NetCore WebApi使用Jwtbearer实现认证和受权

1. 什么是JWT?

        JWT是一种用于双方之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT做为一个开放的标准（RFC 7519），定义了一种简洁的，自包含的方法用于通讯双方之间以Json对象的形式安全的传递信息。由于数字签名的存在，这些信息是可信的，JWT可使用HMAC算法或者是RSA的公私秘钥对进行签名。简洁(Compact): 能够经过URL，POST参数或者在HTTP header发送，由于数据量小，传输速度也很快 自包含(Self-contained)：负载中包含了全部用户所须要的信息，避免了屡次查询数据库。

2. JWT 的应用场景是什么？

       身份认证在这种场景下，一旦用户完成了登录，在接下来的每一个请求中包含JWT，能够用来验证用户身份以及对路由，服务和资源的访问权限进行验证。因为它的开销很是小，能够轻松的在不一样域名的系统中传递，全部目前在单点登陆（SSO）中比较普遍的使用了该技术。 信息交换在通讯的双方之间使用JWT对数据进行编码是一种很是安全的方式，因为它的信息是通过签名的，能够确保发送者发送的信息是没有通过伪造的

3. JWT的结构 

JWT包含了使用.分隔的三部分： Header 头部 Payload 负载 Signature 签名

其结构看起来是这样的Header.Payload.Signature

Header

在header中一般包含了两部分：token类型和采用的加密算法。{ "alg": "HS256", "typ": "JWT"} 接下来对这部份内容使用 Base64Url 编码组成了JWT结构的第一部分。

Payload

　　Token的第二部分是负载，它包含了claim， Claim是一些实体（一般指的用户）的状态和额外的元数据，有三种类型的claim：reserved, public 和 private.Reserved claims: 这些claim是JWT预先定义的，在JWT中并不会强制使用它们，而是推荐使用，经常使用的有 iss（签发者）,exp（过时时间戳）, sub（面向的用户）, aud（接收方）, iat（签发时间）。 Public claims：根据须要定义本身的字段，注意应该避免冲突 Private claims：这些是自定义的字段，能够用来在双方之间交换信息 负载使用的例子：{ "sub": "1234567890", "name": "John Doe", "admin": true} 上述的负载须要通过Base64Url编码后做为JWT结构的第二部分。

Signature

　　建立签名须要使用编码后的header和payload以及一个秘钥，使用header中指定签名算法进行签名。例如若是但愿使用HMAC SHA256算法，那么签名应该使用下列方式建立： HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) 签名用于验证消息的发送者以及消息是没有通过篡改的。 完整的JWT 完整的JWT格式的输出是以. 分隔的三段Base64编码，与SAML等基于XML的标准相比，JWT在HTTP和HTML环境中更容易传递。 下列的JWT展现了一个完整的JWT格式，它拼接了以前的Header， Payload以及秘钥签名：

 

 

4. 如何使用JWT？

　　在身份鉴定的实现中，传统方法是在服务端存储一个session，给客户端返回一个cookie，而使用JWT以后，当用户使用它的认证信息登录系统以后，会返回给用户一个JWT，用户只须要本地保存该token（一般使用local storage，也可使用cookie）便可。 当用户但愿访问一个受保护的路由或者资源的时候，一般应该在Authorization头部使用Bearer模式添加JWT，其内容看起来是下面这样：Authorization: Bearer <token>

由于用户的状态在服务端的内存中是不存储的，因此这是一种无状态的认证机制。服务端的保护路由将会检查请求头Authorization中的JWT信息，若是合法，则容许用户的行为。因为JWT是自包含的，所以减小了须要查询数据库的须要。 JWT的这些特性使得咱们能够彻底依赖其无状态的特性提供数据API服务，甚至是建立一个下载流服务。由于JWT并不使用Cookie的，因此你可使用任何域名提供你的API服务而不须要担忧跨域资源共享问题（CORS）。 下面的序列图展现了该过程：

