asp.net core MVC之实现基于token的认证
安装Nuget包
项目中添加包:dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer
添加认证配置
Startup类中添加如下配置:
public void ConfigureServices(IServiceCollection services) { ... services.AddAuthentication(defaultScheme: JwtBearerDefaults.AuthenticationScheme); } public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { ... app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); }
AddAuthentication方法会向依赖注入容器添加认证服务和它所使用的其他服务,其参数defaultScheme用于指定当未指定具体的认证方案时将会使用的默认方案,上例为Bearer认证。
AddAuthentication方法的另一重载能够使用AuthenticationOptions类为认证过程中的每一个动作指明所使用的认证方案,如DefaultAuthenticateScheme、
DefaultChallengeScheme、
DefaultSignInScheme、
DefaultSignOutScheme、
DefaultForbidScheme。
如果没有为这些属性设置认证方案,则将使用DefaultScheme属性所指定的值。
当添加JwtBearer认证方式时,JwtBearerOptions对象能够配置该认证的选项,它的TokenValidationParameters属性用于指定验证Token时的规则:
var tokenSection = Configuration.GetSection("Security:Token"); services.AddAuthentication(options => { options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; }).AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters{ ValidateAudience = true, ValidateLifetime = true, ValidateIssuer = true, ValidateIssuerSigningKey = true, ValidIssuer = tokenSection["Issuer"], ValidAudience = tokenSection["Audience"], IssuerSigningKey = new SymmetricSecurityKey( Encoding.UTF8.GetBytes(tokenSection["Key"]) ), ClockSkew = TimeSpan.Zero }; });
TokenValidationParameters类作为Token验证参数类,它包含了一些属性,这些属性如ValidateAudience、ValidateIssuer、ValidateLifetime和ValidateIssuerSigningKey,它们都是布尔类型,用于指明是否验证相应的项;而ValidIssuer和ValidAudience属性则用于指明合法的签发者(Issuer)与接受方(Audience)。在上例中,它们的值都从配置文件中获取;IssuerSigningKey属性的值用于指定进行签名验证的安全密钥,它的值为SymmetricSecurityKey对象,即对称加密密钥;ClockSkew属性的值表示验证时间的时间偏移值。
上述代码会从配置文件中读取关于Token的信息,因此还需在appsettings.json中添加如下内容。
"Security": { "Token": { "Issuer": "demo_issuer", "Audience": "demo_audience", "Key": "<your_secret_key>" } }
为Controller添加认证
接下来,为了使用ASP.NET Core的认证功能来保护资源,应为Controller或Action添加[Authorize]特性,该特性能够实现在访问相应的Controller或Action时,要求请求方提供指定的认证方式,它位于Microsoft.AspNetCore.Authorization命名空间中。需要为AuthorController和BookController添加该特性。
[Authorize] public class AuthorController : ControllerBase { } [Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)] public class BookController : ControllerBase { }
如果使用了多个认证方式,则可以使用[Authorize]特性的AuthenticationSchemes属性指明当前Controller或Action要使用哪一种认证方式(如上例中的BookController);如果不设置,则会使用所添加认证时设置的默认方案;如果没有设置默认方案,则会出现InvalidOperationException异常,并提示未指定默认方案;此外,如果为AuthenticationSchemes属性指定了不存在的方案名称,也会出现InvalidOperationException异常。
此时再访问Book和Author资源,会出现401 Unauthorized异常:
如果要允许某个Action可以被匿名访问,可以在Action方法上添加属性标记 [AllowAnonymous]:
[AllowAnonymous] public async Task<ActionResult<IEnumerable<AuthorDto>>> GetAuthorsAsync([FromQuery] AuthorResourceParameters parameters)
添加认证信息生成接口
JwtBearer中间件提供了对JWT的验证功能,然而并未提供生成Token的功能。要生成Token,可以使用JwtSecurityTokenHandler类,它位于System.IdentityModel.Tokens.Jwt命名空间,它不仅能够生成JWT,由于它实现了ISecurityTokenValidator接口,因此对JWT的验证也是由它完成的。接下来,我们将创建一个Controller,它将会根据用户的认证信息生成JWT,并返回给客户端。
