ASP.NET Core Web Api之JWT(一)

最近沉寂了一段,主要是上半年相当于休息和调整了一段时间,接下来我将开始陆续学习一些新的技能,比如Docker、Jenkins等,都会以生活实例从零开始讲解起,到时一并和大家分享和交流。接下来几节课的内容将会讲解JWT,关于JWT的原理解析等等大有文章,就不再叙述,这里我们讲解使用和一些注意的地方。


在.NET Core之前对于Web应用程序跟踪用户登录状态最普通的方式则是使用Cookie,当用户点击登录后将对其信息进行加密并响应写入到用户浏览器的Cookie里,当用户进行请求时,服务端将对Cookie进行解密,然后创建用户身份,整个过程都是那么顺其自然,但是这是客户端是基于浏览器的情况,如果是客户端是移动app或者桌面应用程序呢?关于JWT原理可以参考系列文章https://www.cnblogs.com/RainingNight/p/jwtbearer-authentication-in-asp-net-core.html,当然这只是其中一种限制还有其他。如果我们使用Json Web Token简称为JWT而不是使用Cookie,此时Token将代表用户,同时我们不再依赖浏览器的内置机制来处理Cookie,我们仅仅只需要请求一个Token就好。这个时候就涉及到Token认证,那么什么是Token认证呢?一言以蔽之:将令牌(我们有时称为AccessToken或者是Bearer Token)附加到HTTP请求中并对其进行身份认证的过程。Token认证被广泛应用于移动端或SPA。


JWT由三部分构成,Base64编码的Header,Base64编码的Payload,签名,三部分通过点隔开。第一部分以Base64编码的Header主要包括Token的类型和所使用的算法,例如:

640?wx_fmt=png

第二部分以Base64编码的Payload主要包含的是声明(Claims),例如,如下:

640?wx_fmt=png

第三部分则是将Key通过对应的加密算法生成签名,最终三部分以点隔开,比如如下形式:

640?wx_fmt=png

到这里此时我们应该知道:JWT包含的信息并没有加密,比如为了获取Payload,我们大可通过比如谷歌控制台中的APi(atob)对其进行解码,如下:

640?wx_fmt=png


那如我所说既然JWT包含的信息并没有加密,只是进行了Base64编码,岂不是非常不安全呢?当然不是这样,还没说完,第三部分就是签名,虽然我们对Payload(姑且翻译为有效负载),未进行加密,但是若有蓄意更换Payload,此时签名将能充分保证Token无效,除非将签名的Key不小心暴露在光天化日之下,否则必须是安全的。好了,到了这里,我们稍稍讲解了下JWT构成,接下来我们进入如何在.NET Core中使用JWT。


在.NET Core中如何使用JWT,那么我们必须得知晓如何创建JWT,接下来我们首先创建一个端口号为5000的APi,创建JWT,然后我们需要安装 System.IdentityModel.Tokens.Jwt 包,如下:

640?wx_fmt=png


我们直接给出代码来创建Token,然后一一对其进行详细解释,代码如下:

640?wx_fmt=png

如上我们在声明集合中初始化声明时,我们使用了两种方式,一个是使用ClaimTypes,一个是 JwtRegisteredClaimNames ,那么这二者有什么区别?以及我们到底应该使用哪种方式更好?或者说两种方式都使用是否有问题呢?针对ClaimTypes则来自命名空间System.Security.Claims ,而JwtRegisteredClaimNames则来自命名空间System.IdentityModel.Tokens.Jwt ,二者在获取声明方式上是不同的,ClaimTypes是沿袭微软提供获取声明的方式,比如我们要在控制器Action方法上获取上述ClaimTypes.Name的值,此时我们需要F12查看Name的常量定义值是多少,如下:

640?wx_fmt=png

接下来则是获取声明Name的值,如下:

640?wx_fmt=png

640?wx_fmt=png

那么如果我们想要获取声明JwtRegisterClaimNames.Sub的值,我们是不是应该如上同样去获取呢?我们来试试。

640?wx_fmt=png

此时我们发现为空没有获取到,这是为何呢?这是因为获取声明的方式默认是走微软定义的一套映射方式,如果我们想要走JWT映射声明,那么我们需要将默认映射方式给移除掉,在对应客户端Startup构造函数中,添加如下代码:

