既然选择了远方,便只顾风雨兼程 __ HANS许

在上篇文章,我们讲了JWT在ASP.NET Core的实现,基于中间件来实现。这种方式有个缺点,就是所有的URL,要嘛需要验证,要嘛不需要验证,没有办法各取所需,因为我们某个API与另一个API的验证方式不一样。这就引导出“基于自定义策略形式下的验证了”。

ASP.NET Core 的Authorization实现

我们使用Core自带的Authorization(认证与授权)来实现。大家可以先看下微软官方的策略授权

  1. 微软官方例子:
    1.1 定义策略

    1. internal class MinimumAgeAuthorizeAttribute : AuthorizeAttribute 

    3. const string POLICY_PREFIX = "MinimumAge"; 
    4. public MinimumAgeAuthorizeAttribute(int age) => Age = age; 
    5. // Get or set the Age property by manipulating the underlying Policy property 
    6. public int Age 

    8. get 

    10. if (int.TryParse(Policy.Substring(POLICY_PREFIX.Length), out var age)) 

    12. return age; 

    14. return default(int); 

    16. set 

    18. Policy = $"{POLICY_PREFIX}{value.ToString()}"; 



    1.2 使用策略

    1. [MinimumAgeAuthorize(10)] 
    2. public IActionResult RequiresMinimumAge10() 

    这样在执行RequiresMinimumAge10会先执行MinimumAgeAuthorize策略,很像MVC的Attribute特性,
    但内部又不像,在这边就不多做解释了,微软的Core官方文档讲的很清楚。大家去看下就清楚了。

  2. JWT的自定义策略形式的实现
    2.1 了解IAuthorizationRequirement
    IAuthorizationRequirement表示授权要求,用户可以继承这个接口,实现自己认证与授权的要求,比如上面的片段代码,它就继承该接口,并有个字段Age,也就是这个策略有年龄的要求,这个要求可以带到我们后面验证的方法里面。我们往下看。

    2.2 继承IAuthorizationRequirement
    所以我们实现了JwtAuthorizeBaseRequiremente该接口,并继承IAuthorizationRequirement,可以看到我们的要求是一个叫validatePayLoad的委托函数,委托函数的入参是字典,JWT,字典便是上篇文章说的JWT的负载部分了。而返回参数是bool,便代表我们自定义的策略验证JWT是否成功。IJwtAuthorizRequiremente继承了IAuthorizationRequirement

    1. public class JwtAuthorizeBaseRequiremente : IJwtAuthorizRequiremente 

    3. protected internal Func<Dictionary<string, string>, JsonWebTokenSetting, bool> validatePayLoad = (a, b) => 

    5. return true; 
    6. }; 
    8. public virtual IJwtAuthorizRequiremente SetValidateFunc(Func<Dictionary<string, string>, JsonWebTokenSetting, bool> func) 

    11. this.validatePayLoad = func ?? this.validatePayLoad; 
    12. return this; 


    2.3 了解AuthorizationHandler
    AuthorizationHandler为特定需求类型调用的授权处理程序的基类。也就是说我们处理策略是会到这个基类来处理,并且判断是否认证成功,也就是授权成功。

    2.4 继承AuthorizationHandler
    JwtAuthorizeHandler继承AuthorizationHandler并实现泛型JwtAuthorizeBaseRequiremente的定义,这样子我们的自定义的策略委托验证函数就会传递到这个处理类。我们需要重写HandleRequirementAsync来自定已处理。可以看到,最终我们还是调用上篇文章所讲的验证函数_jsonWebTokenValidate.Validate,大家不清楚可以去看上篇文章。而requirement.validatePayLoad便是我们稍后再外面自定义的验证函数了。

    1. public class JwtAuthorizeHandler : AuthorizationHandler<JwtAuthorizeBaseRequiremente> 

    3. private readonly JsonWebTokenSetting _setting; 
    4. private readonly IJsonWebTokenValidate _jsonWebTokenValidate; 
    6. public JwtAuthorizeHandler(IOptions<JsonWebTokenSetting> setting, IJsonWebTokenValidate jsonWebTokenValidate) 

    8. this._setting = setting.Value; 
    9. this._jsonWebTokenValidate = jsonWebTokenValidate; 

