简书链接:aspnetcoreapi基于token的JWTbearer的鉴权验证实现探索
文章字数:2375,阅读全文大约需要9分钟
.net的各种框架啥的都不是很熟悉,当时只是想怎么实现快速校验授权确保api是通过验证之后才能打开。
我说的快速就是不需要写重复的样板代码,通过总体控制,最后发现,似乎也只能通过注解实现,不过也算是比较合理的,不然无法区分哪些需要哪些不需要了,另外注解应该是可以添加到整个控制器,也就是class上的,使其所有方法生效。

那么实现原理就设计到cookie,session, token,前面的session是需要服务器存档用户信息的,服务器压力比较大,token的实现原理,在登录之后返回 一个token, 之后再每一个接口提交都传递token,

都传递token可以通过请求头提交也可以通过get,post这些提交,我这里探索两者均实现。

问了一些网友,说要实现便捷授权可以实现拦截器,拦截器类似注解,
那么只是单纯的拦截器还不是根本,而且我还是没看懂所以然咋自己通过写拦截器代码实现,
最后不得不直接用框架jwt bearer实现

jwt bearer 接入是只需要添加注解 [Authorize] 就可以实现对指定方法的鉴权。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94

using coreapiauth;
using coreapiauth.TestWebApi.AuthCenter.Utility;
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;

var builder = WebApplication.CreateBuilder(args);



// Add services to the container.

builder.Services.AddControllers();
// Learn more about configuring Swagger/OpenAPI at https://aka.ms/aspnetcore/swashbuckle
builder.Services.AddEndpointsApiExplorer();
builder.Services.AddSwaggerGen();
//注入JWT服务
builder.Services.AddScoped<IJwtService, JwtService>();


#region 注册JWT鉴权
var issuer = "study"; //Configuration["issuer"];
var audience = "lozn"; //Configuration["audience"];
var securityKey = "4A9A70D2-B8AD-42E1-B002-553BDEF4E76F";// Configuration["SecurityKey"];


//配置认证服务
builder.Services.AddAuthentication(x =>
{
    x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
});

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) //默认授权机制名称
    .AddJwtBearer(options =>
    {


        options.TokenValidationParameters = new TokenValidationParameters();
        options.Events = new JwtBearerEvents()
        {
            OnMessageReceived = context =>
            {
                context.Token = context.Request.Query["access_token"];
                return Task.CompletedTask;
            }
        };
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true, //是否验证Issuer
            ValidateAudience = true, //是否验证Audience
            ValidateLifetime = true, //是否验证失效时间
            RequireExpirationTime = true, //过期时间
            ValidateIssuerSigningKey = true, //是否验证IssuerSigningKey
            ValidAudience = audience,
            ValidIssuer = issuer,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(securityKey)),
            //自定义校验规则:新登录后,之前的token无效
            //AudienceValidator = (audiences, securityToken, validationParameters) =>
            //{
            //    return audiences != null && audiences.FirstOrDefault().Equals(audience);
            //}
        };
    });
#endregion


var app = builder.Build();

// Configure the HTTP request pipeline.
if (app.Environment.IsDevelopment())
{
    app.UseSwagger();
    app.UseSwaggerUI();
}


//app.UseHttpsRedirection();


//1.先开启认证
app.UseAuthentication();
//2.再开启授权
app.UseAuthorization();



app.MapControllers();

app.Run();



网上的文章似乎有些将的不是 core api,有些是core api,但是和我这边开发工具生成的模板代码又不一样,所以我这边是这样子的。
其中

1
2
app.UseAuthentication();
app.UseAuthorization();

似乎影响了最后能否正常通过鉴权,我之前是成功获取了token,但是一直卡无法鉴权成功, 请求头应该传递什么,最后得出的结论:
Authorization为请求头的key ,value为Bearer 登录返回的key
也可以通过get提交,上面的完整代码之所以可以get生效是因为有如下代码生效