5. 为何要使用JWT？

　　相比XML格式，JSON更加简洁，编码以后更小，这使得JWT比SAML更加简洁，更加适合在HTML和HTTP环境中传递。 在安全性方面，SWT只可以使用HMAC算法和共享的对称秘钥进行签名，而JWT和SAML token则可使用X.509认证的公私秘钥对进行签名。与简单的JSON相比，XML和XML数字签名会引入复杂的安全漏洞。 由于JSON能够直接映射为对象，在大多数编程语言中都提供了JSON解析器，而XML则没有这么天然的文档-对象映射关系，这就使得使用JWT比SAML更方便

6. 在NetCore WebApi中怎么用？

WebAPI使用NetCore2.2建立,无身份认证信息

 

nuget安装包

IdentityModel 版本3.10.10
Microsoft.AspNetCore.Authorization 版本2.2.0
Microsoft.AspNetCore.Authentication.JwtBearer 版本2.2.0

 接下来咱们须要新建一个文件夹Models，在文件夹下面新建一个类JwtSettings.cs

 

    public class JwtSettings
    {
        /// <summary>
        /// token是谁颁发的
        /// </summary>
        public string Issuer { get; set; }

        /// <summary>
        /// token能够给那些客户端使用
        /// </summary>
        public string Audience { get; set; }

        /// <summary>
        /// 加密的key（SecretKey必须大于16个,是大于，不是大于等于）
        /// </summary>
        public string SecretKey { get; set; }
    }

而后咱们须要在appsettings.json中配置jwt参数的值 【注意】 SecretKey必须大于16个,是大于，不是大于等于

{
  "Logging": {
    "LogLevel": {
      "Default": "Warning"
    }
  },
  "AllowedHosts": "*",
  "JwtSettings": {
    "Issuer": "https://localhost:44336",
    "Audience": "https://localhost:44336",
    "SecretKey": "Hello-key----------"
  }
}

 Startup注入服务

        // This method gets called by the runtime. Use this method to add services to the container.
        public void ConfigureServices(IServiceCollection services)
        {
            #region Jwt配置
            //将appsettings.json中的JwtSettings部分文件读取到JwtSettings中，这是给其余地方用的
            services.Configure<JwtSettings>(Configuration.GetSection("JwtSettings"));

            //因为初始化的时候咱们就须要用，因此使用Bind的方式读取配置
            //将配置绑定到JwtSettings实例中
            var jwtSettings = new JwtSettings();
            Configuration.Bind("JwtSettings", jwtSettings);

            //添加身份验证
            services.AddAuthentication(options =>
            {
                //认证middleware配置
                options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
                options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
            })
            .AddJwtBearer(o =>
            {
                //jwt token参数设置
                o.TokenValidationParameters = new TokenValidationParameters
                {
                    NameClaimType = JwtClaimTypes.Name,
                    RoleClaimType = JwtClaimTypes.Role,
                    //Token颁发机构
                    ValidIssuer = jwtSettings.Issuer,
                    //颁发给谁
                    ValidAudience = jwtSettings.Audience,
                    //这里的key要进行加密
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings.SecretKey)),

                    /***********************************TokenValidationParameters的参数默认值***********************************/
                    // RequireSignedTokens = true,
                    // SaveSigninToken = false,
                    // ValidateActor = false,
                    // 将下面两个参数设置为false，能够不验证Issuer和Audience，可是不建议这样作。
                    // ValidateAudience = true,
                    // ValidateIssuer = true, 
                    // ValidateIssuerSigningKey = false,
                    // 是否要求Token的Claims中必须包含Expires
                    // RequireExpirationTime = true,
                    // 容许的服务器时间偏移量
                    // ClockSkew = TimeSpan.FromSeconds(300),
                    // 是否验证Token有效期，使用当前时间与Token的Claims中的NotBefore和Expires对比
                    // ValidateLifetime = true
                };
            });

            #endregion

            //mvc路由配置
            services.AddMvc(options =>
            {
                options.Filters.Add(new ActionFilter());
            }).SetCompatibilityVersion(CompatibilityVersion.Version_2_1);
        }