640?wx_fmt=png

640?wx_fmt=png

如果用过并熟悉IdentityServer4的童鞋关于这点早已明了,因为在IdentityServer4中映射声明比如用户Id即(sub)是使用的JWT,也就是说使用的JwtRegisteredClaimNames,此时我们再来获取Sub看看。

640?wx_fmt=png

所以以上对于初始化声明两种方式的探讨并没有用哪个更好,因为对于使用ClaimTypes是沿袭以往声明映射的方式,如果要出于兼容性考虑,可以结合两种声明映射方式来使用。接下来我们来看生成签名代码,生成签名是如下代码:

640?wx_fmt=png

如上我们给出签名的Key是1234567890123456,是不是给定Key的任意长度皆可呢,显然不是,关于Key的长度至少是16,否则会抛出如下错误

640?wx_fmt=png

接下来我们再来看实例化Token的参数,即如下代码:

640?wx_fmt=png

issuer代表颁发Token的Web应用程序,audience是Token的受理者,如果是依赖第三方来创建Token,这两个参数肯定必须要指定,因为第三方本就不受信任,如此设置这两个参数后,我们可验证这两个参数。要是我们完全不关心这两个参数,可直接使用JwtSecurityToken的构造函数来创建Token,如下:

640?wx_fmt=png

这里需要注意的是Exp和Nbf是基于Unix时间的字符串,所以上述通过实例化DateTimeOffset来创建基于Unix的时间。到了这里,我们已经清楚的知道如何创建Token,接下来我们来使用Token获取数据。我们新建一个端口号为5001的Web应用程序,同时安装包【Microsoft.AspNetCore.Authentication.JwtBearer】接下来在Startup中ConfigureServices添加如下代码:

640?wx_fmt=png

上述若Token依赖于第三方而创建,此时必然会配置issuer和audience,同时在我方也如上必须验证issuer和audience,上述我们也验证了签名,我们通过设置ValidateLifetime为true,说明验证过期时间而并非Token中的值,最后设置 ClockSkew 有效期为5分钟。对于设置 ClockSkew  除了如上方式外,还可如下设置默认也是5分钟。

640?wx_fmt=png如上对于认证方案我们使用的是 JwtBearerDefaults.AuthenticationScheme 即Bearer,除此之外我们也可以自定义认证方案名称,如下:

640?wx_fmt=png

最后别忘记添加认证中间件在Configure方法中,认证中间件必须放在使用MVC中间件之前,如下:

640?wx_fmt=png

到了这里,我们通过端口为5000的Web Api创建了Token,并配置了端口号为5001的Web应用程序使用JWT认证,接下来最后一步则是调用端口号为5000的APi获取Token,并将Token设置到请求头中Authorization键的值,格式如下(注意Bearer后面有一个空格):

640?wx_fmt=png

我们在页面上放置一个按钮点击获取端口号为5000的Token后,接下来请求端口号为5001的应用程序,如下:

640?wx_fmt=png

640?wx_fmt=png

640?wx_fmt=png

本节我们讲解了在.NET Core中使用JWT进行认证以及一点点注意事项,比较基础性的东西,下一节讲解完在JWT中使用刷新Token,开始正式进入Docker系列,感谢阅读,下节见。

640?wx_fmt=jpeg


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/314905.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Codeforces Round #658 (Div. 2) D. Unmerge 思维 + 背包

传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 思路&#xff1a; 我们可以假设有两个桶&#xff0c;让后向里面放数&#xff0c;可以发现&#xff0c;如果向其中放入了aia_iai​&#xff0c;那么紧跟在他后面的所有<ai<a_i<ai​的数都必须跟在ai…

【牛客NOIP模拟】牛半仙的魔塔(增强版)【贪心】【并查集】

题意&#xff1a;一个魔塔游戏的地图是一棵以 111 为根的树&#xff0c;起点为根&#xff0c;除根外每个结点有一个怪物&#xff0c;给定每个怪物血量、攻击、防御、奖励蓝宝石个数&#xff08;加防御&#xff09;&#xff0c;勇士的血量、攻击、防御&#xff0c;遇到怪物必须战…

撸过一万行代码,你看过这篇文章吗?