1
2
3
4
5
6
7
8
9
options.Events = new JwtBearerEvents()
{
    OnMessageReceived = context =>
    {
        context.Token = context.Request.Query["access_token"];
        return Task.CompletedTask;
    }
};

那么访问

1
http://lozn.vaiwan.com/api/Auth/GetAuthData?access_token=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCIsImN0eSI6IkpXVCJ9.eyJodHRwOi8vc2NoZW1hcy54bWxzb2FwLm9yZy93cy8yMDA1LzA1L2lkZW50aXR5L2NsYWltcy9uYW1lIjoiYWRtaW4iLCJOaWNrTmFtZSI6Ik5ldENvcmUiLCJSb2xlIjoiQWRtaW5pc3RyYXRvciIsImV4cCI6MTY1NDA3MDY2NywiaXNzIjoic3R1ZHkiLCJhdWQiOiJsb3puIn0.7GQOQybhFLFXpL0FO31WNdm-o8MYJHS5F-y1xB-PQPU

我写的这个源码有两个地方都用到了秘钥,

其中在启动的代码中配置的是如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
options.TokenValidationParameters = new TokenValidationParameters
{
    ValidateIssuer = true, //是否验证Issuer
    ValidateAudience = true, //是否验证Audience
    ValidateLifetime = true, //是否验证失效时间
    RequireExpirationTime = true, //过期时间
    ValidateIssuerSigningKey = true, //是否验证IssuerSigningKey
    ValidAudience = audience,
    ValidIssuer = issuer,
    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(securityKey)),
    //自定义校验规则:新登录后,之前的token无效
    //AudienceValidator = (audiences, securityToken, validationParameters) =>
    //{
    //    return audiences != null && audiences.FirstOrDefault().Equals(audience);
    //}
};

而在登录的时候返回 token用到的代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
public string GetToken(string name)
         {
             /**
              * Claims(Payload)
              * Claims包含了一些跟这个token有关的重要信息。JWT标准规定的字段:
              * 
              * iss: The issuer of the token, 签发人
              * sub: The subject of the token, 主题
              * exp: Expiration Time. 过期时间(Unix时间戳格式)
              * iat: Issued At. 签发时间(Unix时间戳格式)
              * jti: JWT ID. 编号
              * aud: audience. 受众
              * nbf: Not Before. 生效时间
              * 
              * 除了规定的字段外,可以包含其他任何JSON兼容的字段。
              * */
             var claims = new[]
             {
             new Claim(ClaimTypes.Name, name),
             new Claim("NickName", "NetCore"),
             new Claim("Role", "Administrator")
         };


             if (_configuration["SecurityKey"] == null)
             {
                 throw new Exception("please  config SecurityKey  issuer audience at appsettings.json");
        
             }

             var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_configuration["SecurityKey"]));
             var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

             var token = new JwtSecurityToken(
                 issuer: _configuration["issuer"], //签发人
                 audience: _configuration["audience"],
                 claims: claims,
                 expires: DateTime.Now.AddMinutes(20), //20分钟有效期
                 signingCredentials: credentials);
             var tokenStr = new JwtSecurityTokenHandler().WriteToken(token);
             return tokenStr;
         }

如果两者的issuer,audience,或者key不一致,一样是无法鉴权成功的,为了确保 SecurityKey在appsetting.json里面定义我直接加了检测,不存在直接抛出异常。
就可以成功实现访问,而非返回401,如果鉴权不成功是返回401的
最后能成功实现,还是参考了如下比较有参考意义的文章,前者并没有提到怎么去传递请求头,以及configuration参数怎么传递也没提及,所以搞的我一直没成功,
swagger测试是否觉得不方便了呢,可以给swagger弄一把锁锁的代码实现原理就是你点击这个锁输入key,它会给特定的请求头自动加key从而实现传参测试,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
//注册 Swagger 服务
builder.Services.AddSwaggerGen(options =>
{
    //下面代码实现加锁
    options.SwaggerDoc("v1", new OpenApiInfo { Title = "test API", Version = "v1" });
    //获取xml文件名
    //var xmlFile = $"{Assembly.GetExecutingAssembly().GetName().Name}.xml";
    //获取xml文件路径
    //var xmlPath = Path.Combine(AppContext.BaseDirectory, xmlFile);
    // 添加控制器层注释,true表示显示控制器注释
    //options.IncludeXmlComments(xmlPath, true);