    12. /// <summary> 
    13. /// 验证JWT 
    14. /// </summary> 
    15. /// <param name="context"></param> 
    16. /// <param name="requirement"></param> 
    17. /// <returns></returns> 
    18. protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, JwtAuthorizeBaseRequiremente requirement) 

    20. var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext; 
    22. var result = httpContext.Request.Headers.TryGetValue("Authorization", out StringValues authStr); 
    23. if (!result || string.IsNullOrEmpty(authStr.ToString())) 

    25. throw new UnauthorizedAccessException("未授权,请传递Header头的Authorization参数。"); 

    27. result = result && _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), _setting, requirement.validatePayLoad); 
    28. if (!result) 

    30. throw new UnauthorizedAccessException("验证失败,请查看传递的参数是否正确或是否有权限访问该地址。"); 

    32. context.Succeed(requirement); 
    33. return Task.CompletedTask; 


    2.5 怎么使用呢?

    • 我们需要在Startup.cs文件进行注册服务。其中CommonAuthorize继承JwtAuthorizeBaseRequiremente,并将自定义的策略方法,传递进去。其中common是策略名称。可以多个定义策略

      1. public void ConfigureServices(IServiceCollection services) 

      3. services.AddJwt(Configuration); 
      4. services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2); 
      5. services.AddAuthorization(option => 

      7. #region 自定义验证策略 可以一直自定义策略 
      8. option.AddPolicy("common", policy => policy.Requirements.Add(new CommonAuthorize(). 
      9. SetValidateFunc((playLoad, sertting) => 

      11. //每个策略自定义验证函数,playLoad为带过来的参数字典,setting为失效时间与秘钥 
      12. return true; 
      13. }))); 
      14. #endregion 自定义验证策略 
      15. }).AddAuthentication(option => 

      17. option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme; 
      18. }); 
      19. }  

    • 接着我们在想要的Controller或者Action的头部使用[Authorize(Policy = "common")],这样每次进到相对应的Controller或者Action,会先进行策略验证,而我们这边验证的便是JWT了。

总结一下,我们在这篇文章是基于上篇文章的,所以JWT的生成与验证我们就不讲了。两篇文章讲了JWT的验证,两种方式有好有坏,大家可以根据自己的模式进行选择。

1.使用管道的方式,感觉方便点,清晰点
2. 使用自定义策略的方式,效率稍微高一点,毕竟不是所有的请求都会进行是否可以匿名访问运算和建立管道的消耗,只有加入Authorize属性的Controller和Action的才会进入

最后附上源码,或者直接到我的GitHub上看看。后面要是有时间,可以讲下IdentityServer4的OAuth2的授权与认证。

ASP.NET Core的JWT的实现(自定义策略形式验证).md的更多相关文章

  1. ASP.NET Core 使用 JWT 搭建分布式无状态身份验证系统

    为什么使用 Jwt 最近,移动开发的劲头越来越足,学校搞的各种比赛都需要用手机 APP 来撑场面,所以,作为写后端的,很有必要改进一下以往的基于 Session 的身份认证方式了,理由如下: 移动端经 ...

  2. ASP.NET Core 基于JWT的认证(二)

    ASP.NET Core 基于JWT的认证(二) 上一节我们对 Jwt 的一些基础知识进行了一个简单的介绍,这一节我们将详细的讲解,本次我们将详细的介绍一下 Jwt在 .Net Core 上的实际运用 ...

  3. asp.net core 集成JWT(一)

    [什么是JWT] JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案. JWT的官网地址:https://jwt.io/ 通俗地来讲,JWT是能代表用户身份的令牌,可以使用JWT ...

  4. asp.net core 集成JWT(二)token的强制失效,基于策略模式细化api权限

    [前言] 上一篇我们介绍了什么是JWT,以及如何在asp.net core api项目中集成JWT权限认证.传送门:https://www.cnblogs.com/7tiny/p/11012035.h ...

  5. ASP.NET Core 基于JWT的认证(一)

    ASP.NET Core 基于JWT的认证(一) Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计 ...

