.Net学习笔记|.net 使用jwt进行身份认证 jwt|.net

什么是身份认证和鉴权举个例子
假设有这么一个小区，小区只允许持有通行证的人进入，陌生人如果想直接进入小区会被保安拦住，他必须先办理通行证才会被允许进入
类比身份认证和鉴权体系
一个人要访问我的一个机密的接口，我首先需要知道你是谁，搞清楚你是谁的过程就是身份认证，如果我搞不清楚你是谁，那你就是陌生人，身份认证失败。
身份认证通过，并不一定就允许访问我的机密的接口，因为身份认证只是让我知道了你是谁，但是我还不知道你有没有访问我接口的权限，因此还需要进行鉴权。
鉴权就是在身份认证的基础上来查阅你是否有访问某接口的权限，有权限才允许访问。
jwt工作流程在基于jwt策略的身份认证和鉴权体系中
机密的接口只允许有token的人访问
它的工作流程是这样的
首先你向授权服务器请求一个token，服务器对你进行校验，校验成功则给你一个token
之后你每次访问接口都带上这个服务器给的token，以此来证明你经过了校验并有权访问这个接口，这样你才能被放行
token是如何生成的 token是由服务器生成的，
用户请求token的时候，拿着自己的一些信息给服务器
服务器用它的密钥基于一些加密算法对用户的信息进行加密，之后生成一个token给用户。
jwt三部分 jwt的token由三部分组成，header密文，payload密文和签名
header
header存放两个信息
1.声明加密的算法
2.声明类型
像这样：
{
“alg”: “HS256”,
“typ”: “JWT”
}
payload
存放一些自定义的信息，例如用户的个人信息，例如用户名。
注意：不要存密码等敏感信息，因为token可以被解密成明文。
signature
签名，由服务器使用它的密钥对header和payload进行加密后的结果
jwt是如何保证数据不会被篡改的服务器对token解密获得header、payload和signature，再拿着自己的密钥对header和payload进行加密，看加密结果是否和解密出来的signature相等，如果相等说明数据没有被篡改，如果不等说明数据已被篡改
由于服务器的密钥是不公开的，因此认为签名不能伪造，也就是说，别人无法通过header、payload来加密得到一个服务器认可的token
.net webapi 的 demo 为了简化，这里只做身份认证，也就是说登录的用户就有权访问所有接口了
在Starup.cs中开启身份认证服务并指定策略为jwt

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options => {options.TokenValidationParameters = new TokenValidationParameters {ValidateIssuer = true, ValidateAudience = true, ValidateLifetime = true, ValidateIssuerSigningKey = true, ValidAudience = "xxx", ValidIssuer = "xxx", IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("bc47a26eb9a59406057dddd62d0898f4")), }; });

还需要使用身份认证中间件

文章图片

在需要进行身份认证的接口或控制器上加上特性[Authorize]
还需要实现登录逻辑，准备一个Get接口用于测试
Controller代码为：

using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Mvc; using Microsoft.Extensions.Logging; using Microsoft.IdentityModel.Tokens; using System; using System.Collections.Generic; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Security.Claims; using System.Text; using System.Threading.Tasks; namespace JwtTest.Controllers {[ApiController] [Route("[controller]/[action]")] [Authorize] public class WeatherForecastController : ControllerBase {[HttpGet] public ActionResult Get() {return Ok("ok"); }[HttpPost] [AllowAnonymous] public ActionResult Login([FromBody] LoginViewModel loginViewModel) {//验证用户名密码是否正确，错误则不进行后续操作 {//验证逻辑在此省略 } //验证成功则继续运行后面代码，来生成token//claims是关于用户的一些信息，这部分信息将放在payload中，由于token可以被解密，因此不要把密码放进去 var claims = new Claim[] {new Claim(ClaimTypes.Name, loginViewModel.Name) }; //指定生成token所需要的密钥 SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("bc47a26eb9a59406057dddd62d0898f4")); //指定数字签名需要使用的密钥和算法 SigningCredentials credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256); //生成token JwtSecurityToken token = new JwtSecurityToken(issuer: "xxx", audience: "xxx", claims: claims, notBefore: DateTime.Now, //token生效时间 expires: DateTime.Now.AddMinutes(5), //token有效时间 signingCredentials: credentials); return Ok(new JwtSecurityTokenHandler().WriteToken(token)); }} }

进行测试：
【.Net学习笔记|.net 使用jwt进行身份认证】不登录直接访问Get会报401