    #region swagger 用 Jwt验证
    //开启权限小锁
    options.OperationFilter<AddResponseHeadersFilter>();
    options.OperationFilter<AppendAuthorizeToSummaryOperationFilter>();

    //在header中添加token,传递到后台
    options.OperationFilter<SecurityRequirementsOperationFilter>();
    options.AddSecurityDefinition("oauth2", new OpenApiSecurityScheme
    {
        Description = "JWT授权(数据将在请求头中进行传递)直接在下面框中输入Bearer {token}(注意两者之间是一个空格) \"",
        Name = "Authorization",//jwt默认的参数名称
        In = ParameterLocation.Header,//jwt默认存放Authorization信息的位置(请求头中)
        Type = SecuritySchemeType.ApiKey
    });
    #endregion
});





image.png
image.png

image.png

自定义异常返回json

1
2
3
4
5
6
7
builder.Services.AddAuthentication(options =>
{
    options.DefaultScheme = JwtBearerDefaults.AuthenticationScheme; //这里使用默认的Scheme来进行验证,想
    options.DefaultChallengeScheme = nameof(ResponseAuthenticationHandler); //401
    options.DefaultForbidScheme = nameof(ResponseAuthenticationHandler);    //403
});

再加上

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) //默认授权机制名称
    .AddJwtBearer(options =>
    {


        options.TokenValidationParameters = new TokenValidationParameters();
        options.Events = new JwtBearerEvents()
        {
            OnMessageReceived = context =>
            {
                context.Token = context.Request.Query["access_token"];
                return Task.CompletedTask;
            }
        };
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true, //是否验证Issuer
            ValidateAudience = true, //是否验证Audience
            ValidateLifetime = true, //是否验证失效时间
            RequireExpirationTime = true, //过期时间
            ValidateIssuerSigningKey = true, //是否验证IssuerSigningKey
            ValidAudience = audience,
            ValidIssuer = issuer,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(securityKey)),
            //自定义校验规则:新登录后,之前的token无效
            //AudienceValidator = (audiences, securityToken, validationParameters) =>
            //{
            //    return audiences != null && audiences.FirstOrDefault().Equals(audience);
            //}
        };
    }).AddScheme<AuthenticationSchemeOptions, ResponseAuthenticationHandler>(nameof(ResponseAuthenticationHandler), o => { });


也就是说和前面的代码对比要加上

1
AddScheme<AuthenticationSchemeOptions, ResponseAuthenticationHandler>(nameof(ResponseAuthenticationHandler), o => { });

没加上会提示下面的错误
xxx

no-authenticationscheme-was-specified-and-there-was-no-defaultchallengescheme-

关于

1
2
System.InvalidOperationException:“EndpointRoutingMiddleware matches endpoints setup by EndpointMiddleware and so must be added to the request execution pipeline before EndpointMiddleware. Please add EndpointRoutingMiddleware by calling 'IApplicationBuilder.UseRouting' inside the call to 'Configure(...)' in the application startup code.”

