身份验证是这样一个过程:由用户提供凭据,然后将其与存储在操作系统、数据库、应用或资源中的凭据进行比较。 在授权过程中,如果凭据匹配,则用户身份验证成功,可执行已向其授权的操作。 授权指判断允许用户执行的操作的过程。也可以将身份验证理解为进入空间(例如服务器、数据库、应用或资源)的一种方式,而授权是用户可以对该空间(服务器、数据库或应用)内的哪些对象执行哪些操作。

微软官方文档

asp.net core支持 多 种授 权 ,本篇 重点说明 JW T的基于角色 授权方式。

基于JWT角色身份验证和授权,思路是在登录时分发加密的Token,在访问资源时带有这个Token,服务端要验证这个Token是不是自己分发的,如果是,再验证访问范围是否正确,本篇的范围就是那些资源是那种角色访问,得到Token的用户当前是那种角色,也就是角色和资源的匹配。

用asp.net core实现步骤:

1、appsettings.json中配置JWT参

2、添加身份认证和授权服务和中间件

3、定义生成Token的方法和验证Toekn参数的方法

4、登录时验证身份并分发Toekn

using Microsoft.AspNetCore.Authentication.JwtBearer;

using Microsoft.AspNetCore.Authorization;

using Microsoft.AspNetCore.Identity;

using Microsoft.IdentityModel.Tokens;

using System.IdentityModel.Tokens.Jwt;

using System.Security.Claims;

using System.Text;

var builder = WebApplication.CreateBuilder();

//获取JWT参数,并注入到服务容器

var jwtConfig = new JWTConfig();

builder.Configuration.GetSection("JWTConfig").Bind(jwtConfig);

builder.Services.AddSingleton(jwtConfig);

//添加JJWT方式的身份认证和授权,

builder.Services

    .AddAuthorization()

    .AddAuthentication(options =>

    {

        options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;

        options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;

    })

    .AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, opt =>

    {

        opt.RequireHttpsMetadata = false;

        opt.TokenValidationParameters = JwtToken.CreateTokenValidationParameters(jwtConfig);

    });

var app = builder.Build();

//使用身份认证和授权的中间件

app.UseAuthentication();

app.UseAuthorization();

app.MapGet("/hellosystem", (ILogger<Program> logger, HttpContext context) =>

{

    var message = $"hello,system,{context.User?.Identity?.Name}";

    logger.LogInformation(message);

    return message;

}).RequireAuthorization(new RoleData { Roles = "system" });

app.MapGet("/helloadmin", (ILogger<Program> logger, HttpContext context) =>

{

    var message = $"hello,admin,{context.User?.Identity?.Name}";

    logger.LogInformation(message);

    return message;

}).RequireAuthorization(new RoleData { Roles = "admin" });

app.MapGet("/helloall", (ILogger<Program> logger, HttpContext context) =>

{

    var message = $"hello,all roles,{context.User?.Identity?.Name}";

    logger.LogInformation(message);

    return message;

}).RequireAuthorization(new RoleData { Roles = "admin,system" });

//登录成功,并分发Token

app.MapPost("/login", [AllowAnonymous] (ILogger<Program> logger, LoginModel login, JWTConfig jwtConfig) =>

{

    logger.LogInformation("login");

    if (login.UserName == "gsw" && login.Password == "111111")

    {

        var now = DateTime.UtcNow;

        var claims = new Claim[] {

                new Claim(ClaimTypes.Role, "admin"),

                new Claim(ClaimTypes.Name, "桂素伟"),

                new Claim(ClaimTypes.Sid, login.UserName),

                new Claim(ClaimTypes.Expiration, now.AddSeconds(jwtConfig.Expires).ToString())

                };

        var token = JwtToken.BuildJwtToken(claims, jwtConfig);

        return token;

    }

    else

    {

        return "username or password is error";

    }

});

app.Run();

//登录实体

public class LoginModel

{

    public string? UserName { get; set; }

    public string? Password { get; set; }

}

//JWT配置

public class JWTConfig

{

    public string? Secret { get; set; }

    public string? Issuer { get; set; }

    public string? Audience { get; set; }

    public int Expires { get; set; }

}

//JWT操作类型

public class JwtToken

{

    //获取Token

    public static dynamic BuildJwtToken(Claim[] claims, JWTConfig jwtConfig)

    {

        var now = DateTime.UtcNow;

        var jwt = new JwtSecurityToken(

            issuer: jwtConfig.Issuer,

            audience: jwtConfig.Audience,

            claims: claims,

            notBefore: now,

            expires: now.AddSeconds(jwtConfig.Expires),

            signingCredentials: GetSigningCredentials(jwtConfig)

        );

        var encodedJwt = new JwtSecurityTokenHandler().WriteToken(jwt);

        var response = new

        {

            Status = true,

            AccessToken = encodedJwt,

            ExpiresIn = now.AddSeconds(jwtConfig.Expires),

            TokenType = "Bearer"

        };

        return response;

    }

    static SigningCredentials GetSigningCredentials(JWTConfig jwtConfig)

    {

        var keyByteArray = Encoding.ASCII.GetBytes(jwtConfig?.Secret!);

        var signingKey = new SymmetricSecurityKey(keyByteArray);

        return new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256);

    }

    //验证Token的参数

    public static TokenValidationParameters CreateTokenValidationParameters(JWTConfig jwtConfig)

    {

        var keyByteArray = Encoding.ASCII.GetBytes(jwtConfig?.Secret!);

        var signingKey = new SymmetricSecurityKey(keyByteArray);

        return new TokenValidationParameters

        {

            ValidateIssuerSigningKey = true,

            IssuerSigningKey = signingKey,

            ValidateIssuer = true,

            ValidIssuer = jwtConfig?.Issuer,

            ValidateAudience = true,

            ValidAudience = jwtConfig?.Audience,

            ClockSkew = TimeSpan.Zero,

            RequireExpirationTime = true,

        };

