JWT学习文章:

第一篇:JWT原理

第二篇:JWT原理实现代码

上一篇学习了JWT的基本理论,这一篇将根据原理进行代码实现。

要想实现jwt的加密解密,要先生成一个SecurityKey,大家可以在网上工具生成一个随机的密钥。我是在这里生成的。

下面篇幅大量都是代码,因为注释写得很清楚,因此就不再有过多文字说明。

代码实现

新建常量类:Const

public class Const

{

     public const string SecurityKey= "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDSfLGu+kcFDcJUCV46J+SbgR0lNc2NqgCGzojQTWW9xqjuzPF3mpisvTggYZSGfBzN+88YLZYbBLrDTUMJ4nTieElbP6SHkBFu8F+7fFBi7w3UPsaAXDr2E2srQYU5ZlKAcFBoNajNWj3sfSVRoYRPdqDTj4WdJlUPSNGz0wgRrQIDAQAB";

     public const string Domain = "http://localhost:5000";

}

新建控制器:AuthController

    [ApiController]

    [Route("[controller]")]

    public class AuthController  : ControllerBase

    {

        [HttpGet]

        public IActionResult Get(string userName, string pwd)

        {

            //此处只简单的验证用户名和密码的不为空,实际中使用时不要这样

            if (!string.IsNullOrEmpty(userName) && !string.IsNullOrEmpty(pwd))

            {

                //Header

                var header = "{\"alg\": \"HS256\",\"typ\": \"JWT\"}";

                var headerBase = Base64UrlTextEncoder.Encode(Encoding.UTF8.GetBytes(header));

                //Payload

                var payloadDic = new Dictionary<string, object>();

                payloadDic["iss"]= Const.Domain;

                //添加jwt可用时间

                var now = DateTime.UtcNow;

                payloadDic["nbf"] = now.ToUniversalTime();//可用时间起始

                payloadDic["exp"] = now.AddMinutes(30).ToUniversalTime();//可用时间结束

                var payload = JsonConvert.SerializeObject(payloadDic);

                var payloadBase = Base64UrlTextEncoder.Encode(Encoding.UTF8.GetBytes(payload));

                //Signature

                //声明hs256对象

                var hs256 = new HMACSHA256(Encoding.UTF8.GetBytes(Const.SecurityKey));

                //生成signature

                var signature = hs256.ComputeHash(Encoding.UTF8.GetBytes(headerBase + "." + payloadBase));

                var signatureBase = Base64UrlTextEncoder.Encode(signature);

                return Ok(new

                {

                    token = headerBase + "." + payloadBase + "." + signatureBase

                }) ;

            }

            else

            {

                return BadRequest(new { message = "username or password is incorrect." });

            }

        }

    }

为了过滤哪些接口需要验证,此处新建一个特性:AuthAttribute

    public class AuthAttribute : Attribute

    {

        public AuthAttribute()

        {

        }

    }

修改原有的Home控制器:

    [ApiController]

    [Route("[controller]")]

    public class HomeController  : ControllerBase

    {

            [HttpGet]

            [Route("api/value1")]

            public ActionResult<IEnumerable<string>> Get()

            {

                return new string[] { "value1", "value1" };

            }

            [HttpGet]

            [Route("api/value2")]

            [Auth]

            public ActionResult<IEnumerable<string>> Get2()

            {

                return new string[] { "value2", "value2" };

            }

    }

Value2接口标记了Auth特性,在下面验证时有Auth特性标记的接口才会被要求token。

新建静态类:AuthExtension,并且增加一个IApplicationBuilder的扩展方法:

    public static class AuthExtension

    {

        public static void AddAuthorize(this IApplicationBuilder applicationBuilder)

        {

            applicationBuilder.Use(async (currentContext, nextContext) =>

            {

                //获取是否具有自定义的auth特性

                var authAttribute = currentContext.GetEndpoint()?.Metadata.GetMetadata<AuthAttribute>();

                if (authAttribute != null)

