JWT学习文章:

第一篇:JWT原理

第二篇:JWT原理实现代码

上一篇学习了JWT的基本理论,这一篇将根据原理进行代码实现。

要想实现jwt的加密解密,要先生成一个SecurityKey,大家可以在网上工具生成一个随机的密钥。我是在这里生成的。

下面篇幅大量都是代码,因为注释写得很清楚,因此就不再有过多文字说明。

代码实现

新建常量类:Const

public class Const

{

     public const string SecurityKey= "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSfLGu+kcFDcJUCV46J+SbgR0lNc2NqgCGzojQTWW9xqjuzPF3mpisvTggYZSGfBzN+88YLZYbBLrDTUMJ4nTieElbP6SHkBFu8F+7fFBi7w3UPsaAXDr2E2srQYU5ZlKAcFBoNajNWj3sfSVRoYRPdqDTj4WdJlUPSNGz0wgRrQIDAQAB";

     public const string Domain = "http://localhost:5000";

}

新建控制器:AuthController

    [ApiController]

    [Route("[controller]")]

    public class AuthController  : ControllerBase

    {

        [HttpGet]

        public IActionResult Get(string userName, string pwd)

        {

            //此处只简单的验证用户名和密码的不为空,实际中使用时不要这样

            if (!string.IsNullOrEmpty(userName) && !string.IsNullOrEmpty(pwd))

            {

                //Header

                var header = "{\"alg\": \"HS256\",\"typ\": \"JWT\"}";

                var headerBase = Base64UrlTextEncoder.Encode(Encoding.UTF8.GetBytes(header));

                //Payload

                var payloadDic = new Dictionary<string, object>();

                payloadDic["iss"]= Const.Domain;

                //添加jwt可用时间

                var now = DateTime.UtcNow;

                payloadDic["nbf"] = now.ToUniversalTime();//可用时间起始

                payloadDic["exp"] = now.AddMinutes(30).ToUniversalTime();//可用时间结束

                var payload = JsonConvert.SerializeObject(payloadDic);

                var payloadBase = Base64UrlTextEncoder.Encode(Encoding.UTF8.GetBytes(payload));

                //Signature

                //声明hs256对象

                var hs256 = new HMACSHA256(Encoding.UTF8.GetBytes(Const.SecurityKey));

                //生成signature

                var signature = hs256.ComputeHash(Encoding.UTF8.GetBytes(headerBase + "." + payloadBase));

                var signatureBase = Base64UrlTextEncoder.Encode(signature);

                return Ok(new

                {

                    token = headerBase + "." + payloadBase + "." + signatureBase

                }) ;

            }

            else

            {

                return BadRequest(new { message = "username or password is incorrect." });

            }

        }

    }

为了过滤哪些接口需要验证,此处新建一个特性:AuthAttribute

    public class AuthAttribute : Attribute

    {

        public AuthAttribute()

        {

        }

    }

修改原有的Home控制器:

    [ApiController]

    [Route("[controller]")]

    public class HomeController  : ControllerBase

    {

            [HttpGet]

            [Route("api/value1")]

            public ActionResult<IEnumerable<string>> Get()

            {

                return new string[] { "value1", "value1" };

            }

            [HttpGet]

            [Route("api/value2")]

            [Auth]

            public ActionResult<IEnumerable<string>> Get2()

            {

                return new string[] { "value2", "value2" };

            }

    }

Value2接口标记了Auth特性,在下面验证时有Auth特性标记的接口才会被要求token。

新建静态类:AuthExtension,并且增加一个IApplicationBuilder的扩展方法:

    public static class AuthExtension

    {

        public static void AddAuthorize(this IApplicationBuilder applicationBuilder)

        {

            applicationBuilder.Use(async (currentContext, nextContext) =>

            {

                //获取是否具有自定义的auth特性

                var authAttribute = currentContext.GetEndpoint()?.Metadata.GetMetadata<AuthAttribute>();

                if (authAttribute != null)