北上广深真的是技术的宝地吗&#xff1f;犹记得刚刚参加工作之后&#xff0c;有人邀请我去深圳&#xff0c;说沿海地区是IT行业从业人员的宝地&#xff0c;只有在那里才会学到真正的技术&#xff0c;而且能拿到更高的工资&#xff0c;不管从哪个层面来说&#xff0c;都值得你去…

Codeforces Round #727 (Div. 2) E. Game with Cards dp + 思维

传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 初始有左右手&#xff0c;上面各有一个数字为000的卡牌&#xff0c;每次都有一个新卡kik_iki​&#xff0c;你可以将其放在左手或者右手&#xff0c;使两只手上的卡片范围在[ll,i,rl,i][l_{l,i},r_{l,i}][ll…

【CEOI2017】Building Bridges【任意坐标斜率优化】【李超线段树】

题意&#xff1a;有 nnn 个柱子&#xff0c;每个柱子有高度 hih_ihi​。你需要在柱子间修桥&#xff0c;在 i,ji,ji,j 间修桥代价为 (hi−hj)2(h_i-h_j)^2(hi​−hj​)2,桥梁只能在柱子处相交&#xff0c;未安装桥的柱子需要拆除&#xff0c;代价为 wiw_iwi​&#xff08;可能为…

【牛客NOIP模拟】路径难题【建图】【最短路证明】

题意&#xff1a;一张 nnn 个点 mmm 条边的无向图&#xff0c;边带距离&#xff0c;可以坐出租车&#xff0c;花费为距离除以常数 rrr 向上取整&#xff1b;也可以坐公交车&#xff0c;每路车行驶路线给定&#xff0c;无论坐多少站花费都为 cic_ici​ &#xff08;每路车可能不…

Codeforces Round #595 (Div. 3) F. Maximum Weight Subset 树形dp

传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; n≤200n\le200n≤200 思路&#xff1a; 明显的树形dpdpdp&#xff0c;所以考虑一下dpdpdp状态。 这个题状态挺神的。。可能是因为我太菜了&#xff0c;看了半天才看懂。 算法111: 复杂度O(n3)O(n^3)O(n3) …

利用ICSharpCore搭建基于.NET Core的机器学习和深度学习的本地开发环境

每个人都习惯使用Python去完成机器学习和深度学习的工作&#xff0c;但是对于习惯于某种特定语言的人来说&#xff0c;转型不是那么容易的事。这两年我花了不少时间在Python&#xff0c;毕竟工作的重心也从移动开发转为机器学习和深度学习。感谢我的老板给我很大的空间去开拓新…

【牛客NOIP模拟】牛半仙的妹子序列【DP】【Segment Tree Beats】

题意&#xff1a;排列的极长上升子序列个数 n≤2105n\leq 2\times 10^5n≤2105 显然有个 dp fn∑i<n,pi<pn,∄i<j<ns.t. pi<pj<pnfif_n\sum_{i<n,p_i<p_n,\nexists i<j<n\text{ s.t. }p_i<p_j<p_n}f_ifn​i<n,pi​<pn​,∄i<j&l…

Acwing 252. 树 点分治

传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 思路&#xff1a; 好久没写淀粉质了&#xff0c;心血来潮复习一下。 淀粉质通常用来统计路径个数&#xff0c;将路径分为子树内的和子树之间的。子树内的递归处理&#xff0c;子树间的存下信息来每次都处理即…

CLR与JVM

首先要纠正垃圾回收在于JVM和.NET的CLR的平台功能而不是语言本身。存在一些历史差异主要是因为.Net的设计是从java&#xff08;和其他基于gc的平台&#xff09;演变中吸取教训改良后的结果。CLR一开始就设计成了分代垃圾回收&#xff0c;但是初始JVM没有分代垃圾收集器。第一代…