                {

                    if (currentContext.Request.Headers.ContainsKey("Authorization"))

                    {

                        var authorize = currentContext.Request.Headers["Authorization"].ToString();

                        if (authorize.Contains("Bearer"))

                        {

                            var info = authorize.Replace("Bearer ", string.Empty);

                            var jwtStr = info.Split('.').ToArray();

                            //声明hs256对象

                            var hs256 = new HMACSHA256(Encoding.UTF8.GetBytes(Const.SecurityKey));

                            //生成signature

                            var signature = Base64UrlTextEncoder.Encode(hs256.ComputeHash(Encoding.UTF8.GetBytes(jwtStr[0] + "." + jwtStr[1])));

                            //验证加密后是否相等

                            if (jwtStr[2] == signature)

                            {

                                //验证是否在有效时间内

                                var now = DateTime.UtcNow.ToUniversalTime();

                                var payload = JsonConvert.DeserializeObject<Dictionary<string, object>>(Encoding.UTF8.GetString(Base64UrlTextEncoder.Decode(jwtStr[1])));

                                if (now >= Convert.ToDateTime(payload["nbf"]) && now <= Convert.ToDateTime(payload["exp"]))

                                {

                                    //await currentContext.Response.WriteAsync("验证通过").ConfigureAwait(true);

                                    await nextContext?.Invoke();

                                    return;

                                }

                                currentContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;

                                await currentContext.Response.WriteAsync("Authorization time has passed, please log in again!").ConfigureAwait(true);

                            }

                        }

                    }

                    currentContext.Response.StatusCode = (int)HttpStatusCode.Unauthorized;

                    await currentContext.Response.WriteAsync("Verification failed, no permission to access!").ConfigureAwait(true);

                }

                await nextContext?.Invoke();

            });

        }

    }

在启动类Startup的请求管道中(Configure)添加上面的扩展方法:

//添加身份验证

app.AddAuthorize();

注意一定要把这句话添加在UseRouting()之后,因为在扩展方法中获取Auth特性只有在注册了Routing规则后才能获取到值。

测试

访问无需权限的Value1接口:

访问成功!!!

获取token:

我启用了swagger,如果没有启用在postman中请求https://localhost:5001/Auth?userName=admin&pwd=admin也是一样的。

代码中用户名和密码我只是简单的验证了下是否为空,所以这里填写什么都能通过。

获取token成功说明获取token的代码没有问题,逻辑有没有问题还不能确定,所以要经过后面接口的确认看是否成功。

访问要求权限验证的Value2接口:

不带token:

访问失败!!!

带上token:

成功!!!

静待三十分钟(代码中设置token过期时间为三十分钟),调用Value2接口:

失败了!!!错误提示是token过期。

如果觉得不保险,还可以逐步调试看一下是否所有逻辑都正确执行,这里就不再进行赘述了。

至此证明我们依照jwt原理写的权限验证成功!!!

JWT原理实现代码的更多相关文章

  1. JWT原理和使用

    jwt JSON Web Tokens,是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明.目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目. 1.jwt认证流程 在项目 ...

  2. JWT原理

    1.COOKIE使用和优缺点 https://www.cnblogs.com/xiaonq/p/11094480.html   1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器 ...

  3. JWT原理及常见攻击方式

    JWT的全称是Json Web Token.它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验证token,通过token验证用户身份. ...

  4. flume原理及代码实现

    转载标明出处:http://www.cnblogs.com/adealjason/p/6240122.html 最近想玩一下流计算,先看了flume的实现原理及源码 源码可以去apache 官网下载 ...

  5. Java Base64加密、解密原理Java代码

    Java Base64加密.解密原理Java代码 转自:http://blog.csdn.net/songylwq/article/details/7578905 Base64是什么: Base64是 ...