在Controllers文件夹中创建一个Controller,名为AuthenticateController,内容如下:
using System; using System.Collections.Generic; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; using Microsoft.AspNetCore.Mvc; using Microsoft.Extensions.Configuration; using Microsoft.IdentityModel.Tokens; namespace Library.Api.Controllers { [ApiController, Route("api/auth")] public class AuthenticateController : ControllerBase { public IConfiguration Configuration { get; } public AuthenticateController(IConfiguration configuration) { Configuration = configuration; } [HttpPost("token", Name = nameof(GenerateToken))] public IActionResult GenerateToken(string username, string password) { if (username != "demouser" || password != "demopassword") { return Unauthorized(); } var claims = new List<Claim>{ new Claim(JwtRegisteredClaimNames.Sub, username) }; var tokenConfigSection = Configuration.GetSection("Security:Token"); var key = new SymmetricSecurityKey( Encoding.UTF8.GetBytes(tokenConfigSection["Key"]) ); var signCredential = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); var jwtToken = new JwtSecurityToken( issuer: tokenConfigSection["Issuer"], audience: tokenConfigSection["Audience"], claims: claims, expires: DateTime.Now.AddMinutes(3), signingCredentials: signCredential ); return Ok(new { token = new JwtSecurityTokenHandler().WriteToken(jwtToken), expiration = TimeZoneInfo.ConvertTimeFromUtc(jwtToken.ValidTo, TimeZoneInfo.Local) }); } } }
在AuthenticateController中的GenerateToken方法中,通过创建JwtSecurityToken对象,并使用JwtSecurityTokenHandler对象的WriteToken方法最终得到生成的JWT。当创建JwtSecurityToken对象时,我们可以指定issuer、audience以及当前用户的Claim信息,此外,还可以指定该Token的有效时间。这里需要注意,由于JWT不支持销毁以及撤回功能,因此在设置它的有效时间时,应设置一个较短的时间(如上例中的3分钟),这样可以有效避免Token在意外被窃取后所带来的风险。
现在就可以请求认证接口获取 token:
这时重新请求资源接口,在请求头中添加Authorization项,值为Bearer ,就可以得到结果了:
这次示例中,使用了固定的用户名和密码,实际情况中,用户名和密码通常是存在数据库中的,可以使用ASP.NET Core Identity来实现这一功能。
到此这篇关于asp.net core MVC之实现基于token的认证的文章就介绍到这了,更多相关asp.net core token的认证内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
- ASP.NET Core MVC 过滤器的使用方法介绍
- asp.net core MVC 过滤器之ActionFilter过滤器(2)
- asp.net core MVC 全局过滤器之ExceptionFilter过滤器(1)
- ASP.NET Core MVC 修改视图的默认路径及其实现原理解析
- ASP.NET Core MVC解决控制器同名Action请求不明确的问题
- 如何在Asp.Net Core MVC中处理null值的实现
- ASP.NET Core MVC如何实现运行时动态定义Controller类型
- ASP.NET Core MVC/WebApi基础系列2
- ASP.NET Core MVC/WebApi基础系列1
- 如何使用Rotativa在ASP.NET Core MVC中创建PDF详解
- ASP.NET Core Mvc中空返回值的处理方法详解
- ASP.NET Core MVC 过滤器(Filter)
相关文章
asp.net的web页面(aspx)数据量过多时提交失败对策
asp.net的web页面,数据量过多时提交失败的情况想必有很多朋友都有遇到过吧,下面与大家分享下详细的解决方法2013-05-05.net core 6.0 通过依赖注入注册和使用上下文服务的教程
在.NET Core 6.0 中,获取上下文的方式取决于您使用的技术栈和具体的应用程序类型,这篇文章主要介绍了.net core 6.0 通过依赖注入注册和使用上下文服务的教程,需要的朋友可以参考下2023-12-12ASP.NET MVC下Ajax.BeginForm方式无刷新提交表单实例
下面小编就为大家分享一篇ASP.NET MVC下Ajax.BeginForm方式无刷新提交表单实例,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2018-01-01
最新评论