.net使用jwt进行身份认证的流程记录
目录
- 什么是身份认证和鉴权
- jwt工作流程
- token是如何生成的
- jwt三部分
- jwt是如何保证数据不会被篡改的
- .net webapi 的 demo
- 总结
什么是身份认证和鉴权
举个例子
假设有这么一个小区,小区只允许持有通行证的人进入,陌生人如果想直接进入小区会被保安拦住,他必须先办理通行证才会被允许进入
类比身份认证和鉴权体系
一个人要访问我的一个机密的接口,我首先需要知道你是谁,搞清楚你是谁的过程就是身份认证,如果我搞不清楚你是谁,那你就是陌生人,身份认证失败。
身份认证通过,并不一定就允许访问我的机密的接口,因为身份认证只是让我知道了你是谁,但是我还不知道你有没有访问我接口的权限,因此还需要进行鉴权。
鉴权就是在身份认证的基础上来查阅你是否有访问某接口的权限,有权限才允许访问。
jwt工作流程
在基于jwt策略的身份认证和鉴权体系中
机密的接口只允许有token的人访问
它的工作流程是这样的
首先你向授权服务器请求一个token,服务器对你进行校验,校验成功则给你一个token
之后你每次访问接口都带上这个服务器给的token,以此来证明你经过了校验并有权访问这个接口,这样你才能被放行
token是如何生成的
token是由服务器生成的,
用户请求token的时候,拿着自己的一些信息给服务器
服务器有它的密钥基于一些加密算法对用户的信息进行加密,之后生成一个token给用户。
jwt三部分
jwt的toke由三部分,header密文,payload密文和签名
header
header存放两个信息
1.声明加密的算法
2.声明类型
像这样:
{
“alg”: “HS256”,
“typ”: “JWT”
}
payload
存放一些自定义的信息,例如用户的个人信息,例如用户名。
注意:不要存密码等敏感信息,因为token可以被解密成明文。
signature
签名,由服务器使用它的密钥对header和payload进行加密后的结果
jwt是如何保证数据不会被篡改的
服务器对token解密获得header、payload和signature,再拿着自己的密钥对header和payload进行加密,看加密结果是否和解密出来的signature相等,如果相等说明数据没有被篡改,如果不等说明数据已被篡改
由于服务器的密钥是不公开的,因此认为签名不能伪造,也就是说,别人无法通过header、payload来加密得到一个服务器认可的token
.net webapi 的 demo
为了简化,这里只做身份认证,也就是说登录的用户就有权访问所有接口了
在Starup.cs中开启身份认证服务并指定策略为jwt
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidAudience = "xxx",
ValidIssuer = "xxx",
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("bc47a26eb9a59406057dddd62d0898f4")),
};
});
还需要使用身份认证中间件
在需要进行身份认证的接口或控制器上加上特性[Authorize]
还需要实现登录逻辑,准备一个Get接口用于测试
Controller代码为:
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Logging;
using Microsoft.IdentityModel.Tokens;
using System;
using System.Collections.Generic;
using System.IdentityModel.Tokens.Jwt;
using System.Linq;
using System.Security.Claims;
using System.Text;
using System.Threading.Tasks;
namespace JwtTest.Controllers
{
[ApiController]
[Route("[controller]/[action]")]
[Authorize]
public class WeatherForecastController : ControllerBase
{
[HttpGet]
public ActionResult Get()
{
return Ok("ok");
}
[HttpPost]
[AllowAnonymous]
public ActionResult Login([FromBody] LoginViewModel loginViewModel)
{
//验证用户名密码是否正确,错误则不进行后续操作
{
//验证逻辑在此省略
}
//验证成功则继续运行后面代码,来生成token
//claims是关于用户的一些信息,这部分信息将放在payload中,由于token可以被解密,因此不要把密码放进去
var claims = new Claim[]
{
new Claim(ClaimTypes.Name, loginViewModel.Name)
};
//指定生成token所需要的密钥
SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("bc47a26eb9a59406057dddd62d0898f4"));
//指定数字签名需要使用的密钥和算法
SigningCredentials credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
//生成token
JwtSecurityToken token = new JwtSecurityToken(issuer: "xxx",
audience: "xxx",
claims: claims,
notBefore: DateTime.Now, //token生效时间
expires: DateTime.Now.AddMinutes(5), //token有效时间
signingCredentials: credentials);
return Ok(new JwtSecurityTokenHandler().WriteToken(token));
}
}
}
进行测试:
不登录直接访问Get会报401
访问Login会返回一个token
要想成功访问Get,需要带上这个token,如何使请求带上这个token呢?