                {

                    if (currentContext.Request.Headers.ContainsKey("Authorization"))

                    {

                        var authorize = currentContext.Request.Headers["Authorization"].ToString();

                        if (authorize.Contains("Bearer"))

                        {

                            var info = authorize.Replace("Bearer ", string.Empty);

                            var jwtStr = info.Split('.').ToArray();

                            //声明hs256对象

                            var hs256 = new HMACSHA256(Encoding.UTF8.GetBytes(Const.SecurityKey));

                            //生成signature

                            var signature = Base64UrlTextEncoder.Encode(hs256.ComputeHash(Encoding.UTF8.GetBytes(jwtStr[0] + "." + jwtStr[1])));

                            //验证加密后是否相等

                            if (jwtStr[2] == signature)

                            {

                                //验证是否在有效时间内

                                var now = DateTime.UtcNow.ToUniversalTime();

                                var payload = JsonConvert.DeserializeObject<Dictionary<string, object>>(Encoding.UTF8.GetString(Base64UrlTextEncoder.Decode(jwtStr[1])));

                                if (now >= Convert.ToDateTime(payload["nbf"]) && now <= Convert.ToDateTime(payload["exp"]))

                                {

                                    //await currentContext.Response.WriteAsync("验证通过").ConfigureAwait(true);

                                    await nextContext?.Invoke();

                                    return;

                                }

                                currentContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;

                                await currentContext.Response.WriteAsync("Authorization time has passed, please log in again!").ConfigureAwait(true);

                            }

                        }

                    }

                    currentContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;

                    await currentContext.Response.WriteAsync("Verification failed, no permission to access!").ConfigureAwait(true);

                }

                await nextContext?.Invoke();

            });

        }

    }

在启动类Startup的请求管道中(Configure)添加上面的扩展方法:

//添加身份验证

app.AddAuthorize();

注意一定要把这句话添加在UseRouting()之后,因为在扩展方法中获取Auth特性只有在注册了Routing规则后才能获取到值。

测试

访问无需权限的Value1接口:

访问成功!!!

获取token:

我启用了swagger,如果没有启用在postman中请求https://localhost:5001/Auth?userName=admin&pwd=admin也是一样的。

代码中用户名和密码我只是简单的验证了下是否为空,所以这里填写什么都能通过。

获取token成功说明获取token的代码没有问题,逻辑有没有问题还不能确定,所以要经过后面接口的确认看是否成功。

访问要求权限验证的Value2接口:

不带token:

访问失败!!!

带上token:

成功!!!

静待三十分钟(代码中设置token过期时间为三十分钟),调用Value2接口:

失败了!!!错误提示是token过期。

如果觉得不保险,还可以逐步调试看一下是否所有逻辑都正确执行,这里就不再进行赘述了。

至此证明我们依照jwt原理写的权限验证成功!!!

JWT原理实现代码的更多相关文章

  1. JWT原理和使用

    jwt JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明.目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目. 1.jwt认证流程 在项目 ...

  2. JWT原理

    1.COOKIE使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html   1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器 ...

  3. JWT原理及常见攻击方式

    JWT的全称是Json Web Token.它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份. ...

  4. flume原理及代码实现

    转载标明出处:http://www.cnblogs.com/adealjason/p/6240122.html 最近想玩一下流计算,先看了flume的实现原理及源码 源码可以去apache 官网下载 ...

  5. Java Base64加密、解密原理Java代码

    Java Base64加密.解密原理Java代码 转自:http://blog.csdn.net/songylwq/article/details/7578905 Base64是什么: Base64是 ...

  6. Base64加密解密原理以及代码实现(VC++)

    Base64加密解密原理以及代码实现 转自:http://blog.csdn.net/jacky_dai/article/details/4698461 1. Base64使用A--Z,a--z,0- ...