【牛客NOIP模拟】 牛牛的RPG游戏【二维偏序】【任意坐标斜率优化】【CDQ 分治】【李超线段树】

题意&#xff1a; nmn\times mnm 的网格图&#xff0c;每个点有两个权值 vali,j,bufi,jval_{i,j},buf_{i,j}vali,j​,bufi,j​&#xff0c;从 (1,1)(1,1)(1,1) 开始只能向下或向右走到 (n,m)(n,m)(n,m) &#xff0c;在某个位置时可以选择触发该位置的事件&#xff08;也可不触发…

Free tour II SPOJ - FTOUR2 点分治 + 树状数组

传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 给你一个有nnn个点的树&#xff0c;有mmm个点拥堵&#xff0c;连接两个点的一条边有一个美丽值&#xff0c;让你选择一个路径&#xff0c;使其经过的拥堵点数不超过kkk且美丽值最大。 n≤2e5,m≤n,k≤mn\le2…

使用Mutex进行线程处理

Mutex就像一个C&#xff03;锁(lock)&#xff0c;但它可以跨多个进程工作。换句话说&#xff0c;Mutex可以是计算机范围的&#xff0c;也可以是应用程序范围的。Mutex是一个同步原语&#xff0c;也可用于进程间同步。当两个或多个线程需要同时访问共享资源时&#xff0c;系统需…

【NOIP模拟】开車【回退贪心】【multiset】

题意&#xff1a;有 1∼n1 \sim n1∼n nnn 个城市排成一行&#xff0c;给定每个城市的单位距离油价和两个城市间的距离、油箱容量&#xff0c;求 111 到 nnn 最小代价。 用 multiset 来维护当前油箱中的油的价格。 在每个城市假装把油加满。如果发现这个城市的油比油箱里的一…

Educational Codeforces Round 75 (Rated for Div. 2) D. Salary Changing 二分 + check

传送门 文章目录题意&#xff1a;思路&#xff1a;题意&#xff1a; 思路&#xff1a; 直接算不好算&#xff0c;考虑二分这个中位数midmidmid。 考虑如何checkcheckcheck&#xff0c;这个分情况来就好了&#xff1a; (1)mid>a[i].r(1)mid>a[i].r(1)mid>a[i].r&#…

【Linux】Linux常见指令解析上

目录 1. 前言2. ls指令3. pwd指令4. cd指令3.1 cd常见快捷指令 4. touch指令5. mkdir指令6. rmdir指令 && rm指令 &#xff08;重要&#xff09;6.1 rmdir指令6.2 rm指令 7. man指令 1. 前言 这篇文章我们将详细介绍一下Linux下常见的基本指令。 2. ls指令 语法: ls [选…

CSP2020 赛前总结

比赛策略与思路 暴力不好写&#xff0c;没法对拍 ≠\neq​ 稳了签到题要求稳&#xff0c;可以当熟悉环境。但也要注意速度&#xff0c;为后面的题腾出时间。正解调不出来就写暴力&#xff0c;一是确认题意、换下脑筋&#xff0c;二是提供对拍&#xff0c;三是拿到保底分。正…

PYPL 7月榜单公布:Java份额出现下降趋势

PYPL(PopularitY of Programming Language&#xff0c;编程语言流行指数) 7 月份的榜单已发布&#xff0c;目前包含四个排行榜&#xff0c;囊括编程语言、IDE、ODE(Online IDE) 以及数据库四大领域。PYPL 是非常流行的参考指标&#xff0c;其榜单数据的排名均是根据榜单对象在 …

CSP-S 2020 游记

本博客建立于 2020 年 11 月 6 日晚&#xff0c;于次日正式认证后更新涉及题目的内容并公开。本人未提前知晓认证试题&#xff0c;请读者不必恐慌。 Day -4 久违地 AK 了一场模拟赛。 Day -2 因为模拟赛不给大样例&#xff0c;T3 T4都A了&#xff0c;反而挂了 SB 模拟和欧拉…