当前位置:首页 » 《我的小黑屋》 » 正文

ASP.NET Core Web API用户身份验证

15 人参与  2024年03月29日 17:35  分类 : 《我的小黑屋》  评论

点击全文阅读


一、JWT介绍

ASP.NET Core Web API用户身份验证的方法有很多,本文只介绍JWT方法。JWT实现了服务端无状态,在分布式服务、会话一致性、单点登录等方面凸显优势,不占用服务端资源。简单来说,JWT的验证过程如下所示:

(1)通过用户名和密码获取一个Token。

(2)访问API时,加上这个Token。

Token包含过期时间、用户角色等信息,可以在多种场合灵活使用。

二、基本认证

2.1 场景描述

在基本认证的场景中,我们假设有一个Controller,代码如下所示:

[ApiController][Route("test")]public class TestController : ControllerBase{    [HttpGet]    public string Get()    {        return "success";    }}

这个Controller非常简单,就是访问之后返回"success"这个字符串。

现在,我们希望用户登录之后(提供用户名和密码)才能使用此API。

2.2 开发步骤

1、在NuGet中添加Microsoft.AspNetCore.Authentication.JwtBearer。

2、在Program.cs中,对builder.Services添加认证服务:

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)    .AddJwtBearer(opt =>    {        opt.TokenValidationParameters = new TokenValidationParameters()        {            ValidateIssuer = false,            ValidateAudience = false,            ValidateLifetime = false,            ValidateIssuerSigningKey = false        };    });

在上面的参数中,可以根据使用场景进行灵活配置,这个后面会介绍。在此,使用最简单的配置。

3、同样在Program.cs中,添加以下语句:

app.UseAuthentication();

需要注意的是,此句需要在页面路由之前,例如是app.UseHttpsRedirection();之前,如下所示:

app.UseAuthentication();app.UseHttpsRedirection();app.UseAuthorization();app.MapControllers();app.Run();

4、在需要认证的Controller或某个具体方法上加上[Authorize]标记。例如我们在一开始介绍的API上加上标记:

[Authorize][HttpGet]public string Get(){    return "success";}

此时,如果再去访问此API,就会返回401没有权限的错误。

5、创建登录的Controller,也就是通过用户名和密码获取Token。

[Route("api/auth")][ApiController]public class AuthController : ControllerBase{    [HttpPost]    public string Gettoken(string username, string password)    {        if (username == "admin" && password == "123456")        {            var claims = new[]{                new Claim(ClaimTypes.Name, username)            };            var jwttoken = new JwtSecurityToken(                claims: claims            );            var token = new JwtSecurityTokenHandler().WriteToken(jwttoken);            return token;        }        return "用户不存在或密码错误";    }}

上面的用户认证简单的做了字符串比对,实际上可以通过查数据库的方法验证用户是否合法。

至此,用户验证的后端就开发完成了。

三、前端访问API

3.1 通过Swagger测试

很多时候,我们使用Swagger来测试API,但默认的Swagger配置没有用户验证,需要进行添加。

打开Program.cs,把builder.Services.AddSwaggerGen();这一句修改为:

builder.Services.AddSwaggerGen(c =>{    c.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme()    {        In = ParameterLocation.Header,        Type = SecuritySchemeType.ApiKey,        Description = "Bearer Token",        Name = "Authorization",        BearerFormat = "JWT",        Scheme = "Bearer"    });    c.AddSecurityRequirement(new OpenApiSecurityRequirement() {        {            new OpenApiSecurityScheme()            {                Reference=new OpenApiReference()                {                    Type=ReferenceType.SecurityScheme,                    Id="Bearer"                }            },new string[]{ }        }    });});

此时,打开Swagger,就会看到右上角有一个Authorize的按钮,如下图所示:

点击按钮,会要求输入一个Token。我们从上面写的登录Controller(AuthController)获取。如下图所示:

 最下面的响应字符串就是我们要的Token。把这个Token填入到上面弹出的对话框中,注意需要在字符串前加上“Bearer ”。如下图所示:

此时,再去访问TestController,就会返回成功结果。

3.2 前端访问方法

 在无用户验证要求的时候,前端访问TestController的代码如下所示:

fetch("https://localhost:28911/test", {    method: "GET"}).then(resp => {    return resp.text();}).then(data => {    console.log(data);}).catch(err => {    console.log(err)});

