore.Authentication.JwtBearer 实际上依赖 System.IdentityModel.Tokens.Jwt 来处理底层的 JWT 解析和验证。所以在 ASP.NET Core 项目中,通常会看到两个库一起使用,JwtBearer 中间件通过 System.IdentityModel.Tokens.Jwt 来处理 Token 的生成和验证工作。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/63562.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

No.4 笔记 探索网络安全:揭开Web世界的隐秘防线

在这个数字时代,网络安全无处不在。了解Web安全的基本知识,不仅能保护我们自己,也能帮助我们在技术上更进一步。让我们一起深入探索Web安全的世界,掌握那些必备的安全知识! 1. 客户端与WEB应用安全 前端漏洞&#xff1…

LeetCode 热题 100_环形链表(25_141_简单_C++)(哈希表;快慢指针)

LeetCode 热题 100_环形链表(25_141) 题目描述:输入输出样例:题解:解题思路:思路一(哈希表):思路二(快慢指针): 代码实现代码实现&…

GTC2024 回顾 | 优阅达携手 HubSpot 亮相上海,赋能企业数字营销与全球业务增长

从初创企业入门到成长型企业拓展,再到 AI 驱动智能化运营,HubSpot 为企业的每步成长提供了全方位支持。 2024 年 11 月下旬,备受瞩目的 GTC2024 全球流量大会(上海)成功举办。本次大会汇聚了全国内多家跨境出海领域企业…

在VSCode 的终端或虚拟环境中运行git --version 无法识别,但是在电脑上已经装了git

刚刚在我的电脑上安装了 Git,装完最后有个报错弹窗,之后在 VSCode 的终端或虚拟环境中无法识别 git,上网查阅了资料,发现通常是由于以下原因引起的: 一. Git 未添加到系统的 PATH 环境变量 问题描述 安装 Git 后,系…

Text2SQL(NL2sql)对话数据库:设计、实现细节与挑战

Text2SQL(NL2sql)对话数据库:设计、实现细节与挑战 前言1.何为Text2SQL(NL2sql)2.Text2SQL结构与挑战3.金融领域实际业务场景4.注意事项5.总结 前言 随着信息技术的迅猛发展,人机交互的方式也在不断演进。…

Tongweb7049M4有关SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱的处理方案(by lqw)

前提条件:Tongweb7049M4已在http通道里配置了https(如何配置https可以参考这个帖子:东方通TongWEB添加Https证书,开启SSL) 遇到客户在配置了https后,扫描漏洞提示: 有关SSL/TLS 服务器瞬时 Dif…

Jenkins部署svn项目

下载 Jenkins 的安装和设置 加载插件太慢,更换镜像地址 http://mirrors.tuna.tsinghua.edu.cn/jenkins/updates/update-center.json 安装svn插件 安装Deploy to container Plugin 工具配置jdk和maven 后端部署 源码管理添加svn地址和认证 增加构建步骤 Invoke to…

嵌入式入门Day27

IO day3 文件IO文件描述符分配过程 相关函数 作业 文件IO 文件IO:基于系统调用的API函数接口特点:每一次调用文件IO,系统都会从用户态到内核态之间切换,效率很低作用:后期学习进程间通信,管道,…

复现论文:PromptTA: Prompt-driven Text Adapter for Source-freeDomain Generalization

github:zhanghr2001/PromptTA: Source-free Domain Generalization 论文:[2409.14163] PromptTA: Prompt-driven Text Adapter for Source-free Domain Generalization 自己标注:PromptTA: Prompt-driven Text Adapter for Source-free Domai…

在Windows上安装NVM(Node Version Manager)

NVM(Node Version Manager)是一个非常实用的工具,可以帮助开发者在同一台机器上管理多个Node.js版本。本文将介绍如何在Windows上安装NVM,并提供一些常用命令的说明。 一、下载和安装NVM 下载NVM安装程序 访问NVM for Windows的发…

记录 idea 启动 tomcat 控制台输出乱码问题解决

文章目录 问题现象解决排查过程1. **检查 idea 编码设置**2. **检查 tomcat 配置**3.检查 idea 配置文件4.在 Help 菜单栏中,修改Custom VM Options完成后保存,并重启 idea 问题现象 运行 tomcat 后,控制台输出乱码 解决排查过程 1. 检查 id…

《HTML 的变革之路:从过去到未来》

一、HTML 的发展历程 图片: HTML 从诞生至今,经历了多个版本的迭代。 (一)早期版本 HTML 3.2 在 1997 年 1 月 14 日成为 W3C 推荐标准,提供了表格、文字绕排和复杂数学元素显示等新特性,但因实现复杂且缺乏浏览器…

鸿蒙手机文件目录

最近在开发鸿蒙,想把文件从电脑上发送到鸿蒙上我的手机APP的根目录,但是试了几次目录都不对,最后终于找到了,在这里记录一下 鸿蒙手机路径: /storage/media/100/local/files/Docs 将文件从电脑发送到手机:hdc file s…

SQL注入--堆叠注入

一.基本概念 堆叠注入概念:在 SQL 中, 分号(;) 是用来表示一条 sql 语句的结束。 试想一下我们在 ; 结束一个 sql语句后继续构造下一条语句, 会不会一起执行? 因此这个想法也就造就了堆叠注入。 二.堆叠注入…

lspci简介

lspci命令用于列出系统中所有pci设备信息,其输出信息包括设备的bdf地址(总线号、设备号和功能号)、设备类型、厂商信息等。 lspci命令的基本用法: lspci:列出所有pci设备的详细信息 参数: -v:显示详细信息,包括驱动程序、总线和端口等信息 -t:以属性结构显…

【论文阅读】PRIS: Practical robust invertible network for image steganography

内容简介 论文标题:PRIS: Practical robust invertible network for image steganography 作者:Hang Yang, Yitian Xu∗, Xuhua Liu∗, Xiaodong Ma∗ 发表时间:2024年4月11日 Engineering Applications of Artificial Intelligence 关键…

Linux DNS域名解析服务器

DNS简介 DNS ( Domain Name System )是互联网上的一项服务,它作为将域名和 IP 地址相互映射的一个分 布式数据库,能够使人更方便的访问互联网。 DNS 使用的是 53 端口, 通常 DNS 是以 UDP 这个较快速的数据传输协议…

Vercel部署前端部署

Vercel 部署 今天要讲的是如何对别人向自己的开源仓库提的PR进行自动代码审核 1. 注册并登录Vercel 访问 Vercel官网点击右上角的"Sign Up"选择使用GitHub、GitLab、Bitbucket或邮箱注册完成注册流程并登录 2. 连接代码仓库 在Vercel仪表板,点击"New Proje…

LeetCode面试题04 检查平衡性

题目: 实现一个函数,检查二叉树是否平衡。在这个问题中,平衡树的定义如下:任意一个节点,其两棵子树的高度差不超过 1。 一、平衡树定义: 二叉树,一种由节点组成的树形数据结构,每…

【一文了解】C#基础-接口

目录 1. 定义 2. 接口的特点与规则 3. 接口的实现 3.1单接口实现 3.2多接口实现 4. 接口的作用和用途 1)扩展行为 2)规范行为 3)降低耦合 5. 接口与继承的比较 1)继承 2)接口 6. 接口与抽象类的比较 1)IComparable(比较器,常用) 2)IComparer(比较器)…