2.8 安全

• 认证 VS 授权

• ASP .NET Core 认证授权中间件

• 认证

• JWT 认证

• 授权

认证 VS 授权

• 认证是一个识别用户是谁的过程

• 授权是一个决定用户可以干什么的过程

• 401 Unauthorized 未授权

• 403 Forbidden 禁止访问

ASP .NET Core 认证授权中间件

在接收到请求之后，认证（Authentication）和授权（Authorization） 发生在 路由（Routing） 和 终结点（Endpoint） 之间

执行过程

认证

认证是一个识别用户是谁的过程

代码示例

Web api jwt authentication

在 LighterApi 项目的 Startup.cs 中配置添加服务

ConfigureServices

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(options => options.TokenValidationParameters = new TokenValidationParameters{ValidateIssuer = true, // 是否验证 IssuerValidateAudience = true, // 是否验证 AudienceValidateLifetime = true, // 是否验证失效时间ClockSkew = TimeSpan.FromSeconds(30),ValidateIssuerSigningKey = true, // 是否验证 SecurityKeyValidAudience = "https://localhost:6001",ValidIssuer = "https://localhost:6001",IssuerSigningKey =new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret88secret666")) // 拿到 SecurityKey});

Configure

app.UseAuthentication();
app.UseAuthorization();

添加标签 [Authorize]

[Authorize]
public class ProjectController : ControllerBase

通过 postman 调用接口，返回 401 Unauthorized

需要通过登录接口获取 token，再带上 token 访问

JWT 认证

• 什么是 JWT

• 颁发 token 代码示例

什么是 JWT

JWT 是一个 token，由三部分组成，格式为 xxx.yyy.zzz

• Header（algorithm + type）

• Payload（claims）

• Singature

颁发 token 代码示例

namespace LighterApi.Controller
{[ApiController][Route("api/[controller]")]public class IdentityController : ControllerBase{[HttpPost][Route("signin")]public IActionResult SignIn(){var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("secret88secret666"));var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);var token = new JwtSecurityToken(issuer: "https://localhost:6001",audience: "https://localhost:6001",new List<Claim> {new Claim("name", "mingson")},expires: DateTime.Now.AddMinutes(120),signingCredentials: credentials);return Ok(new JwtSecurityTokenHandler().WriteToken(token));}}
}

启动程序，访问接口，获取 token

通过官网解析

带上 token 访问接口

授权

为接口添加访问需要的角色，具备角色才能访问

[Authorize(Roles = "Administrators, Mentor")]

SignIn 接口返回 token 中加入角色

new Claim(ClaimTypes.Role, "Administrators"),

启动程序，获取包含角色的 token

带上 token 访问需要角色的接口

GitHub源码链接：

https://github.com/MINGSON666/Personal-Learning-Library/tree/main/ArchitectTrainingCamp/LighterApi

课程链接

.NET云原生架构师训练营讲什么，怎么讲，讲多久

欢迎各位读者加入微信群一起学习交流，

在公众号后台回复“加群”即可~~