ASP.NET Core学习之使用JWT认证授权详解
更新时间:2020年08月16日 11:24:53 作者:WilsonPan
这篇文章主要给大家介绍了关于ASP.NET Core学习之使用JWT认证授权的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用ASP.NET Core具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
概述
认证授权是很多系统的基本功能 , 在以前PC的时代 , 通常是基于cookies-session这样的方式实现认证授权 , 在那个时候通常系统的用户量都不会很大, 所以这种方式也一直很好运行, 随着现在都软件用户量越来越大, 系统架构也从以前垂直扩展(增加服务器性能) -> 水平扩展(增加服务器数量)
cookies-session 工作方式
客户端提交用户信息 -> 服务器识别用户 -> 服务端保存用户信息 -> 返回session-id客户端 -> 客户端保存session-id -> 每次请求cookies带上session-id
这种方式也不是不能水平扩展 , 例如 , session复制/第三方保存session(数据库 , Redis)
名词解析
认证 : 识别用户是否合法
授权: 赋予用户权限 (能访问哪些资源)
鉴权: 鉴定权限是否合法
Jwt优势与劣势
优势
无状态
token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , 服务端更容易水平扩展, 由于无状态, 又会导致它最大缺点 , 很难注销
2、支持跨域访问
Cookie是不允许垮域访问的,token支持
3、跨语言
基于标准化的 JSON Web Token (JWT) , 不依赖特定某一个语言 , 例如生成对Token可以对多个语言使用(Net , Java , PHP ...)
劣势
1、Token有效性问题
后台很难注销已经发布的Token , 通常需要借助第三方储存(数据库/缓存) 实现注销, 这样就会失去JWT最大的优势
2、占带宽
Token长度(取决存放内容) 比session_id大 , 每次请求多消耗带宽 , token只存必要信息 , 避免token过长
3、需要实现续签
cookies - session 通常是框架已经实现续签功能, 每次访问把过期时间更新, JWT需要自己实现, 参考OAuth2刷新Token机制实现刷新Token
4、消耗更多CPU
每次请求需要对内容解密和验证签名这两步操作,典型用时间换空间
只能根据自身使用场景决定使用哪一种身份验证方案 , 没有一种方案是通用的,完美的
AspNetCore集成Jwt认证
1、添加包
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer
2、添加配置
"JwtOptions": {
"Issuer": "localhost:5001",
"Audience": "localhost:5001",
"SecurityKey": "1G3l0yYGbOINId3A*ioEi4iyxR7$SPzm"
}
3、Jwt Bearer 扩展(选项)
public static AuthenticationBuilder AddJwtBearer(this IServiceCollection services, Action<JwtOptions> configureOptions)
{
if (configureOptions == null) throw new ArgumentNullException(nameof(configureOptions));
var jwtOptions = new JwtOptions()
{
Issuer = "Jwt Authentication",
Audience = "Wilson Pan Web Api",
};
// set customs optoins
configureOptions(jwtOptions);
// update Options
services.PostConfigure<JwtOptions>(options =>
{
options.Issuer = jwtOptions.Issuer;
options.Audience = jwtOptions.Audience;
options.SecurityKey = jwtOptions.SecurityKey;
});
return services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters()
{
ValidIssuer = jwtOptions.Issuer,
ValidAudience = jwtOptions.Audience,
ValidateIssuer = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
IssuerSigningKey = jwtOptions.SymmetricSecurityKey
};
});
}
4、ConfigureServices
services.AddJwtBearer(options =>
{
options.Issuer = Configuration.GetValue<string>("JwtOptions:Issuer");
options.Audience = Configuration.GetValue<string>("JwtOptions:Audience");
options.SecurityKey = Configuration.GetValue<string>("JwtOptions:SecurityKey");
});
5、Configure
app.UseAuthentication();
app.UseAuthorization();
6、add AuthorizeController
//define claim
var claims = new Claim[]
{
new Claim(ClaimTypes.Name, username),
new Claim(ClaimTypes.Email, $"{username}@github.com"),
new Claim(ClaimTypes.Role, username == "WilsonPan" ? "Admin" : "Reader"),
new Claim(ClaimTypes.Hash, JwtHashHelper.GetHashString($"{username}:{password}:{System.DateTime.Now.Ticks}")),
};
//define JwtSecurityToken
var token = new JwtSecurityToken(
issuer: _jwtOptions.Issuer,
audience: _jwtOptions.Audience,
claims: claims,
expires: System.DateTime.Now.AddMinutes(5),
signingCredentials: _jwtOptions.SigningCredentials
);
// generate token
var result = new JwtSecurityTokenHandler().WriteToken(token);
7、Contrller/Action 添加认证授权
[ApiController] [Authorize] [Route("[controller]")] public class ApiController : ControllerBase{
...
