1)jwt的加密解密过程

jwt验证的核心就是加密解密的过程,掌握了这个过程,也就掌握了jwt的原理。jwt的三部分中,header和payload是明文的,能够直接读出来,签名Signature部分是进行了加密处理的。

Signature的加密过程

为了得到签名部分,你必须有编码过的header、编码过的payload、一个秘钥,签名算法是header中指定的那个,然对它们签名即可。一般的编码是base64url编码格式。

例如:

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

签名是用于验证消息在传递过程中有没有被更改,并且,对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。

解密方也会拿着秘钥对token最对应的解密,然后将解密的内容和原文内容做对比,如果一样就没有被篡改。

2)代码实现主要包含两部分,授权中心(token颁发),api服务器(验证token)

相对来说颁发token比较简单,上代码

[HttpPost]

public string Login()

{

    var claims = new[]

    {

       new Claim(ClaimTypes.Name, "TestUser1"),

       new Claim("Role","Administrator"),//传递其他信息

    };

    return CreateAccessToken(claims, _configuration);

}

private string CreateAccessToken(IEnumerable<Claim> claims, IConfiguration configuration, TimeSpan? expiration = null)

{

    var now = DateTime.UtcNow;

    var SecurityKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(configuration["Authentication:JwtBearer:SecurityKey"]));

    var jwtSecurityToken = new JwtSecurityToken(

        issuer: configuration["Authentication:JwtBearer:Issuer"],

        audience: configuration["Authentication:JwtBearer:Audience"],

        claims: claims,

        notBefore: now,

        expires: now.Add(expiration ?? TimeSpan.FromSeconds(configuration.GetValue<long>("Authentication:JwtBearer:Expiration"))),

        signingCredentials: new SigningCredentials(SecurityKey, SecurityAlgorithms.HmacSha256)

    );

    return new JwtSecurityTokenHandler().WriteToken(jwtSecurityToken);

}

这里只是省去了验证用户登录的过程,架设登录验证通过,直接生成token。

验证端相对代码逻辑会多一些,继续上代码:

public static void Configure(IServiceCollection services, IConfiguration configuration)

{

    if (bool.Parse(configuration["Authentication:JwtBearer:IsEnabled"]))

    {

        string authenticationScheme = JwtBearerDefaults.AuthenticationScheme;

        services.AddAuthentication(authenticationScheme)

            .AddJwtBearer(authenticationScheme, options =>

            {

                options.TokenValidationParameters = new TokenValidationParameters

                {

                    SaveSigninToken = false,

                    ValidateActor = false,

                    ValidateTokenReplay = false,

                    // The signing key must match!

                    RequireSignedTokens = true,

                    ValidateIssuerSigningKey = true,

                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(configuration["Authentication:JwtBearer:SecurityKey"])),

                    // Validate the JWT Issuer (iss) claim

                    ValidateIssuer = true,

                    ValidIssuer = configuration["Authentication:JwtBearer:Issuer"],

                    // Validate the JWT Audience (aud) claim

                    RequireAudience = true,

                    ValidateAudience = true,

                    ValidAudience = configuration["Authentication:JwtBearer:Audience"],

                    // Validate the token expiry

                    RequireExpirationTime = true,

                    ValidateLifetime = true,

                    // If you want to allow a certain amount of clock drift, set that here

                    ClockSkew = TimeSpan.Zero

                };

            });

    }

}

这里面的配置信息和颁发端的配置要保持一致,否则无法验证通过。

验证端需要再控制器或者Action中加入验证,继续上代码

public void ConfigureServices(IServiceCollection services)

{

    services.AddControllers();

    //Jwt

    AuthConfigurer.Configure(services, Configuration);

}

// This method gets called by the runtime. Use this method to configure the HTTP request pipeline.

