NetCoreWebApi使用Jwtbearer实现认证和授权

1. 什么是JWT?

JWT是⼀种⽤于双⽅之间传递安全信息的简洁的、URL安全的表述性声明规范。JWT作为⼀个开放的标准（），定义了⼀种简洁的，⾃包含的⽅法⽤于通信双⽅之间以Json对象的形式安全的传递信息。因为数字签名的存在，这些信息是可信的，JWT可以使⽤HMAC算法或者是RSA的公私秘钥对进⾏签名。简洁(Compact): 可以通过URL，POST参数或者在HTTP header发送，因为数据量⼩，传输速度也很快 ⾃包含(Self-contained)：负载中包含了所有⽤户所需要的信息，避免了多次查询数据库。

2. JWT 的应⽤场景是什么？

⾝份认证在这种场景下，⼀旦⽤户完成了登陆，在接下来的每个请求中包含JWT，可以⽤来验证⽤户⾝份以及对路由，服务和资源的访问权限进⾏验证。由于它的开销⾮常⼩，可以轻松的在不同域名的系统中传递，所有⽬前在单点登录（SSO）中⽐较⼴泛的使⽤了该技术。 信息交换在通信的双⽅之间使⽤JWT对数据进⾏编码是⼀种⾮常安全的⽅式，由于它的信息是经过签名的，可以确保发送者发送的信息是没有经过伪造的

3. JWT的结构

JWT包含了使⽤.分隔的三部分： Header 头部 Payload 负载 Signature 签名其结构看起来是这样的Header.Payload.SignatureHeader

在header中通常包含了两部分：token类型和采⽤的加密算法。{ \"alg\": \"HS256\接下来对这部分内容使⽤ BaseUrl 编码组成了JWT结构的第⼀部分。Payload

　　Token的第⼆部分是负载，它包含了claim， Claim是⼀些实体（通常指的⽤户）的状态和额外的元数据，有三种类型的claim：reserved, public 和 private.Reserved claims:这些claim是JWT预先定义的，在JWT中并不会强制使⽤它们，⽽是推荐使⽤，常⽤的有 iss（签发者）,exp（过期时间戳）, sub（⾯向的⽤户）, aud（接收⽅）, iat（签发时间）。 Public claims：根据需要定义⾃⼰的字段，注意应该避免冲突 Private claims：这些是⾃定义的字段，可以⽤来在双⽅之间交换信息 负载使⽤的例⼦：{ \"sub\":\"12345670\上述的负载需要经过BaseUrl编码后作为JWT结构的第⼆部分。Signature

　　创建签名需要使⽤编码后的header和payload以及⼀个秘钥，使⽤header中指定签名算法进⾏签名。例如如果希望使⽤HMAC SHA256算法，那么签名应该使⽤下列⽅式创建： HMACSHA256( baseUrlEncode(header) + \".\" + baseUrlEncode(payload), secret) 签名⽤于验证消息的发送者以及消息是没有经过篡改的。 完整的JWT 完整的JWT格式的输出是以. 分隔的三段Base编码，与SAML等基于XML的标准相⽐，JWT在HTTP和HTML环境中更容易传递。 下列的JWT展⽰了⼀个完整的JWT格式，它拼接了之前的Header， Payload以及秘钥签名：

4. 如何使⽤JWT？

　　在⾝份鉴定的实现中，传统⽅法是在服务端存储⼀个session，给客户端返回⼀个cookie，⽽使⽤JWT之后，当⽤户使⽤它的认证信息登陆系统之后，会返回给⽤户⼀个JWT，⽤户只需要本地保存该token（通常使⽤local storage，也可以使⽤cookie）即可。 当⽤户希望访问⼀个受保护的路由或者资源的时候，通常应该在Authorization头部使⽤Bearer模式添加JWT，其内容看起来是下⾯这样：Authorization: Bearer

因为⽤户的状态在服务端的内存中是不存储的，所以这是⼀种⽆状态的认证机制。服务端的保护路由将会检查请求头Authorization中的JWT信息，如果合法，则允许⽤户的⾏为。由于JWT是⾃包含的，因此减少了需要查询数据库的需要。 JWT的这些特性使得我们可以完全依赖其⽆状态的特性提供数据API服务，甚⾄是创建⼀个下载流服务。因为JWT并不使⽤Cookie的，所以你可以使⽤任何域名提供你的API服务⽽不需要担⼼跨域资源共享问题（CORS）。 下⾯的序列图展⽰了该过程：

5. 为什么要使⽤JWT？

　　相⽐XML格式，JSON更加简洁，编码之后更⼩，这使得JWT⽐SAML更加简洁，更加适合在HTML和HTTP环境中传递。 在安全性⽅⾯，SWT只能够使⽤HMAC算法和共享的对称秘钥进⾏签名，⽽JWT和SAML token则可以使⽤X.509认证的公私秘钥对进⾏签名。与简单的JSON相⽐，XML和XML数字签名会引⼊复杂的安全漏洞。 因为JSON可以直接映射为对象，在⼤多数编程语⾔中都提供了JSON解析器，⽽XML则没有这么⾃然的⽂档-对象映射关系，这就使得使⽤JWT⽐SAML更⽅便

6. 在NetCore WebApi中怎么⽤？

WebAPI使⽤NetCore2.2创建,⽆⾝份认证信息

nuget安装包

IdentityModel 版本3.10.10

Microsoft.AspNetCore.Authorization 版本2.2.0

Microsoft.AspNetCore.Authentication.JwtBearer 版本2.2.0

接下来我们需要新建⼀个⽂件夹Models，在⽂件夹下⾯新建⼀个类JwtSettings.cs

public class JwtSettings {

///

public string Issuer { get; set; } ///

public string Audience { get; set; }

///

public string SecretKey { get; set; } }

然后我们需要在appsettings.json中配置jwt参数的值 【注意】 SecretKey必须⼤于16个,是⼤于，不是⼤于等于

{

\"Logging\": { \"LogLevel\": {

\"Default\": \"Warning\" } },

\"AllowedHosts\": \"*\", \"JwtSettings\": {

\"Issuer\": \"https://localhost:44336\", \"Audience\": \"https://localhost:44336\", \"SecretKey\": \"Hello-key----------\" }}