API前加上[Authorize]之后,上述调用也会返回401错误。上述调用需要把Token加入到Header中。

fetch("https://localhost:28911/test", {    method: "GET",    headers: {        "Authorization": "Bearer eyJhbGciOiJ...太长,Token后面省略"    }}).then(resp => {    return resp.text();}).then(data => {    console.log(data);}).catch(err => {    console.log(err)});

此时,即可再次成功获取结果。

四、常见用户身份验证场景

4.1 Token有效期

一般情况下,通过用户名和密码得到了Token之后,我们不希望这个Token是永久有效的。也就是说,过了一段时间之后,Token失效,用户需要重新登录。

需要增加有效期,有几处地方需要修改。

首先是Program.cs中,原来的配置如下所示:

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)    .AddJwtBearer(opt =>    {        opt.TokenValidationParameters = new TokenValidationParameters()        {            ValidateIssuer = false,            ValidateAudience = false,            ValidateLifetime = false,            ValidateIssuerSigningKey = false        };    });

需要把ValidateLifetime改为true:

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)    .AddJwtBearer(opt =>    {        opt.TokenValidationParameters = new TokenValidationParameters()        {            ValidateIssuer = false,            ValidateAudience = false,            ValidateLifetime = true,            ClockSkew = TimeSpan.FromSeconds(30),        };    });

然后在AuthController的Gettoken方法里,加上有效期:

var claims = new[]{    new Claim(JwtRegisteredClaimNames.Nbf,new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds().ToString()) ,    new Claim(JwtRegisteredClaimNames.Exp,new DateTimeOffset(DateTime.Now.AddMinutes(30)).ToUnixTimeSeconds().ToString()),    new Claim(ClaimTypes.Name, username)};

上面配置的有效期是30分钟。

至此,当获得一个新的Token之后,经过30分钟,这个Token就无法使用了。

4.2 第三方验证

很多网站上提供QQ登录、微信登录、微博登录等功能,我们以微信登录进行说明。如果我们需要使用微信登录,需要到微信开发者平台注册,拿到一个叫AppKey的东西。这个AppKey相当于一个私钥,是不能让别人看到的。因为我们要使用微信的登录验证服务,这个服务不能向任何人提供,而且需要区分是哪个第三方在使用服务。

为了实现上述功能,认证时加入了一个IssUser的概念,也就是哪些APP可以调用服务。

在Program.cs中,修改配置:

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)    .AddJwtBearer(opt =>    {        opt.TokenValidationParameters = new TokenValidationParameters()        {            ValidateIssuer = true,            ValidateAudience = false,            ValidateLifetime = false,            ValidateIssuerSigningKey = true,            ValidIssuer = "App名称",            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("App私钥"))        };    });

然后,在Gettoken时,进行修改:

var claims = new[]{    new Claim(ClaimTypes.Name, username)};var m5dkey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("App私钥"));var creds = new SigningCredentials(m5dkey, SecurityAlgorithms.HmacSha256);var jwttoken = new JwtSecurityToken(    issuer: "App名称",    claims: claims,    expires: DateTime.Now.AddMinutes(30),    signingCredentials: creds);var token = new JwtSecurityTokenHandler().WriteToken(jwttoken);return token;

4.3 角色或权限

很多时候,用户登录之后,并不是可以访问所有的API。用户可以分出不同的角色,不同的角色可以访问不同的资源。

要做到这一点,首先在Gettoken时,把用户的角色加入到Token中。

var claims = new[]{    new Claim(ClaimTypes.Name, username),    new Claim("Role", "admin")};

然后,在API前,指明此资源需要什么角色。

[Authorize(Roles = "admin")][HttpGet]public string Get(){    return "success";}

这样,按角色分配资源的功能就完成了。


点击全文阅读


本文链接:http://zhangshiyu.com/post/87842.html

<< 上一篇 下一篇 >>

  • 评论(0)
  • 赞助本站

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

关于我们 | 我要投稿 | 免责申明

Copyright © 2020-2022 ZhangShiYu.com Rights Reserved.豫ICP备2022013469号-1