可以借助postman,
输入Get接口的路径
将Authorization类型设置为Bearer Token,之后将生成的token粘贴到右边
访问成功
总结
到此这篇关于.net使用jwt进行身份认证的文章就介绍到这了,更多相关.net用jwt身份认证内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关推荐
-
ASP.NET Core使用JWT认证授权的方法
demo地址: https://github.com/william0705/JWTS 名词解析 认证 : 识别用户是否合法 授权: 赋予用户权限 (能访问哪些资源) 鉴权: 鉴定权限是否合法 Jwt优势与劣势 优势 1. 无状态 token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , 服务端更容易水平扩展, 由于无状态, 又会导致它最大缺点 , 很难注销 2. 支持跨域访问 Cookie是不允许垮域访问的,token支持 3. 跨语言 基于标准化的 JSO
-
ASP.Net Core3.0中使用JWT认证的实现
JWT认证简单介绍 关于Jwt的介绍网上很多,此处不在赘述,我们主要看看jwt的结构. JWT主要由三部分组成,如下: HEADER.PAYLOAD.SIGNATURE HEADER 包含token的元数据,主要是加密算法,和签名的类型,如下面的信息,说明了 加密的对象类型是JWT,加密算法是HMAC SHA-256 {"alg":"HS256","typ":"JWT"} 然后需要通过BASE64编码后存入token中 eyJ
-
ASP.NET Core学习之使用JWT认证授权详解
概述 认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统架构也从以前垂直扩展(增加服务器性能) -> 水平扩展(增加服务器数量) cookies-session 工作方式 客户端提交用户信息 -> 服务器识别用户 -> 服务端保存用户信息 -> 返回session-id客户端 -> 客户端保存ses
-
.net core webapi jwt 更为清爽的认证详解
我的方式非主流,控制却可以更加灵活,喜欢的朋友,不妨花一点时间学习一下 jwt认证分为两部分,第一部分是加密解密,第二部分是灵活的应用于中间件,我的处理方式是将获取token放到api的一个具体的controller中,将发放token与验证分离,token的失效时间,发证者,使用者等信息存放到config中. 1.配置: 在appsettings.json中增加配置 "Jwt": { "Issuer": "issuer",//随意定义 &quo
-
浅谈ASP.NET Core 中jwt授权认证的流程原理
1,快速实现授权验证 什么是 JWT ?为什么要用 JWT ?JWT 的组成? 这些百度可以直接找到,这里不再赘述. 实际上,只需要知道 JWT 认证模式是使用一段 Token 作为认证依据的手段. 我们看一下 Postman 设置 Token 的位置. 那么,如何使用 C# 的 HttpClient 访问一个 JWT 认证的 WebAPI 呢? 下面来创建一个 ASP.NET Core 项目,尝试添加 JWT 验证功能. 1.1 添加 JWT 服务配置 在 Startup.cs 的 Confi
-
Asp.Net Core基于JWT认证的数据接口网关实例代码
前言 近日,应一位朋友的邀请写了个Asp.Net Core基于JWT认证的数据接口网关Demo.朋友自己开了个公司,接到的一个升级项目,客户要求用Aps.Net Core做数据网关服务且基于JWT认证实现对前后端分离的数据服务支持,于是想到我一直做.Net开发,问我是否对.Net Core有所了解?能不能做个简单Demo出来看看?我说,分道扬镳之后我不是调用别人的接口就是提供接口给别人调用,于是便有了以下示例代码. 示例要求能演示获取Token及如何使用该Token访问数据资源,在Demo中实现
-
.net使用jwt进行身份认证的流程记录
目录 什么是身份认证和鉴权 jwt工作流程 token是如何生成的 jwt三部分 jwt是如何保证数据不会被篡改的 .net webapi 的 demo 总结 什么是身份认证和鉴权 举个例子 假设有这么一个小区,小区只允许持有通行证的人进入,陌生人如果想直接进入小区会被保安拦住,他必须先办理通行证才会被允许进入 类比身份认证和鉴权体系 一个人要访问我的一个机密的接口,我首先需要知道你是谁,搞清楚你是谁的过程就是身份认证,如果我搞不清楚你是谁,那你就是陌生人,身份认证失败. 身份认证通过,并不一定
-
详解最简单易懂的Spring Security 身份认证流程讲解
