asp.net core 中的Jwt(Json Web Token)的使用詳解
簡(jiǎn)單描述: session不支持 分布式 并且在服務(wù)器存儲(chǔ)一份用戶(hù)登錄的信息,這份登錄信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器,告訴其保存為cookie,以便下次請(qǐng)求時(shí)發(fā)送給我們的應(yīng)用
Jwt描述:
1.狀態(tài)保證在客戶(hù)端,而非服務(wù)器端。天然適合分布式系統(tǒng)。
2.簽名保證了客戶(hù)端無(wú)法數(shù)據(jù)造假。
3.性能更高,不需要和 中心狀態(tài)服務(wù)器通信(如Redis),純內(nèi)存的計(jì)算
JWT是由三段信息構(gòu)成的,將這三段信息文本用.鏈接一起就構(gòu)成了Jwt字符串
第一部分我們稱(chēng)它為頭部(header 明文 的加密算法類(lèi)型),第二部分我們稱(chēng)其為載荷(payload, 明文的各種 自定義 信息),第三部分是簽證(signature只有服務(wù)器端才知道的密鑰).
不要在 jwt中 傳入 非常敏感 信息 ,因?yàn)榭蛻?hù)端 可以解析 出明文
流程:服務(wù)器 生成 Jwt 頒發(fā)給 客戶(hù)端 ,每次客戶(hù)端 請(qǐng)求 帶上 Jwt,服務(wù)器端在做效驗(yàn)。
下面使用 一個(gè) 案例 來(lái)說(shuō)明 JWT的使用
1.設(shè)置JWT配置實(shí)體 JWTSetting.cs 用于注入
namespace aspnetcore013
{
public class JWTSetting
{
public string Key { get; set; } // JWT 服務(wù)端的 key
public long OutTime { get; set; } //設(shè)置過(guò)期秒數(shù)
}
}
2.在 appsettings.json 文件中配置如下
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft.AspNetCore": "Warning"
}
},
"AllowedHosts": "*",
"JWT": {
"key": "xcv24fds*/*=-.lj?./54oi@%$^*ouio",
"OutTime": 3600
}
}
3.1.在 Program.cs 文件中 配置 JWT配置 如下
builder.Services.Configure<JWTSetting>(builder.Configuration.GetSection("JWT"));
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(opt =>
{
var JWTsetting = builder.Configuration.GetSection("JWT").Get<JWTSetting>();
byte[] byteKeys = Encoding.UTF8.GetBytes(JWTsetting.Key);
var securityKey = new SymmetricSecurityKey(byteKeys);
opt.TokenValidationParameters = new TokenValidationParameters()
{
ValidateIssuer = false,
ValidateAudience = false,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
IssuerSigningKey = securityKey
};
});
3.2 最后 還有 在添加 app.UseAuthentication(); 需要在 app.UseAuthorization(); 之前
app.UseAuthentication();
4.登錄成功 用于生成JWT 字符串
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Options;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
namespace aspnetcore013.Controllers
{
[Route("api/[controller]/[action]")]
[ApiController]
public class Test3Controller : ControllerBase
{
//用于 依賴(lài)注入
private readonly IOptionsSnapshot<JWTSetting> _settings;
//注入 設(shè)置
public Test3Controller(IOptionsSnapshot<JWTSetting> settings)
{
_settings = settings;
}
[HttpGet]
public ActionResult<string> Login(string userName,string passWord)
{
if(userName=="zhangsan"&& passWord == "123456")
{
//這里已經(jīng) 表明 登錄 成功
//Claim為 JWT第二階段的 payload
List<Claim> claims = new List<Claim>();
claims.Add(new Claim(ClaimTypes.NameIdentifier, "66"));
claims.Add(new Claim(ClaimTypes.Name, "zhangsan"));
claims.Add(new Claim("Wechat", "jiujiu56"));//自定義 type名稱(chēng)
claims.Add(new Claim(ClaimTypes.Role, "admin"));
//下面為生成 JWT
string configkey = _settings.Value.Key;
DateTime outTime = DateTime.Now.AddSeconds(_settings.Value.OutTime);
byte[] byteKey = Encoding.UTF8.GetBytes(configkey);
var securityKey = new SymmetricSecurityKey(byteKey);
var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256Signature);
//設(shè)置 JWT第二階段的 payload 和過(guò)期 時(shí)間 和 效驗(yàn)算法
var securityToken = new JwtSecurityToken(claims: claims, expires: outTime, signingCredentials: credentials);
string jwt =new JwtSecurityTokenHandler().WriteToken(securityToken);
return jwt;
}
else
{
return BadRequest("登錄失敗");
}
}
}
}
5.標(biāo)記 需要 授權(quán)的 控制器或方法
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using System.Security.Claims;
namespace aspnetcore013.Controllers
{
[Route("api/[controller]/[action]")]
[ApiController]
[Authorize] //在控制器上 加入這個(gè)[Authorize]
//則 這個(gè)控制器 下所有 方法必須 登錄驗(yàn)證
//如果在 方法上加 那么 這個(gè)方法 必須 登錄驗(yàn)證
public class Test4Controller : ControllerBase
{
[HttpGet]
public string demo1()
{
//獲取 當(dāng)前登錄成功的用戶(hù) Claim的值
var claim = this.User.FindFirst(ClaimTypes.Name);
return "666"+ claim.Value;
}
[HttpGet]
[AllowAnonymous] //在方法中 使用 [AllowAnonymous]
//可以 排除 本方法 使用 授權(quán) 不必登錄驗(yàn)證 就可使用
public string demo2()
{
return "777";
}
[HttpGet]
[Authorize(Roles ="admin")] //可以使用 Role進(jìn)行
//角色的控制 [Authorize(Roles ="admin")]
//這里表示 必須要 有登錄權(quán)限并且角色為 admin
public string demo3()
{
return "888";
}
}
}
6.訪問(wèn) [Authorize] 授權(quán)的 方法或控制器 必須在 提交協(xié)議頭 加上 Authorization:Bearer JWT數(shù)據(jù)
注意:Bearer 和 JWT數(shù)據(jù)之間 要有 一個(gè) 空格 。JWT數(shù)據(jù)之后不能 參雜 任何額外數(shù)據(jù)
如果 退出 JWT 一般把 JWT刪除 就好。在多端 刪除即可 JWT還可以有 過(guò)期時(shí)間,上面代碼已經(jīng) 闡述 清楚了。
引入 Microsoft.AspNetCore.Authentication.JwtBearer 包
到此這篇關(guān)于asp.net core 中的Jwt(Json Web Token)的使用的文章就介紹到這了,更多相關(guān)asp.net core Jwt使用內(nèi)容請(qǐng)搜索以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持!
網(wǎng)公網(wǎng)安備