Startup注⼊服务

// This method gets called by the runtime. Use this method to add services to the container. public void ConfigureServices(IServiceCollection services) {

#region Jwt配置

//将appsettings.json中的JwtSettings部分⽂件读取到JwtSettings中，这是给其他地⽅⽤的 services.Configure(Configuration.GetSection(\"JwtSettings\")); //由于初始化的时候我们就需要⽤，所以使⽤Bind的⽅式读取配置 //将配置绑定到JwtSettings实例中 var jwtSettings = new JwtSettings();

Configuration.Bind(\"JwtSettings\", jwtSettings);

//添加⾝份验证

services.AddAuthentication(options => {

//认证middleware配置

options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; })

.AddJwtBearer(o => {

//jwt token参数设置

o.TokenValidationParameters = new TokenValidationParameters {

NameClaimType = JwtClaimTypes.Name, RoleClaimType = JwtClaimTypes.Role, //Token颁发机构

ValidIssuer = jwtSettings.Issuer, //颁发给谁

ValidAudience = jwtSettings.Audience, //这⾥的key要进⾏加密

IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtSettings.SecretKey)), /***********************************TokenValidationParameters的参数默认值***********************************/ // RequireSignedTokens = true, // SaveSigninToken = false, // ValidateActor = false,

// 将下⾯两个参数设置为false，可以不验证Issuer和Audience，但是不建议这样做。 // ValidateAudience = true, // ValidateIssuer = true,

// ValidateIssuerSigningKey = false,

// 是否要求Token的Claims中必须包含Expires // RequireExpirationTime = true, // 允许的服务器时间偏移量

// ClockSkew = TimeSpan.FromSeconds(300),

// 是否验证Token有效期，使⽤当前时间与Token的Claims中的NotBefore和Expires对⽐ // ValidateLifetime = true }; }); #endregion //mvc路由配置

services.AddMvc(options => {

options.Filters.Add(new ActionFilter());

}).SetCompatibilityVersion(CompatibilityVersion.Version_2_1); }

// This method gets called by the runtime. Use this method to configure the HTTP request pipeline. public void Configure(IApplicationBuilder app, IHostingEnvironment env, ILoggerFactory loggerFactory) {

if (env.IsDevelopment()) {

app.UseDeveloperExceptionPage(); } else {

app.UseHsts(); }

//⾝份授权认证

app.UseAuthentication(); app.UseHttpsRedirection(); app.UseMvc(); }

我们新建⼀个⽤户的实体类app_mobile_user

public class app_mobile_user {

public long id { get; set; } ///

public string phone { get; set; } ///

public string password { get; set; } }

接下来在Controllers⽂件夹下新建控制器userController.cs，完整代码如下

namespace Mms.Api.Controllers{

[Route(\"[controller]\")] [ApiController]

public class userController : ControllerBase {

//获取JwtSettings对象信息

private JwtSettings _jwtSettings;

public userController(IOptions _jwtSettingsAccesser) {

_jwtSettings = _jwtSettingsAccesser.Value; }

///

///

private object Token(app_mobile_user model) {

//测试⾃⼰创建的对象

var user = new app_mobile_user {

id = 1,

phone = \"138000000\",

password = \"e10adc3949ba59abbe56e057f20f883e\" };

var tokenHandler = new JwtSecurityTokenHandler();

var key = Encoding.UTF8.GetBytes(_jwtSettings.SecretKey); var authTime = DateTime.Now;//授权时间

var expiresAt = authTime.AddDays(30);//过期时间 var tokenDescripor = new SecurityTokenDescriptor {

Subject = new ClaimsIdentity(new Claim[] {

new Claim(JwtClaimTypes.Audience,_jwtSettings.Audience), new Claim(JwtClaimTypes.Issuer,_jwtSettings.Issuer), new Claim(JwtClaimTypes.Name, user.phone.ToString()), new Claim(JwtClaimTypes.Id, user.id.ToString()),

new Claim(JwtClaimTypes.PhoneNumber, user.phone.ToString()) }),

Expires = expiresAt,

//对称秘钥SymmetricSecurityKey

//签名证书(秘钥，加密算法)SecurityAlgorithms

SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature) };

var token = tokenHandler.CreateToken(tokenDescripor); var tokenString = tokenHandler.WriteToken(token); var result = new {

access_token = tokenString, token_type = \"Bearer\", profile = new {

id = user.id,

name = user.phone, phone = user.phone, auth_time = authTime, expires_at = expiresAt } };

return result; }

[Route(\"get_token\")] [HttpPost]

public IActionResult GetToken() {

return Ok(Token(null)); }

[Authorize]

[Route(\"get_user_info\")] [HttpPost]

public IActionResult GetUserInfo() {

//获取当前请求⽤户的信息，包含token信息 var user = HttpContext.User; return Ok();

} }

接下来就开始做验证！PostMan测试获取token

这样可以成功获取token,下⾯来做权限校验在需要授权的api上新增 [Authorize] 标记

我们分别使⽤携带token和不携带token访问get_user_info接⼝ 1.未携带token,返回401

2.携带token访问,返回了想要的数据

如果查看token信息到官⽅：

项⽬中需要解析token可以调⽤HttpContext.User

转：