  6. Asp.Net Core基于JWT认证的数据接口网关Demo

    近日,应一位朋友的邀请写了个Asp.Net Core基于JWT认证的数据接口网关Demo.朋友自己开了个公司,接到的一个升级项目,客户要求用Aps.Net Core做数据网关服务且基于JWT认证实现对 ...

  7. ASP.NET Core 使用 JWT 自定义角色/策略授权需要实现的接口

    目录 ① 存储角色/用户所能访问的 API ② 实现 IAuthorizationRequirement 接口 ③ 实现 TokenValidationParameters ④ 生成 Token ⑤ ...

  8. ASP.NET Core的JWT的实现(中间件).md

    既然选择了远方,便只顾风雨兼程 __ HANS许 JWT(JSON Web Token) ASP.NET Core 的Middleware实现 引言:挺久没更新了,之前做了Vue的系列,后面想做做服务 ...

  9. Asp.Net Core 入门(三) —— 自定义中间件

    上一篇我们讲了Startup文件,其中着重介绍了中间件,现在我们就来自定义我们自己的中间件吧. 中间件通常封装在一个类中,并使用扩展方法进行暴露.它需要拥有一个类型为RequestDelegate的成 ...

随机推荐

  1. OsharpNS轻量级.net core快速开发框架简明入门教程-基于Osharp实现自己的业务功能

    OsharpNS轻量级.net core快速开发框架简明入门教程 教程目录 从零开始启动Osharp 1.1. 使用OsharpNS项目模板创建项目 1.2. 配置数据库连接串并启动项目 1.3. O ...

  2. Java后端框架之Spring Boot详解,文末有Java分布式实战项目视频可取

    在 Java 后端框架繁荣的今天,Spring 框架无疑是最最火热,也是必不可少的开源框架,更是稳坐 Java 后端框架的龙头老大. 用过 Spring 框架的都知道 Spring 能流行是因为它的两 ...

  3. 浅析一款扫描dom-xss的浏览器插件

    目录 0x00 前言 0x01 浅析 0x00 前言 这款插件的名字叫 ra2-dom-xss-scanner,其作者刚好也是jsprime的开发者,后续有可能会继续跟进一下jsprime.这个ra2 ...

  4. Kubernetes Ingress Controller的使用及高可用落地

    Kubernetes Ingress Controller的使用及高可用落地 看懂本文要具备一下知识点: Service实现原理和会应用 知道反向代理原理,了解nginx和apache的vhost概念 ...

  5. asp.net core系列 54 IS4用客户端凭据保护API

    一. 概述 本篇开始进入IS4实战学习,从第一个示例开始,该示例是 “使用客户端凭据保护API”,这是使用IdentityServer保护api的最基本场景.该示例涉及到三个项目包括:Identity ...

  6. FreeSql 过滤器使用介绍

    FreeSql.Repository 实现了过滤器,它不仅是查询时过滤,连删除/修改/插入时都会进行验证,避免数据安全问题. 过滤器 目前过滤器依附在仓储层实现,每个仓储实例都有 IDataFilte ...

  7. 关于静态注册BroadcastReceiver接收不到广播的问题

    1.背景&解决方法 最近碰到一个需求,app监听特定的广播,接收到广播后启动自己再进行处理.需求很简单,静态注册就好,不过,在自测的时候遇到一个问题,app安装后没启动过的状态下,什么广播都收 ...

  8. Android屏幕适配讲解与实战

    文章大纲 一.屏幕适配是什么二. 重要概念讲解三.屏幕适配实战四.项目源码下载   一.屏幕适配是什么   Android中屏幕适配就是通过对尺寸单位.图片.文字.布局这四种类型的资源进行合理的设计和 ...

  9. 如何购买并配置linux服务器上的数据库

    首先百度搜索阿里云 如果是学生可以学生认证 然后注册账号->个人认证->学生认证 然后你会发现 服务器一年只要114,114你买不了上当,买不了吃亏,买下面的ECS服务器,系统可以选择wi ...

  10. appium-desktop定位元素原理

    初衷 最近在编写Android App自动化用例,其中元素定位相对来说耗费的时间比较长.我们都知道Appium-desktop拥有自己的录制功能,我们就在想是不是可以把录制功能跟我司的自动化框架(AT ...