asp.net core Jwt使用
持久的胜利 人气:0简单描述: session不支持 分布式 并且在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用
Jwt描述:
1.状态保证在客户端,而非服务器端。天然适合分布式系统。
2.签名保证了客户端无法数据造假。
3.性能更高,不需要和 中心状态服务器通信(如Redis),纯内存的计算
JWT是由三段信息构成的,将这三段信息文本用.
链接一起就构成了Jwt字符串
第一部分我们称它为头部(header 明文 的加密算法类型),第二部分我们称其为载荷(payload, 明文的各种 自定义 信息),第三部分是签证(signature只有服务器端才知道的密钥).
不要在 jwt中 传入 非常敏感 信息 ,因为客户端 可以解析 出明文
流程:服务器 生成 Jwt 颁发给 客户端 ,每次客户端 请求 带上 Jwt,服务器端在做效验。
下面使用 一个 案例 来说明 JWT的使用
1.设置JWT配置实体 JWTSetting.cs 用于注入
namespace aspnetcore013 { public class JWTSetting { public string Key { get; set; } // JWT 服务端的 key public long OutTime { get; set; } //设置过期秒数 } }
2.在 appsettings.json 文件中配置如下
{ "Logging": { "LogLevel": { "Default": "Information", "Microsoft.AspNetCore": "Warning" } }, "AllowedHosts": "*", "JWT": { "key": "xcv24fds*/*=-.lj?./54oi@%$^*ouio", "OutTime": 3600 } }
3.1.在 Program.cs 文件中 配置 JWT配置 如下
builder.Services.Configure<JWTSetting>(builder.Configuration.GetSection("JWT")); builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(opt => { var JWTsetting = builder.Configuration.GetSection("JWT").Get<JWTSetting>(); byte[] byteKeys = Encoding.UTF8.GetBytes(JWTsetting.Key); var securityKey = new SymmetricSecurityKey(byteKeys); opt.TokenValidationParameters = new TokenValidationParameters() { ValidateIssuer = false, ValidateAudience = false, ValidateLifetime = true, ValidateIssuerSigningKey = true, IssuerSigningKey = securityKey }; });
3.2 最后 还有 在添加 app.UseAuthentication(); 需要在 app.UseAuthorization(); 之前
app.UseAuthentication();
4.登录成功 用于生成JWT 字符串
using Microsoft.AspNetCore.Http; using Microsoft.AspNetCore.Mvc; using Microsoft.Extensions.Options; using Microsoft.IdentityModel.Tokens; using System.IdentityModel.Tokens.Jwt; using System.Security.Claims; using System.Text; namespace aspnetcore013.Controllers { [Route("api/[controller]/[action]")] [ApiController] public class Test3Controller : ControllerBase { //用于 依赖注入 private readonly IOptionsSnapshot<JWTSetting> _settings; //注入 设置 public Test3Controller(IOptionsSnapshot<JWTSetting> settings) { _settings = settings; } [HttpGet] public ActionResult<string> Login(string userName,string passWord) { if(userName=="zhangsan"&& passWord == "123456") { //这里已经 表明 登录 成功 //Claim为 JWT第二阶段的 payload List<Claim> claims = new List<Claim>(); claims.Add(new Claim(ClaimTypes.NameIdentifier, "66")); claims.Add(new Claim(ClaimTypes.Name, "zhangsan")); claims.Add(new Claim("Wechat", "jiujiu56"));//自定义 type名称 claims.Add(new Claim(ClaimTypes.Role, "admin")); //下面为生成 JWT string configkey = _settings.Value.Key; DateTime outTime = DateTime.Now.AddSeconds(_settings.Value.OutTime); byte[] byteKey = Encoding.UTF8.GetBytes(configkey); var securityKey = new SymmetricSecurityKey(byteKey); var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256Signature); //设置 JWT第二阶段的 payload 和过期 时间 和 效验算法 var securityToken = new JwtSecurityToken(claims: claims, expires: outTime, signingCredentials: credentials); string jwt =new JwtSecurityTokenHandler().WriteToken(securityToken); return jwt; } else { return BadRequest("登录失败"); } } } }
5.标记 需要 授权的 控制器或方法
using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Http; using Microsoft.AspNetCore.Mvc; using System.Security.Claims; namespace aspnetcore013.Controllers { [Route("api/[controller]/[action]")] [ApiController] [Authorize] //在控制器上 加入这个[Authorize] //则 这个控制器 下所有 方法必须 登录验证 //如果在 方法上加 那么 这个方法 必须 登录验证 public class Test4Controller : ControllerBase { [HttpGet] public string demo1() { //获取 当前登录成功的用户 Claim的值 var claim = this.User.FindFirst(ClaimTypes.Name); return "666"+ claim.Value; } [HttpGet] [AllowAnonymous] //在方法中 使用 [AllowAnonymous] //可以 排除 本方法 使用 授权 不必登录验证 就可使用 public string demo2() { return "777"; } [HttpGet] [Authorize(Roles ="admin")] //可以使用 Role进行 //角色的控制 [Authorize(Roles ="admin")] //这里表示 必须要 有登录权限并且角色为 admin public string demo3() { return "888"; } } }
6.访问 [Authorize] 授权的 方法或控制器 必须在 提交协议头 加上 Authorization:Bearer JWT数据
注意:Bearer 和 JWT数据之间 要有 一个 空格 。JWT数据之后不能 参杂 任何额外数据
如果 退出 JWT 一般把 JWT删除 就好。在多端 删除即可 JWT还可以有 过期时间,上面代码已经 阐述 清楚了。
引入 Microsoft.AspNetCore.Authentication.JwtBearer 包
加载全部内容