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)

{

    if (env.IsDevelopment())

    {

        app.UseDeveloperExceptionPage();

    }

    #region jwt

    //身份验证又称“认证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。

    //身份验证的目的是确认当前所声称为某种身份的用户,确实是所声称的用户。

    app.UseAuthentication();//注意添加这一句,启用验证

    #endregion

    app.UseRouting();

    //授权一般是指对信息安全或计算机安全相关的资源定义与授予访问权限,尤指访问控制。

    //动词“授权”可指定义访问策略与接受访问。

    //例如,人力资源人员通常被授权访问员工记录,而这个策略通常被形式化为计算机系统中的访问控制规则。

    //在运行期间,系统使用已定义的访问控制规则决定是接受还是拒绝经过身份验证的访问请求。

    app.UseAuthorization();

    app.UseEndpoints(endpoints =>

    {

        endpoints.MapControllers();

    });

}

控制器访问限制:

[ApiController]

[Route("[controller]/[action]")]

//[Authorize]

public class BaseController : ControllerBase, IActionFilter

{

    protected IEnumerable<Claim> claims { get; set; }

    public void OnActionExecuted(ActionExecutedContext context)

    {

    }

    public void OnActionExecuting(ActionExecutingContext context)

    {

        //claims = context.HttpContext.AuthenticateAsync().Result.Principal.Claims;//这种方式必须在控制器上方拥有[Authorize]特性时才可用

        claims = context.HttpContext.User.Claims;

    }

}

[ApiController]

[Route("[controller]/[action]")]

[Authorize]

public class PatientController : BaseController

{

    private readonly ILogger<PatientController> _logger;

    public PatientController(ILogger<PatientController> logger)

    {

        _logger = logger;

    }

    [AllowAnonymous]

    [HttpGet]

    public async Task<string> GetByPatientId(long patientId)

    {

        return await Task.FromResult($"GetByPatientId:{patientId}");

    }

    [HttpPost]

    public async Task<Patient> CreateorUpdatePatient([FromBody] Patient patient)

    {

        var claims = this.claims;

        patient.PatientName = "PatientName";

        return await Task.FromResult(patient);

    }

}

这里我们自定义了一个控制器的基类,实现了接口IActionFilter的两个方法,在控制器执行中,先执行了 OnActionExecuting,这里面可以获得token中的所有Claims,两种方法见代码,一种是直接使用

HttpContext.User.Claims

一种是在控制器拥有[Authorize]特性,然后可以使用

HttpContext.AuthenticateAsync().Result.Principal.Claims;

综上,jwt就可以实现了。至于过期时候刷新token,异地登录之后本地token失效等逻辑,单纯的依靠jwt是无法实现的,有想法的同学欢迎探讨。

附代码(支持国产):demo

03-Jwt在.netcore中的实现的更多相关文章

  1. .NetCore中的日志(2)集成第三方日志工具

    .NetCore中的日志(2)集成第三方日志工具 0x00 在.NetCore的Logging组件中集成NLog 上一篇讨论了.NetCore中日志框架的结构,这一篇讨论一下.NetCore的Logg ...

  2. .NetCore中的日志(1)日志组件解析

    .NetCore中的日志(1)日志组件解析 0x00 问题的产生 日志记录功能在开发中很常用,可以记录程序运行的细节,也可以记录用户的行为.在之前开发时我一般都是用自己写的小工具来记录日志,输出目标包 ...

  3. AutoMapper在asp.netcore中的使用

    # AutoMapper在asp.netcore中的使用  automapper 是.net 项目中针对模型之间转换映射的一个很好用的工具,不仅提高了开发的效率还使代码更加简洁,当然也是开源的,htt ...

  4. netcore中的缓存介绍

    Cache(缓存)是优化web应用的常用方法,缓存存放在服务端的内存中,被所有用户共享.由于Cache存放在服务器的内存中,所以用户获取缓存资源的速度远比从服务器硬盘中获取快,但是从资源占有的角度考虑 ...

  5. 在netcore中如何注入同一个接口的多个实现

    netcore中自带了Ioc框架,这也影响了我们的编码习惯,以前都是静态类或者直接new对象,现在有了Ioc框架的支持,我们也不必守旧,应当使用起来,接受这种对象管理方式.使用过java的同仁,都习惯 ...