  6. Base64加密解密原理以及代码实现(VC++)

    Base64加密解密原理以及代码实现 转自:http://blog.csdn.net/jacky_dai/article/details/4698461 1. Base64使用A--Z,a--z,0- ...

  7. AC-BM算法原理与代码实现(模式匹配)

    AC-BM算法原理与代码实现(模式匹配) AC-BM算法将待匹配的字符串集合转换为一个类似于Aho-Corasick算法的树状有限状态自动机,但构建时不是基于字符串的后缀而是前缀.匹配 时,采取自后向 ...

  8. Java基础知识强化之集合框架笔记47:Set集合之TreeSet保证元素唯一性和比较器排序的原理及代码实现(比较器排序:Comparator)

    1. 比较器排序(定制排序) 前面我们说到的TreeSet的自然排序是根据集合元素的大小,TreeSet将它们以升序排列. 但是如果需要实现定制排序,比如实现降序排序,则要通过比较器排序(定制排序)实 ...

  9. PHP网站安装程序的原理及代码

    原文:PHP网站安装程序的原理及代码 原理: 其实PHP程序的安装原理无非就是将数据库结构和内容导入到相应的数据库中,从这个过程中重新配置连接数据库的参数和文件,为了保证不被别人恶意使用安装文件,当安 ...

随机推荐

  1. markerdown基础

    标题 用#+空格 字体 加粗两边两个** 斜体两边* 斜体加粗三个* 引用 '>' 分割线 三个---或者三个*** 图片 ![截图]() 超链接 点击跳转到文章 []+() 列表 1 + 点+ ...

  2. [刷题] 112 Path Sum

    要求 给出一个二叉树及数字sum,判断是否存在一条从根到叶子的路径,路径上的所有节点和为sum 实现 转化为寻找左右子树上和为 sum-root 的路径,到达叶子节点时递归终止 注意只有一个孩子时,根 ...

  3. xpath元素定位语法

    举个栗子 -------------------------------------------------------------------------------------- <?xml ...

  4. ZooKeeper IDEA 可视化管理插件安装

    1. 安装 zookeeper 插件 打开 IDEA->Settings->Plugins,然后在 Marketplace 输入 "zookeeper" 如下: 插件安 ...

  5. STM32F4-IAP学习笔记--(转)

    花了断断续续两天时间在STM32上面写了一个IAP(In Application Programing)Boot,期间多多少少还是遇到的了不少问题.现在就花点时间把这两天写的东西整理一下,就当是学习笔 ...

  6. Centos7 rsync同步备份文件

    Centos7 rsync同步备份文件 一.rsync主服务端 1,安装rsync 查看是否安装rsync [root@localhost /]# rpm -qa | grep rsync 在线安装r ...

  7. BUCK BOOST学习总结

    首先对于我这种电源方面的小白来说 关于电源用的最多的就是线性稳压了 开关类的如  TI 的TPS系列  我是只知道应用电路而不知道具体原理的 但是长此以往也不是个办法 于是今天就带打家详细的来讲一下 ...

  8. CSS设计模式介绍

    一. 常见CSS设计模式分析 oocss Object Oriented CSS,面向对象的CSS,旨在编写高可复用.低耦合和高扩展的CSS代码. OOCSS是以面向对象的思想去定义样式,将抽象(结构 ...

  9. Prometheus监控软件部署方法

    背景:负责基于区块链的某公正项目的状态上报模块设计编码,基于Prometheus进行二次开发 1.说明Prometheus 是一个开源的服务监控软件,它通过 HTTP 协议从远程机器收集数据并存储在本 ...

  10. nmap扫描端口导致线上大量Java服务FullGC甚至OOM

    nmap扫描端口导致线上大量Java服务FullGC甚至OOM 最近公司遇到了一次诡异的线上FullGC保障,多个服务几乎所有的实例集中报FullGC,个别实例甚至出现了OOM,直接被docker杀掉 ...