asp.net基于JWT的web api身份验证及跨域调用实践

随着多终端的出现,越来越多的站点通过web api restful的形式对外提供服务,很多网站也采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于cookie的Session Id的做法有所不同,除了面临跨域提交cookie的烦人问题外,更重要的是,有些终端可能根本不支持cookie。

Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息。

但由于时间关系,不对jwt多做描述,详细请参考jwt.io

下面编写一个基于jwt进行身份验证的asp.net web api demo,为了模拟前后端分离的开发方式,该demo包含一个静态页站点(在IIS中的路径为http://localhost:8057)以及一个web api站点(http://localhost:8056)。 静态页站点仅有一个index.html,包含一个登录功能和调用需要身份验证的获取数据的接口这两个功能,所有接口均通过ajax调用。

以下是主要需要编写的代码,让我们一步步来编写代码。

开发登录接口

由于我们使用jwt技术,在nuget上先添加封装了jwt使用的框架。我使用了以下框架。

根据jwt的定义,在jwt中承载用户身份信息的数据段叫payload。这里需要建立一个类"AuthInfo"用来表示payload。

/// <summary>
 /// 表示jwt的payload
 /// </summary>
 public class AuthInfo
 {
  /// <summary>
  /// 用户名
  /// </summary>
  public string UserName { get; set; }
  /// <summary>
  /// 角色列表,可以用于记录该用户的角色,相当于claims的概念(如不清楚什么事claim,请google一下"基于声明的权限控制")
  /// </summary>
  public List<string> Roles { get; set; }
  /// <summary>
  /// 是否是管理员
  /// </summary>
  public bool IsAdmin { get; set; }

接着编写登陆接口

public class LoginController : ApiController
 {
  public LoginResult Post([FromBody]LoginRequest request)
  {
   LoginResult rs = new LoginResult();
   //假设用户名为"admin",密码为"123"
   if (request.UserName == "admin" && request.Password == "123")
   {
    //如果用户登录成功,则可以得到该用户的身份数据。当然实际开发中,这里需要在数据库中获得该用户的角色及权限
    AuthInfo authInfo = new AuthInfo
    {
     IsAdmin = true,
     Roles = new List<string> { "admin", "owner" },
     UserName = "admin"
    };
    try
    {
     //生成token,SecureKey是配置的web.config中,用于加密token的key,打死也不能告诉别人
     byte[] key = Encoding.Default.GetBytes(ConfigurationManager.AppSettings["SecureKey"]);
     //采用HS256加密算法
     string token = JWT.JsonWebToken.Encode(authInfo, key, JWT.JwtHashAlgorithm.HS256);
     rs.Token = token;
     rs.Success = true;

    }
    catch
    {
     rs.Success = false;
     rs.Message = "登陆失败";
    }
   }
   else
   {
    rs.Success = false;
    rs.Message = "用户名或密码不正确";
   }
   return rs;
  }
 }

到此,我们已经编写好登陆接口。如果用户名密码都正确,登陆接口生成一个包含着用户身份信息的token作为响应。前端收到token后,在后续的请求中需要附带该token,用于证明其身份。

AuthorizeAttribute

接下来,我们需要编写有关权限控制及token解析有关的代码。

web api框架提供了AuthorizeAttribute,用于在调用api前对请求进行验证,通过重写AuthorizeAttribute.IsAuthorized方法可以自定义验证逻辑

public class ApiAuthorizeAttribute : AuthorizeAttribute
 {
  protected override bool IsAuthorized(HttpActionContext actionContext)
  {
   //前端请求api时会将token存放在名为"auth"的请求头中
   var authHeader = from h in actionContext.Request.Headers where h.Key == "auth" select h.Value.FirstOrDefault();
   if (authHeader != null)
   {
    string token = authHeader.FirstOrDefault();
    if (!string.IsNullOrEmpty(token))
    {
     try
     {
      //对token进行解密
      string secureKey = System.Configuration.ConfigurationManager.AppSettings["SecureKey"];
      AuthInfo authInfo = JWT.JsonWebToken.DecodeToObject<AuthInfo>(token, secureKey);
      if (authInfo != null)
      {
       //将用户信息存放起来,供后续调用
       actionContext.RequestContext.RouteData.Values.Add("auth", authInfo);
       return true;
      }
      else
       return false;
     }
     catch
     {
      return false;
     }
    }
    else
     return false;
   }
   else
    return false;
  }
 }

