文章目录
-
- 0、引言
- 1、关于Authentication与Authorization
- 2、整个认证流程是怎样的?
- 3、开始JWT身份认证
-
-
- 3.1 安装JwtBearer包
- 3.2 安装Swashbuckle.AspNetCore包
- 3.3 添加身份认证相关服务到容器中
- 3.4 添加Swagger服务到容器中
- 3.5 将身份认证加入到管道中
- 3.6 将swagger加入到管道中
- 3.7 在需要授权的资源上加入Authorize
-
- 4 、测试
-
-
- 4.1 请求资源
- 4.2 调用登录获取token
- 4.3 将token添加到Header中
- 4.4 再次请求
- 4.5 切换admin账户登录
-
- 5、登录逻辑代码
0、引言
若不清楚什么是JWT的请先了解下什么是JWT。
1、关于Authentication与Authorization
我相信在aspnet core中刚接触甚至用了段时间这两个概念的时候都是一头雾水的,傻傻分不清。
认证(Authentication)和授权(Authorization)在概念上比较的相似,且又有一定的联系,因此很容易混淆。认证(Authentication)是指验证用户身份的过程,即当用户要访问受保护的资源时,将其信息(如用户名和密码)发送给服务器并由服务器验证的过程。授权(Authorization)是验证一个已通过身份认证的用户是否有权限做某件事情的过程。
有过RBAC的开发经验者来说这里可以这么通俗的来理解:认证是验证一个用户是否“合法”(一般就是检查数据库中是否有这么个用户),授权是验证这个用户是否有做事情的权限(简单理解成RBAC中的用户权限)。
2、整个认证流程是怎样的?
从图中可以看到整个认证、授权的流程,先进行身份验证 ,验证通过后将Token放回给客户端,客户端访问资源的时候请求头中添加Token信息,服务器进行验证并于授权是否能够访问该资源。
3、开始JWT身份认证
3.1 安装JwtBearer包
在.csproj项目中添加JWT包(这里添加有很多种方式,自行选择)
<PackageReference Include="Microsoft.AspNetCore.Authentication.JwtBearer" Version="3.1.3" />
3.2 安装Swashbuckle.AspNetCore包
这里便于进行测试,引入Swagger工具。
<PackageReference Include="Swashbuckle.AspNetCore" Version="5.3.1" />
3.3 添加身份认证相关服务到容器中
services.AddAuthentication(options =>
{options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(options =>
{options.TokenValidationParameters = new TokenValidationParameters{ValidateIssuer = false,ValidateAudience = false,ValidateLifetime = false,ValidateIssuerSigningKey = true,ValidIssuer = "jonny",ValidAudience = "jonny",IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secretsecretsecret"))};
});
说明
| 配置项 | 类型 | 说明 |
|---|---|---|
| ValidateIssuerSigningKey | bool | 是否调用对签名securityToken的SecurityKey进行验证。 |
| ValidIssuer | string | 将用于检查令牌的发行者是否与此发行者相同。 |
| ValidateIssuer | bool | 是否验证发行者 |
| ValidAudience | string | 检查令牌的受众群体是否与此受众群体相同。 |
| ValidateAudience | bool | 在令牌验证期间验证受众 。 |
| ValidateLifetime | bool | 验证生命周期。 |
3.4 添加Swagger服务到容器中
services.AddSwaggerGen(options =>
{options.SwaggerDoc("openapi", new Microsoft.OpenApi.Models.OpenApiInfo{Title = "统一身份认证API",Description = "身份认证和授权详解",Version = "v1"});var scheme = new OpenApiSecurityScheme(){Scheme = JwtBearerDefaults.AuthenticationScheme,BearerFormat = "JWT",In = ParameterLocation.Header,//头名称Name = ApiKeyConstants.HeaderName,Type = SecuritySchemeType.ApiKey,Description = "Bearer Token"
};
options.AddSecurityDefinition(JwtBearerDefaults.AuthenticationScheme, scheme);
options.AddSecurityRequirement(new OpenApiSecurityRequirement(){{new OpenApiSecurityScheme{Reference = new OpenApiReference{Type = ReferenceType.SecurityScheme,Id = "Bearer"}},new string[] {}}});
});
aspnet core 3.x swagger与2.x有细微的差别,例如swagger中加入jwt和以前就有一定的差别。
swagger加入身份认证后出现了认证按钮。
3.5 将身份认证加入到管道中
//身份认证中间件(踩坑:授权中间件必须在认证中间件之前)
app.UseAuthentication();
3.x中身份认证一定要在UseRouting和UseEndpoints之间
3.6 将swagger加入到管道中
app.UseSwagger();
app.UseSwaggerUI(options =>
{options.RoutePrefix = string.Empty;//配置swagger端点options.SwaggerEndpoint("swagger/openapi/swagger.json", "openapi v1");
});
3.7 在需要授权的资源上加入Authorize
例如:
[HttpGet("role")]
[Authorize(Roles = "admin")]
public IEnumerable<Claim> GetRole()
{return HttpContext.User.FindAll(c => c.Type == ClaimTypes.Role);
}
这里默认使用
角色授权机制
4 、测试
4.1 请求资源
这时会返回401,因为没有进行身份认证
4.2 调用登录获取token
4.3 将token添加到Header中
4.4 再次请求
这时返回403,是因为使用的jonny账户登录的没有admin权限。
4.5 切换admin账户登录
重复上面的4.3、4.4步骤 。再次测试。这时就能正常访问。
5、登录逻辑代码
我这里就不做过多的解释 ,直接将相关创建JTW代码等贴出来。
public interface ICustomAuthenticationManager
{string Authenticate(string username, string password);IDictionary<string, string> Tokens { get; }
}
public class CustomAuthenticationManager : ICustomAuthenticationManager
{private readonly IDictionary<string, string> users = new Dictionary<string, string>{{ "admin", "admin" },{ "jonny", "jonny" },{ "xhl", "xhl" },{ "james", "james" }};public IDictionary<string, string> Tokens { get; } = new Dictionary<string, string>();public string Authenticate(string username, string password){var claimsIdentity = new ClaimsIdentity(new[]{new Claim(ClaimTypes.Name,username)});if (!users.Any(u => u.Key == username && u.Value == password)){return null;}if (username == "admin"){claimsIdentity.AddClaims(new[]{new Claim( ClaimTypes.Email, "xhl.jonny@gmail.com"),new Claim( "ManageId", "admin"),new Claim(ClaimTypes.Role,"admin")});}var handler = new JwtSecurityTokenHandler();var tokenDescriptor = new SecurityTokenDescriptor{Subject = claimsIdentity,Expires = DateTime.Now.AddMinutes(3),SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secretsecretsecret")), SecurityAlgorithms.HmacSha256),};var securityToken = handler.CreateToken(tokenDescriptor);var token = handler.WriteToken(securityToken);Tokens.Add(token, username);return token;}
}
上面使用内存数据进行逻辑验证 ,实际中需要使用数据库查询验证等。
今天的JWT身份认证就介绍完了 ,下一篇文章将介绍授权。角色授权、身份授权(Claim)、自定义策略授权。
---------------------
作者:Jonny Lin
来源:CSDN
原文:https://blog.csdn.net/xhl_james/article/details/105343253
版权声明:本文为作者原创文章,转载请附上博文链接!
内容解析By:CSDN,CNBLOG博客文章一键转载插件
![《ASP.NET Core 6框架揭秘》实例演示[10]:Options基本编程模式](https://img-blog.csdnimg.cn/img_convert/e7b25d6c52c26954be7131ff97b853cc.png)
