ASP.NET Core的JWT的实现(自定义策略形式验证).md
既然选择了远方,便只顾风雨兼程 __ HANS许html
在上篇文章,咱们讲了JWT在ASP.NET Core的实现,基于中间件来实现。这种方式有个缺点,就是全部的URL,要嘛须要验证,要嘛不须要验证,没有办法各取所需,由于咱们某个API与另外一个API的验证方式不同。这就引导出“基于自定义策略形式下的验证了”。git
ASP.NET Core 的Authorization实现
咱们使用Core自带的Authorization(认证与受权)来实现。你们能够先看下微软官方的策略受权github
-
微软官方例子:
1.1 定义策略json- internal class MinimumAgeAuthorizeAttribute : AuthorizeAttribute
- {
- const string POLICY_PREFIX = "MinimumAge";
- public MinimumAgeAuthorizeAttribute(int age) => Age = age;
- // Get or set the Age property by manipulating the underlying Policy property
- public int Age
- {
- get
- {
- if (int.TryParse(Policy.Substring(POLICY_PREFIX.Length), out var age))
- {
- return age;
- }
- return default(int);
- }
- set
- {
- Policy = $"{POLICY_PREFIX}{value.ToString()}";
- }
- }
- }
1.2 使用策略ide
- [MinimumAgeAuthorize(10)]
- public IActionResult RequiresMinimumAge10()
这样在执行
RequiresMinimumAge10会先执行MinimumAgeAuthorize策略,很像MVC的Attribute特性,
但内部又不像,在这边就很少作解释了,微软的Core官方文档讲的很清楚。你们去看下就清楚了。函数 -
JWT的自定义策略形式的实现
2.1 了解IAuthorizationRequirement
IAuthorizationRequirement表示受权要求,用户能够继承这个接口,实现本身认证与受权的要求,好比上面的片断代码,它就继承该接口,并有个字段Age,也就是这个策略有年龄的要求,这个要求能够带到咱们后面验证的方法里面。咱们往下看。ui2.2 继承
IAuthorizationRequirement
因此咱们实现了JwtAuthorizeBaseRequiremente该接口,并继承IAuthorizationRequirement,能够看到咱们的要求是一个叫validatePayLoad的委托函数,委托函数的入参是字典,JWT,字典即是上篇文章说的JWT的负载部分了。而返回参数是bool,便表明咱们自定义的策略验证JWT是否成功。IJwtAuthorizRequiremente继承了IAuthorizationRequirementthis- public class JwtAuthorizeBaseRequiremente : IJwtAuthorizRequiremente
- {
- protected internal Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad = (a, b) =>
- {
- return true;
- };
- public virtual IJwtAuthorizRequiremente SetValidateFunc(Func<Dictionary<string, string>, JsonWebTokenSetting, bool> func)
- {
- this.validatePayLoad = func ?? this.validatePayLoad;
- return this;
- }
- }
2.3 了解
AuthorizationHandler
AuthorizationHandler为特定需求类型调用的受权处理程序的基类。也就是说咱们处理策略是会到这个基类来处理,而且判断是否定证成功,也就是受权成功。spa2.4 继承
AuthorizationHandler
JwtAuthorizeHandler继承AuthorizationHandler并实现泛型JwtAuthorizeBaseRequiremente的定义,这样子咱们的自定义的策略委托验证函数就会传递到这个处理类。咱们须要重写HandleRequirementAsync来自定已处理。能够看到,最终咱们仍是调用上篇文章所讲的验证函数_jsonWebTokenValidate.Validate,你们不清楚能够去看上篇文章。而requirement.validatePayLoad即是咱们稍后再外面自定义的验证函数了。code- public class JwtAuthorizeHandler : AuthorizationHandler<JwtAuthorizeBaseRequiremente>
- {
- private readonly JsonWebTokenSetting _setting;
- private readonly IJsonWebTokenValidate _jsonWebTokenValidate;
- public JwtAuthorizeHandler(IOptions<JsonWebTokenSetting> setting, IJsonWebTokenValidate jsonWebTokenValidate)
- {
- this._setting = setting.Value;
- this._jsonWebTokenValidate = jsonWebTokenValidate;
- }
- /// <summary>
- /// 验证JWT
- /// </summary>
- /// <param name="context"></param>
- /// <param name="requirement"></param>
- /// <returns></returns>
- protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, JwtAuthorizeBaseRequiremente requirement)
- {
- var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext;
- var result = httpContext.Request.Headers.TryGetValue("Authorization", out StringValues authStr);
- if (!result || string.IsNullOrEmpty(authStr.ToString()))
- {
- throw new UnauthorizedAccessException("未受权,请传递Header头的Authorization参数。");
- }
- result = result && _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), _setting, requirement.validatePayLoad);
- if (!result)
- {
- throw new UnauthorizedAccessException("验证失败,请查看传递的参数是否正确或是否有权限访问该地址。");
- }
- context.Succeed(requirement);
- return Task.CompletedTask;
- }
- }
2.5 怎么使用呢?