编写一个受AuthorizeAttribute保护的接口,假设该接口返回和用户相关的敏感信息。

需要注意的是,由于前端站点和web api站点使用了不同的端口,因此即使scheme(http)和address都相同,但仍然造成了跨域访问。因此必须对web api站点启用允许跨域访问。实际上CORS(跨域资源共享)或所谓的same origin policy(同源策略)是浏览器上的概念,服务器需要做的仅是根据需要返回一下几个响应头:

  • Access-Control-Allow-Origin:表示该站点允许被那些源(域)访问
  • Access-Control-Allow-Headers:表示该站点允许那些自定义的请求头(我们通过jquery.ajax发送一个包含着token的名为"auth"的请求头,因此需要api站点设置允许"auth"请求头)
  • Access-Control-Allow-Methods:表示该站点允许那些请求谓词(GET,POST,OPTIONS,PUT...)

在asp.net web api中,有两种方式可以开启允许跨域访问:

第一种是在Nuget上安装"Microsoft.AspNet.WebApi.Cors"包,并对api controller使用[EnableCors]特性

第二种是在web.config中进行配置:

必须注释掉"<remove name="OPTIONSVerbHandler"/>"以开启OPTIONS谓词处理,否则跨域访问时prefight会失败。

返回和用户相关的敏感信息的api代码如下:

//标记该controller要求身份验证
 [ApiAuthorize]
 public class UserController : ApiController
 {
  public string Get()
  {
   //获取回用户信息(在ApiAuthorize中通过解析token的payload并保存在RouteData中)
   AuthInfo authInfo = this.RequestContext.RouteData.Values["auth"] as AuthInfo;
   if (authInfo == null)
    return "无效的验收信息";
   else
    return string.Format("你好:{0},成功取得数据",authInfo.UserName);
  }
 }

前端站点

到此,api站点的代码编写完成。接下来编写前端站点的代码。

前端站点只有一个html页面,包含两个简单功能:调用登录接口进行登录,以及调用被身份验证保护的获取数据的接口

前端页面的关键脚本代码如下:

$(function () {
   //调用api站点的登录接口,接口在登录成功后返回一个token。
   $("#login").on("click", function () {
    $.ajax({
     url: "http://localhost:8056/api/login",
     data: $("form").serialize(),
     method: "post",
     success: function (data) {
      if (data.Success) {
       //为简单起见,将token保存在全局变量中。
       window.token = data.Token;
       alert("登录成功");
      } else {
       alert("登录失败:" + data.Message);
      }
     }
    });
   });

   //调用api站点的获取数据的接口,该接口要求身份验证。
   $("#invoke").on("click", function () {
    $.ajax({
     url: "http://localhost:8056/api/user",
     method: "get",
     headers: { "auth": window.token },//通过请求头来发送token,放弃了通过cookie的发送方式
     complete: function (jqXHR,textStatus) {
      alert(jqXHR.responseText);
     },

    });
   });
  });
 </script>

接下来,在不登录和登录的情况下,调用获取数据的接口,并使用fiddler监视一下请求和响应的过程.