  7. AC-BM算法原理与代码实现(模式匹配)

    AC-BM算法原理与代码实现(模式匹配) AC-BM算法将待匹配的字符串集合转换为一个类似于Aho-Corasick算法的树状有限状态自动机,但构建时不是基于字符串的后缀而是前缀.匹配 时,采取自后向 ...

  8. Java基础知识强化之集合框架笔记47:Set集合之TreeSet保证元素唯一性和比较器排序的原理及代码实现(比较器排序:Comparator)

    1. 比较器排序(定制排序) 前面我们说到的TreeSet的自然排序是根据集合元素的大小,TreeSet将它们以升序排列. 但是如果需要实现定制排序,比如实现降序排序,则要通过比较器排序(定制排序)实 ...

  9. PHP网站安装程序的原理及代码

    原文:PHP网站安装程序的原理及代码 原理: 其实PHP程序的安装原理无非就是将数据库结构和内容导入到相应的数据库中,从这个过程中重新配置连接数据库的参数和文件,为了保证不被别人恶意使用安装文件,当安 ...

随机推荐

  1. jQurey判断下一项是否为指定项、下一项是否有指定项

    jQurey判断下一项是否为指定项.下一项是否有指定项 此例子中,如果某个列表项没有二级列表,那么去掉它的展开.收起按钮.就是前边那个减号. 此时我们需要判断VOC综合治理技术这一项是否含有二级菜单, ...

  2. MySQL优化|一分钟带你了解单表优化

    在开始前,分享给大家我看过觉得讲数据库讲的算是很不错的,也在B站拥有百万播放量的教程. 这个MySQL视频是动力节点的老杜讲解,个人也很喜欢老杜的教学风格,老杜真的是从MySQL基础一点点带我入门,基 ...

  3. [刷题] 435 Non-overlapping Intervals

    要求 贪心算法与动态规划的关系 给定一组区间,最少删除多少个区间,可以让这些区间之间互相不重叠 给定区间的起始点永远小于终止点 示例 [[1,2],[2,3],[3,4],[1,3]], 返回1 [[ ...

  4. [刷题] 447 Number of Boomerangs

    要求 给出平面上n个点,寻找存在多少点构成的三元组(i j k),使得 i j 两点的距离等于 i k 两点的距离 n 最多为500,所有点坐标范围在[-10000, 10000]之间 示例 [[0, ...

  5. swagger上的接口写入数据库

    一.依赖 virtualenv -p python3.6 xx pip install scrapy pip install pymysql 二. 1.创建项目和spider1 scrapy star ...

  6. Linux中的防火墙

    firewalld 一.防火墙安全概述 firewalld支持命令行也支持GUI设置,相对于iptables,firewalld配置更加的方便.在底层的命令都是iptables, firewalld ...

  7. ltp 测试流程及测试脚本分析

    LTP介绍 (2011-03-25 18:03:53) 转载▼ 标签: ltp linux 压力测试 杂谈 分类: linux测试 LTP介绍 一.LTP介绍1.简介LTP(Linux Test Pr ...

  8. STM32——EEPROM使用——(转载)

    一.I2C接口读写EEPROM(AT24C02) --主模式,分别用作主发送器和主接收器.通过查询事件的方式来确保正常通信. 1.I 2C接口初始化 与其他对GPIO 复用的外设一样,它先调用了用户函 ...

  9. Centos7 vsftpd虚拟用户权限控制(vsftpd虚拟用户限制IP访问)

    实验目标:(新增限制虚拟机用户登陆的IP) 实现在同一跟目录下对admin,upload,download三个虚拟用户的不同权限的控制.具体权限控制列表如下: 用户名 权限说明 admin 管理员,可 ...

  10. 图解 Redis | 不就是 AOF 持久化嘛

    AOF 日志 试想一下,如果 Redis 每执行一条写操作命令,就把该命令以追加的方式写入到一个文件里,然后重启 Redis 的时候,先去读取这个文件里的命令,并且执行它,这不就相当于恢复了缓存数据了 ...