  6. .NetCore中EFCore的使用整理(二)-关联表查询

    EF常用处理关联加载的方式有3中:延迟加载(Lazy Loading).贪婪加载 (Eager Loading)以及显示加载. 一.EF Core  1.1 1.当前的版本,还不支持延迟加载(Lazy ...

  7. .NetCore中EFCore for MySql整理(三)之Pomelo.EntityFrameworkCore.MySql

    一.Pomelo.EntityFrameworkCore.MySql简介 Git源代码地址:https://github.com/PomeloFoundation/Pomelo.EntityFrame ...

  8. .NetCore中如何实现权限控制 基于Claim角色、策略、基于Claim功能点处理

    .NetCore中如果实现权限控制的问题,当我们访问到一个Action操作的时候,我们需要进行权限控制 基于claims 角色控制 基于角色控制总觉得范围有点过大,而且控制起来感觉也不是太好,举一个例 ...

  9. .NetCore中EFCore for MySql整理(二)

    一.简介 EF Core for MySql的官方版本MySql.Data.EntityFrameworkCore 目前正是版已经可用当前版本v6.10,对于以前的预览版参考:http://www.c ...

  10. NetCore中使用Myrmec

    NetCore中使用Myrmec Myrmec 是什么? Myrmec 是一个用于检测文件格式的库,Myrmec不同于其它库或者手写检测代码,Myrmec不依赖文件扩展名(在实际使用中,你的用户很可能 ...

随机推荐

  1. Linux下的Shell工作原理

    Linux下的Shell工作原理 Linux系统提供给用户的最重要的系统程序是Shell命令语言解释程序.它不属于内核部分,而是在核心之外,以用户态方式运行.其基本功能是解释并执行用户打入的各种命令, ...

  2. Python - 面向对象编程 - 类变量、实例变量/类属性、实例属性

    什么是对象和类 https://www.cnblogs.com/poloyy/p/15178423.html 什么是 Python 类.类对象.实例对象 https://www.cnblogs.com ...

  3. vivo全球商城时光机 - 大型促销活动保障利器

    一.背景 官网商城在双11.双12等大促期间运营同学会精心设计许多给到用户福利的促销活动,当促销活动花样越来越多后就会涉及到很多的运营配置工作(如指定活动有效期,指定活动启停状态,指定活动参与商品等等 ...

  4. Focal Loss(RetinaNet)笔记 一种减小类别不平衡影响的方法

    Paper: https://arxiv.org/abs/1708.02002 还参考了:https://www.jianshu.com/p/8e501a159b28 其中p是预测属于某类的概率.

  5. Learning ROS: rqt_console和rqt_logger_level使用

    rqt_console:操作.查看log信息 rqt_logger_level:设置log等级 打开node: rosrun rqt_console rqt_console rosrun rqt_lo ...

  6. Android常见面试题(一)

    ANDROID(一) Activity 1.什么是Activity? 请描述一下生命周期 Activity: 一个Activity是一个应用程序组件,提供一个屏幕,用户可以用来交互为了完成某项任务,例 ...

  7. Mybatis-plus<一> Springboot框架使用MybatisPlus代码自动生成器

    Mybatis-plus<一> Springboot框架使用MybatisPlus代码自动生成器 Mybatis-plus官网: https://mp.baomidou.com/ Demo ...

  8. K8S——Pod

    一.Pod概念 二.Pod存在的意义 三.Pod的实现机制 四.Pod镜像拉取策略 五.Pod资源限制 六.Pod重启机制 七.Pod的健康检查 八.Pod调度策略(创建Pod流程)

  9. 硕盟SM-H2V1 HDMI转VGA 笔记本台式主机HDMI转VGA显示器转接头

    硕盟SM-G2V1  HDMI转VGA高清转换器一款采用优质芯片的HDMI转VGA转换器,快速传输众享1080P的高清画质显示,而且HDMI转VGA高清转换器,采用24k镀金工艺,耐磨.耐腐蚀性强,这 ...

  10. python库--flask--创建嵌套蓝图

    这里没有对内容进行py文件分割, 可以自己根据框架自己放入对应位置 以下代码生成一个 /v1/myapp/test 的路由 from flask import Flask app = Flask(__ ...