-
咱们须要在
Startup.cs文件进行注册服务。其中CommonAuthorize继承JwtAuthorizeBaseRequiremente,并将自定义的策略方法,传递进去。其中common是策略名称。能够多个定义策略- public void ConfigureServices(IServiceCollection services)
- {
- services.AddJwt(Configuration);
- services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
- services.AddAuthorization(option =>
- {
- option.AddPolicy("common", policy => policy.Requirements.Add(new CommonAuthorize().
- SetValidateFunc((playLoad, sertting) =>
- {
- //每一个策略自定义验证函数,playLoad为带过来的参数字典,setting为失效时间与秘钥
- return true;
- })));
- }).AddAuthentication(option =>
- {
- option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
- });
- }
-
接着咱们在想要的
Controller或者Action的头部使用[Authorize(Policy = "common")],这样每次进到相对应的Controller或者Action,会先进行策略验证,而咱们这边验证的即是JWT了。
总结一下,咱们在这篇文章是基于上篇文章的,因此JWT的生成与验证咱们就不讲了。两篇文章讲了JWT的验证,两种方式有好有坏,你们能够根据本身的模式进行选择。
1.使用管道的方式,感受方便点,清晰点
2. 使用自定义策略的方式,效率稍微高一点,毕竟不是全部的请求都会进行是否能够匿名访问运算和创建管道的消耗,只有加入Authorize属性的Controller和Action的才会进入
最后附上源码,或者直接到个人GitHub上看看。后面要是有时间,能够讲下IdentityServer4的OAuth2的受权与认证。
- 1. asp.net core 2.0 web api基于JWT自定义策略受权
- 2. asp.net core 2.0 web api基于JWT自定义策略授权
- 3. asp.net core 3.1 自定义中间件实现jwt token认证
- 4. ASP.NET Core - 实现自定义WebApi模型验证
- 5. ASP.NET Core的JWT的实现(中间件).md
- 6. ASP.NET Core 使用 JWT 自定义角色/策略受权须要实现的接口
- 7. ASP.NET CORE 项目实战 ---图形验证码的实现
- 8. angularjs自定义验证的实现
- 9. InstallAnywhere自定义验证的实现(CustomCodeRule)
- 10. IP验证的端到端形式化验证策略
- 更多相关文章...
- • 自定义TypeHandler - MyBatis教程
- • 系统定义的TypeHandler - MyBatis教程
- • ☆基于Java Instrument的Agent实现
- • RxJava操作符(十)自定义操作符
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Appium入门
- 2. Spring WebFlux 源码分析(2)-Netty 服务器启动服务流程 --TBD
- 3. wxpython入门第六步(高级组件)
- 4. CentOS7.5安装SVN和可视化管理工具iF.SVNAdmin
- 5. jedis 3.0.1中JedisPoolConfig对象缺少setMaxIdle、setMaxWaitMillis等方法,问题记录
- 6. 一步一图一代码,一定要让你真正彻底明白红黑树
- 7. 2018-04-12—(重点)源码角度分析Handler运行原理
- 8. Spring AOP源码详细解析
- 9. Spring Cloud(1)
- 10. python简单爬去油价信息发送到公众号
- 1. asp.net core 2.0 web api基于JWT自定义策略受权
- 2. asp.net core 2.0 web api基于JWT自定义策略授权
- 3. asp.net core 3.1 自定义中间件实现jwt token认证
- 4. ASP.NET Core - 实现自定义WebApi模型验证
- 5. ASP.NET Core的JWT的实现(中间件).md
- 6. ASP.NET Core 使用 JWT 自定义角色/策略受权须要实现的接口
- 7. ASP.NET CORE 项目实战 ---图形验证码的实现
- 8. angularjs自定义验证的实现
- 9. InstallAnywhere自定义验证的实现(CustomCodeRule)
- 10. IP验证的端到端形式化验证策略