这个错误就是addRoute要加上而且加在之前。

1
2
3
4
5
6
7
8
9
10
11
12
13
app.UseRouting();
//1.先开启认证
app.UseAuthentication();
//2.再开启授权
app.UseAuthorization();



app.UseEndpoints(endpoints =>
{
    endpoints.MapControllers();
})

完整源码暂时不放出来了,因为第一篇文章已经算文章了,而我提供的program.cs也解决了如何读取configration的问题,以及写了一篇关于配置文件configration是啥玩意的问题。

https://www.cnblogs.com/xhubobo/p/14428578.html

https://blog.csdn.net/ma_jiang/article/details/106858593

2023-3-29 09:16:58
补充

用户权限组

要在JWT验证中增加权限组,您需要对令牌进行扩展以包含该信息,并在验证期间使用它来授予或拒绝访问。

您可以通过在令牌的有效载荷中添加一个名为“roles”的声明来实现这一点。例如:

1
2
3
4
5
6
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "roles": ["admin", "user"]
}
1
2
3
4
5
options.TokenValidationParameters = new TokenValidationParameters
{
    // ...
    RoleClaimType = "roles"
};
1
2
3
4
5
[Authorize(Roles = "admin")]
public IActionResult AdminOnlyAction()
{
    // ...
}

JWT令牌的有效载荷部分中,您可以添加任何自定义声明以存储有关用户身份和其他相关信息的数据。在您的示例中,有效载荷包含以下标准声明:

sub: 用于指定令牌的主题(subject),通常是用户ID或其他唯一标识符。
name: 用于指定用户的名称。
iat: 用于指定令牌的签发时间(issued at)。
roles: 用于指定用户的角色列表。
要构建一个JWT令牌,您需要使用一个JWT库或API来生成令牌。在C#中,可以使用System.IdentityModel.Tokens.Jwt命名空间中的JwtSecurityToken类来创建JWT令牌,并为其设置有效载荷和签名。例如,以下代码片段展示了如何使用JwtSecurityToken类创建一个具有上述有效载荷的JWT令牌:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.IdentityModel.Tokens;

// ...

var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_security_key_here"));
var signingCredentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);

var claims = new[]
{
    new Claim("sub", "1234567890"),
    new Claim("name", "John Doe"),
    new Claim("roles", "admin,user")
};

var token = new JwtSecurityToken(
    issuer: "your_issuer_here",
    audience: "your_audience_here",
    claims: claims,
    expires: DateTime.UtcNow.AddDays(7),
    signingCredentials: signingCredentials
);

var tokenString = new JwtSecurityTokenHandler().WriteToken(token);

在上面的示例代码中,我们使用了一个对称加密算法 SecurityAlgorithms.HmacSha256 和一个密钥来签名JWT令牌。如果您需要更高级别的安全验证,可以选择其他可用的签名算法和密钥类型。最后,我们使用JwtSecurityTokenHandler类将JWT令牌序列化为字符串形式,并将其发送给客户端。

上下文中取出信息

// 在控制器中获取JWT令牌的sub声明:

1
2
3
4
5
6
7
8
9
10
11
var subClaim = HttpContext.User.Claims.FirstOrDefault(c => c.Type == "sub");
if (subClaim != null)
{
    var sub = subClaim.Value;
}

// 在Razor视图文件中获取JWT令牌的name声明:
@if (User.Identity.IsAuthenticated)
{
    <p>Welcome, @User.FindFirst("name").Value!</p>
}

在上面的示例代码中,通过检查HttpContext.User.Claims属性并查找与所需声明类型匹配的声明,我们可以轻松地从JWT令牌的有效载荷中检索出需要的信息。如果您需要检索多个声明,可以使用Where函数来筛选具有特定类型的所有声明,以及Select函数来返回它们的值列表。例如:

// 在控制器中获取JWT令牌的roles声明:

1
2
3
4
var roles = HttpContext.User.Claims
    .Where(c => c.Type == "roles")
    .Select(c => c.Value)
    .ToList();

或者

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
// 获取当前HttpContext
var httpContext = new HttpContextAccessor().HttpContext;

// 检索名为"nickname"的声明的值
var nicknameClaim = httpContext.User.Claims.FirstOrDefault(c => c.Type == "nickname");

if (nicknameClaim != null)
{
    var nickname = nicknameClaim.Value;
    // Do something with the nickname...
}
else
{
    // The user does not have a "nickname" claim
}

参考链接
https://blog.csdn.net/WuLex/article/details/117033939