} [HttpPost] [Authorize(Roles = "Admin")] public IActionResult Post()
{
return Ok();
}
Rest Client
dotnet run
1、认证接口
@host = localhost:5001
# @name token
POST {{host}}/Authorize HTTP/1.1
Content-Type: application/x-www-form-urlencoded
#username=Wilson&password=123456
# admin
username=WilsonPan&password=123456
2、需要授权接口
### required authorize
GET {{host}}/api HTTP/1.1
Authorization: Bearer {{token.response.body.*}}
3、需要管理员角色接口
### required authorize
POST {{host}}/api HTTP/1.1
Authorization: Bearer {{token.response.body.*}}
示例代码
总结
到此这篇关于ASP.NET Core学习之使用JWT认证授权的文章就介绍到这了,更多相关ASP.NET Core用JWT认证授权内容请搜索华域联盟以前的文章或继续浏览下面的相关文章希望大家以后多多支持华域联盟!
您可能感兴趣的文章:ASP.NET Core3.1 Ocelot认证的实现ASP.NET Core使用JWT认证授权的方法深入解读ASP.NET Core身份认证过程实现ASP.NET Core 实现基本认证的示例代码ASP.NET Core Authentication认证实现方法Asp.net Core中实现自定义身份认证的示例代码浅谈ASP.NET Core 中jwt授权认证的流程原理ASP.Net Core3.0中使用JWT认证的实现Asp.Net Core基于JWT认证的数据接口网关实例代码ASP.NET学习CORE中使用Cookie身份认证方法Asp.Net Core添加请求头自定义认证的示例
jwt
认证
授权
相关文章
asp.net汉字转拼音和获取汉字首字母的代码在网上找到的好东西。以后asp.net下汉字转成拼音就方便多了 2008-07-07
asp.net常用函数收藏这篇文章给大家介绍asp.net常用函数收藏,主要包括 得到站点用户IP,去除字符串最后一个','号、去除字符串第一个'/'号等,感兴趣的朋友跟随小编一起看看吧 2008-09-09
VS2013的Browser Link引起的问题这篇文章主要为大家详细介绍了VS2013的Browser Link引起的问题,以及Browser Link问题的解决方法,感兴趣的小伙伴们可以参考一下 2016-07-07
限制CheckBoxList控件只能单选实现代码及演示动画开发要求,原本对CheckBoxList控件是用来让用户多选的。但现在特殊要求,这个CheckBoxList控件限制只能单选,很多新手朋友可能不知从何下手,为此本文的出现时有必要的了,有需要的朋友可以了解此文 2013-01-01
Visual Studio实现xml文件使用app.config、web.config等的智能提这篇文章主要为大家详细介绍了Visual Studio中xml文件使用app.config、web.config等的智能提示方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 2018-09-09
C#正则用法两例C#正则用法两例... 2007-09-09
如何ASP.NET Core Razor中处理Ajax请求本篇技术文章主要给大家讲述了如何ASP.NET Core Razor中处理Ajax请求这方面的知识点,有兴趣的朋友参考下。 2018-01-01
asp.net实现文件下载的代码asp.net中也需要实现文件的下载,因此下面的方法可以参考下除了第四种不推荐以外,其他的都可以,但是个人感觉分块下载的要好一点。没有仔细测试,所以可能有问题。 2011-02-02
.NET工厂方法模式讲解这篇文章主要为大家详细介绍了ASP.NET工厂方法模式的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下 2016-11-11
ASP.NET生成二维码的方法总结这篇文章主要介绍了ASP.NET生成二维码的方法,结合实例形式总结分析了常用的几种二维码生成技巧,具有一定参考借鉴价值,需要的朋友可以参考下 2016-06-06
最新评论
本文由 华域联盟 原创撰写:华域联盟 » ASP.NET Core学习之使用JWT认证授权详解
转载请保留出处和原文链接:https://www.cnhackhy.com/5074.htm