    }

}

//mini api添加验证授权的参数类型

public class RoleData : IAuthorizeData

{

    public string? Policy { get; set; }

    public string? Roles { get; set; }

    public string? AuthenticationSchemes { get; set; }

}

验证结果:

1、没有登录,返回401

2、登录,取token

3、正确访问

4、没有授权访问,返回403

.NET6之MiniAPI(九):基于角色的身份验证和授权的更多相关文章

  1. 基于 Token 的身份验证方法

    使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录.大概的流程是这样的: 客户端使用用户名跟密码请求登录 服务端收到请求,去验证用户名与密码 验证成功后,服务端会签发一个 Toke ...

  2. 基于Token的身份验证——JWT

    初次了解JWT,很基础,高手勿喷. 基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session. JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符 ...

  3. (转)基于 Token 的身份验证

    原文:https://ninghao.net/blog/2834 最近了解下基于 Token 的身份验证,跟大伙分享下.很多大型网站也都在用,比如 Facebook,Twitter,Google+,G ...

  4. 基于 Token 的身份验证:JSON Web Token(附:Node.js 项目)

    最近了解下基于 Token 的身份验证,跟大伙分享下.很多大型网站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起传统的身份验证方法,Token 扩展性更强, ...

  5. 基于token的身份验证JWT

    传统身份验证的方法 HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用.这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下 ...

  6. [转载]基于 Token 的身份验证

    作者:王皓发布于:2015-08-07 22:06更新于:2015-08-07 22:07 最近了解下基于 Token 的身份验证,跟大伙分享下.很多大型网站也都在用,比如 Facebook,Twit ...

  7. 基于Token的身份验证--JWT

    初次了解JWT,很基础,高手勿喷. 基于Token的身份验证用来替代传统的cookie+session身份验证方法中的session. JWT是啥? JWT就是一个字符串,经过加密处理与校验处理的字符 ...

  8. JavaWeb—基于Token的身份验证

    传统身份验证的方法 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RES ...

  9. 基于 Token 的身份验证:JSON Web Token(JWT)

    1.传统身份验证和JWT的身份验证 传统身份验证:       HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用.这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过 ...

  10. JAVA中的Token 基于Token的身份验证

    最近在做项目开始,涉及到服务器与安卓之间的接口开发,在此开发过程中发现了安卓与一般浏览器不同,安卓在每次发送请求的时候并不会带上上一次请求的SessionId,导致服务器每次接收安卓发送的请求访问时都 ...

随机推荐

  1. nginx重新整理——————http请求的11个阶段中的precontent阶段[十六]

    前言 简单介绍一下precontent阶段. 正文 介绍一下这个阶段的几个模块. ngx_http_try_files_module 模块. syntax : tryfiles file... uri ...

  2. javascript:eval()的用法

    eval() 是 JavaScript 中的一个全局函数,它可以计算或执行参数.如果参数是表达式,则 eval() 计算表达式:如果参数是一个或多个 JavaScript 语句,则 eval() 执行 ...

  3. 《Effective C#》系列之(二)——如何使代码易于阅读和理解

    在<Effective C#>这本书中,使代码更易于阅读和理解是其中一章的主要内容.以下是该章节的一些核心建议: 使用清晰.有意义的名称:变量.方法.类型等的名称应该能够准确地描述其含义, ...

  4. 力扣485(java)-最大连续数1的个数(简单)

    题目: 给定一个二进制数组, 计算其中最大连续 1 的个数. 示例: 输入:[1,1,0,1,1,1]输出:3解释:开头的两位和最后的三位都是连续 1 ,所以最大连续 1 的个数是 3. 提示: 输入 ...

  5. 龙蜥开源内核追踪利器 Surftrace:协议包解析效率提升 10 倍! | 龙蜥技术

    ​简介:如何将网络报文与内核协议栈清晰关联起来精准追踪到关注的报文行进路径呢? ​ 文/系统运维 SIG Surftrace 是由系统运维 SIG 推出的一个 ftrace 封装器和开发编译平台,让用 ...

  6. 深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布

    ​简介:通过 eBPF 无侵入地采集多语言.多网络协议的黄金指标/网络指标/Trace,通过关联 Kubernetes 对象.应用.云服务等各种上下文,同时在需要进一步下钻的时候提供专业化的监测工具( ...

  7. 配置审计(Config)配合开启OSS防盗链功能

    简介: 本文作者:紫极zj 本文将主要介绍利用[配置审计]功能,如何快速发现企业上云过程中,针对未配置防盗链的 OSS Bucket 定位及修复案例. 前言 配置审计(Config)将您分散在各地域的 ...

  8. [Go] Golang并发控制: WaitGroup 含义和常规用法

    一个 WaitGroup 等待一个 goroutine 集合的结束. 主 goroutine 调用 Add 设置需要等待的 goroutine 数量. 接下来每个 goroutine 运行并在结束时调 ...

  9. Mobius 一个运行在 .NET Core 上的 .NET 运行时

    一个 .NET 应用仅仅只是一块在 .NET 运行时上面运行的二进制代码.而 .NET 运行时只是一个能执行这项任务的程序.当前的 .NET Framework 和 .NET Core 运行时采用 C ...

  10. Uncaught (in promise) NavigationDuplicated: Avoided redundant navigation to current location: "/xxx". at createRouterError 的说明和解决

    错误说明 Uncaught (in promise) NavigationDuplicated: Avoided redundant navigation to current location: & ...