最简单易懂的Spring Security 身份认证流程讲解 导言 相信大伙对Spring Security这个框架又爱又恨,爱它的强大,恨它的繁琐,其实这是一个误区,Spring Security确实非常繁琐,繁琐到让人生厌.讨厌也木有办法呀,作为JavaEE的工程师们还是要面对的,在开始之前,先打一下比方(比方好可怜): Spring Security 就像一个行政服务中心,如果我们去里面办事,可以办啥事呢?可以小到咨询简单问题.查询社保信息,也可以户籍登记.补办身份证,同样也可以大到企业事
-
Vue路由之JWT身份认证的实现方法
一.JWT身份认证简介 JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案,相较于session机制,服务器就不需要保存任何 session 数据了,也就是说,服务器变成无状态了,从而比较容易实现扩展.JWT 实际上是一个令牌(Token),服务器会将一些元数据.指定的secret进行签名并生成token,并返回给客户端,客户端得到这个服务器返回的令牌后,需要将其存储到 Cookie 或 localStorage 中,此后,每次与服务器通信都要带上这个令牌,可以把它放到 C
-
go语言beego框架jwt身份认证实现示例
目录 一 引入jwt 二 框架中引入jwt 三 使用 一 引入jwt jwt用户身份验证 go get github.com/dgrijalva/jwt-go 二 框架中引入jwt import ( "fmt" "github.com/astaxie/beego" "github.com/dgrijalva/jwt-go" "time" ) 三 使用 声明jwt需要用到的结构体 const ( KEY string = &qu
-
详解Go-JWT-RESTful身份认证教程
1.什么是JWT JWT(JSON Web Token)是一个非常轻巧的规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息, 一个JWT由三部分组成,Header头部.Claims载荷.Signature签名, JWT原理类似我们加盖公章或手写签名的的过程,合同上写了很多条款,不是随便一张纸随便写啥都可以的,必须要一些证明,比如签名,比如盖章,JWT就是通过附加签名,保证传输过来的信息是真的,而不是伪造的, 它将用户信息加密到token里,服务器不保存任何用户信息,服务器通过使
-
SpringBoot集成JWT实现token验证的流程
JWT官网: https://jwt.io/ JWT(Java版)的github地址:https://github.com/jwtk/jjwt 什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).定义了一种简洁的,自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息.因为数字签名的存在,这些信息是可信的,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名. JWT请求流程 1. 用户使
-
基于JWT实现SSO单点登录流程图解
一.基于JWT实现SSO单点登录原理 1.什么是单点登录 所谓单点登录就是有多个应用部署在不同的服务器上,只需登录一次就可以互相访问不同服务器上的资源. 2.单点登录流程 当一个访问请求发给应用A,如果这个请求需要登录以后才能访问,那么应用A就会向认证服务器请求授权,这时候就把用户引导到认证服务器上.用户在认证服务器上完成认证并授权.认证授权完成后,认证服务器返回给应用A一个授权码,应用A携带授权码到认证服务器请求令牌,认证服务器返回应用A一个JWT,应用A解析JWT里面的信息,完成登录.这是一
-
ASP.NET Core应用JWT进行用户认证及Token的刷新方案
目录 一.什么是JWT? 为什么要使用JWT? 二.JWT的组成: Header Payload Signature 三.认证流程 四.应用实例 认证服务 User相关: TokenHelper: 应用服务 五.Token的刷新 本文将通过实际的例子来演示如何在ASP.NET Core中应用JWT进行用户认证以及Token的刷新方案 一.什么是JWT? JWT(json web token)基于开放标准(RFC 7519),是一种无状态的分布式的身份验证方式,主要用于在网络应用环境间安全地传递声
-
详解Spring Boot实战之Filter实现使用JWT进行接口认证
本文介绍了spring Boot实战之Filter实现使用JWT进行接口认证,分享给大家 jwt(json web token) 用户发送按照约定,向服务端发送 Header.Payload 和 Signature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api jwt使用流程 本文示例接上面几篇文章中的代码进行编写,请阅读本文的同时可以参考前面几篇文章 1.添加依赖库jjwt,本文中构造jwt及解析jwt都使用了jjwt库