        // This method gets called by the runtime. Use this method to configure the HTTP request pipeline.
        public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory)
        {            
            if (env.IsDevelopment())
            {
                app.UseDeveloperExceptionPage();
            }
            else
            {
                app.UseHsts();
            }

            //身份受权认证
            app.UseAuthentication();
            app.UseHttpsRedirection();
            app.UseMvc();
        }

咱们新建一个用户的实体类app_mobile_user

    public class app_mobile_user
    {
        public long id { get; set; }
        /// <summary>
        /// 手机号
        /// </summary>
        public string phone { get; set; }
        /// <summary>
        /// 密码
        /// </summary>
        public string password { get; set; }

    }

接下来在Controllers文件夹下新建控制器userController.cs，完整代码以下

 

namespace Mms.Api.Controllers
{
    [Route("[controller]")]
    [ApiController]
    public class userController : ControllerBase
    {
        //获取JwtSettings对象信息
        private JwtSettings _jwtSettings;
        public userController(IOptions<JwtSettings> _jwtSettingsAccesser)
        {
            _jwtSettings = _jwtSettingsAccesser.Value;
        }

        /// <summary>
        /// 获取token
        /// </summary>
        /// <param name="user"></param>
        private object Token(app_mobile_user model)
        {
            //测试本身建立的对象
            var user = new app_mobile_user
            {
                id = 1,
                phone = "138000000",
                password = "e10adc3949ba59abbe56e057f20f883e"
            };
            var tokenHandler = new JwtSecurityTokenHandler();

            var key = Encoding.UTF8.GetBytes(_jwtSettings.SecretKey);
            var authTime = DateTime.Now;//受权时间
            var expiresAt = authTime.AddDays(30);//过时时间
            var tokenDescripor = new SecurityTokenDescriptor
            {
                Subject = new ClaimsIdentity(new Claim[] {
                    new Claim(JwtClaimTypes.Audience,_jwtSettings.Audience),
                    new Claim(JwtClaimTypes.Issuer,_jwtSettings.Issuer),
                    new Claim(JwtClaimTypes.Name, user.phone.ToString()),
                    new Claim(JwtClaimTypes.Id, user.id.ToString()),
                    new Claim(JwtClaimTypes.PhoneNumber, user.phone.ToString())
                }),
                Expires = expiresAt,
                //对称秘钥SymmetricSecurityKey
                //签名证书(秘钥，加密算法)SecurityAlgorithms
                SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
            };
            var token = tokenHandler.CreateToken(tokenDescripor);
            var tokenString = tokenHandler.WriteToken(token);
            var result = new
            {
                access_token = tokenString,
                token_type = "Bearer",
                profile = new
                {
                    id = user.id,
                    name = user.phone,
                    phone = user.phone,
                    auth_time = authTime,
                    expires_at = expiresAt
                }
            };
            return result;
        }

        [Route("get_token")]
        [HttpPost]
        public IActionResult GetToken()
        {
            return Ok(Token(null));
        }

        [Authorize]
        [Route("get_user_info")]
        [HttpPost]
        public IActionResult GetUserInfo()
        {
            //获取当前请求用户的信息，包含token信息
            var user = HttpContext.User;
            return Ok();
        }

    }

接下来就开始作验证！

PostMan测试获取token

 

这样能够成功获取token,下面来作权限校验

在须要受权的api上新增 [Authorize] 标记

 

咱们分别使用携带token和不携带token访问get_user_info接口

 1.未携带token,返回401

 

2.携带token访问,返回了想要的数据

 

 

若是查看token信息到官方：https://jwt.io/

 

 

项目中须要解析token能够调用HttpContext.User

 

转：http://www.javashuo.com/article/p-mwhmvjmh-w.html

http://www.javashuo.com/article/p-ehpdassb-bz.html

https://blog.csdn.net/sD7O95O/article/details/85043163