在不登录情况下直接按“调用接口”,服务器返回401未授权信息

以下是通信情况:

这次先登录,再调用接口,同样在fiddler中监视一下通信情况。

在fiddler中可以看到整个过程浏览器发出了3个请求,分别是登录,调用接口前的prefight和实际调用接口:

来看看每个通信的情况

登录过程:

prefight

实际发出get请求调用接口,获得数据

到此,基于JWT进行身份验证及跨域访问的demo已经完成,如有错误的地方请指正

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • JWT + ASP.NET MVC时间戳防止重放攻击详解

    时间戳作用 客户端在向服务端接口进行请求,如果请求信息进行了加密处理,被第三方截取到请求包,可以使用该请求包进行重复请求操作.如果服务端不进行防重放攻击,就会服务器压力增大,而使用时间戳的方式可以解决这一问题. 上一篇讲到JWT安全验证操作,现在结合时间戳进行防重复攻击和被第三方抓包工具截取到Headers中token,进行模拟请求操作. 防篡改 一般使用的方式就是把参数拼接,当前项目AppKey,双方约定的"密钥",加入到Dictionary字典集中,按ABCD顺序进行排序,最后在M

  • JWT.net 操作实践方法

    1.JWT定义 JWT(Json Web Token)是一种用于双方之间传递安全信息的简洁的.URL安全的表述性声明规范.JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息.因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名. 2.JWT的组成部分 (1)JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signature, 例如:

  • 基于JWT.NET的使用(详解)

    JWT是什么 JWT全称是Json Web Token,是一种用于双方之间传递安全信息的简洁的.URL安全的表述性声明规范.JWT作为一个开放的标准( RFC 7519 ),定义了一种简洁的,自包含的方法用于通信双方之间以Json对象的形式安全的传递信息.因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名. JWT的结构 JWT一般由三段构成,用.号分隔开,第一段是header,第二段是payload,第三段是signature,例如: eyJ0eX

  • asp net core 2.1中如何使用jwt(从原理到精通)

    为什么使用 Jwt 最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下: 移动端经常要保持长时间(1 到 2 星期)在线,但是 Session 却不好在服务端保存这么久,虽然可以持久化到数据库,但是还是挺费资源 移动端往往不是使用的网页技术,所以藏在 Cookie 里面的 SessionId 不是很方便的传递给服务端 服务端暴露给客户端的接口往往是 RESTful 风格的,这是一

  • JWT+Log4net配置与使用详解

    Log4net的优点 log4net是.Net下一个非常优秀的开源日志记录组件.log4net记录日志的功能非常强大.它可以将日志分不同的等级,以不同的格式,输出到不同的媒介.程序运行过程中就能生成并输出日志信息而无需人工干预,可供开发人员尽快找到应用程序中的Bug.另外,日志信息可以输出到不同的地方. Log4net的结构 log4net 有四种主要的组件,分别是Logger(记录器), Repository(库), Appender(附着器)以及Layout(布局) 重点---网上教程项目中

  • asp.net基于JWT的web api身份验证及跨域调用实践

    随着多终端的出现,越来越多的站点通过web api restful的形式对外提供服务,很多网站也采用了前后端分离模式进行开发,因而在身份验证的方式上可能与传统的基于cookie的Session Id的做法有所不同,除了面临跨域提交cookie的烦人问题外,更重要的是,有些终端可能根本不支持cookie. Json Web Token(jwt)是一种不错的身份验证及授权方案,简单的说就是调用端调用api时,附带上一个由api端颁发的token,以此来验证调用者的授权信息. 但由于时间关系,不对jw

  • Web API身份认证解决方案之Basic基础认证

    一.WebApi中为什么需要身份认证 我们在使用WebApi的时候,都是通过URL去获取数据.也就是说,任何人只要知道了URL地址,就能随意的访问后台的服务接口,就可以访问或者修改数据库数据了,这样就会导致很严重的后果. 1.我们不加身份认证,匿名用户可以直接通过url随意访问接口: 2.增加了身份认证之后,只有带了票据的请求才能访问对应的接口. 二.常见的认证方式 WebApi中常见的认证方式有如下几种: FORM身份验证 集成WINDOWS验证 Basic基础认证 Digest摘要认证 三.

  • asp.net core中如何使用cookie身份验证

    背景 ASP.NET Core Identity 是一个完整的全功能身份验证提供程序,用于创建和维护登录名. 但是, cookie 不能使用基于的身份验证提供程序 ASP.NET Core Identity . 配置 在 Startup.ConfigureServices 方法中,创建具有 AddAuthentication 和 AddCookie 方法的身份验证中间件服务: services.AddAuthentication(CookieAuthenticationDefaults.Auth

  • 基于JWT的spring boot权限验证技术实现教程

    JWT简介 Json Web Token(JWT):JSON网络令牌,是为了在网络应用环境间传递声明而制定的一种基于JSON的开放标准((RFC 7519).JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式用于通信双方之间以 JSON 对象行使安全的传递信息.因为数字签名的存在,这些信息是可信的. 实现步骤: 环境spring boot 1.添加jwt依赖 <dependency> <groupId>com.auth0</groupId> <ar

  • JavaScript跨域调用基于JSON的RESTful API

    1. 基本术语 AJAX(Asynchronous JavaScript And XML,异步JavaScript和XML):AJAX是一种用于创建快速动态网页的技术,通过在后台与服务器进行少量数据交换,AJAX可以使网页实现异步更新.这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新. JSON(JavaScript Object Notation):JSON是一种轻量级的数据交换格式,可以看成是由大括号包裹起来的多个"key/value"对,格式如下:{"f

  • ASP.NET配合jQuery解决跨域调用的问题

    一. 使用JSONp方式调用 不做详细讲解,可以参考jq文档<jQuery 1.10.3 在线手册> 二. 服务端配置 修改Web.config 文件 <system.webServer> <modules runAllManagedModulesForAllRequests="true"></modules> <httpProtocol> <customHeaders> <add name="Ac

  • ASP.net WebAPI跨域调用问题的解决方法

    发现问题 最近在做一个项目,前端是VUE,后端是WebAPI,业务也就是一些实体的增删改查.在项目开始的时候我就预计到有跨域的问题,所以也找了一下资料,在Web.Config里面加上了配置信息: <httpProtocol> <customHeaders> <add name="Access-Control-Allow-Origin" value="*" /> <add name="Access-Control-A

  • ASP.NET MVC中EasyUI的datagrid跨域调用实现代码

    最近项目中需要跨域调用其他项目的数据,其他项目也是使用的EasyUI的datagrid组件,开始以为直接在datagrid的url属性定义为其他项目的url地址即可,可是测试下发现的确是返回了json数据但是json数据提示"invalid label" 错误,网上搜索了下错误解决办法,参考 "JavaScript处理Json的invalid label错误解决办法"的方法利用datagrid的loadData方法加载并转换了json还是提示上述错误,感觉原因不在格

  • python web.py开发httpserver解决跨域问题实例解析

    使用web.py做http server开发时,遇到postman能够正常请求到数据,但是浏览器无法请求到数据,查原因之后发现是跨域请求的问题. 跨域请求,就是在浏览器窗口中,和某个服务端通过某个 "协议+域名+端口号" 建立了会话的前提下,去使用与这三个属性任意一个不同的源提交了请求,那么浏览器就认为你是跨域了,违反了浏览器的同源策略. w3c标准中,有针对跨域请求的规范,在响应头中有以下三种跨域访问限制: Access-Control-Allow-Origin:限制允许跨域访问的源

  • 基于node搭建服务器,写接口,调接口,跨域的实例

    刚开始学node,今天做这个也是累死宝宝了,以后可以自己写接口自己用了,再也不用麻烦人家后台人员了,这些年我们欠他们的太多了,说多了都是泪,不多说,往下看吧... 服务端项目目录下: 1.npm init 创建package.json文件: 2.创建一个app.js文件,下面的标注都有了,简单的写了一个接口,下面会用,对跨域访问做了设置 var express=require('express'); var app =express(); //设置跨域访问 app.all('*', functi

随机推荐