【译】使用Jwt身份认证保护 Asp.Net Core Web Api

  • 时间:
  • 浏览:1
  • 来源:彩神大发11选5_神彩大发11选5官方

欢迎你这个 人加入.NetCore学习交流群 群号:1150537383

JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature

我将在这里讨论的token格式是JWT。

在Startup.cs中,你还可不上能 更新Configure最好的方法并去掉 身份验证上方件:

现在你这个 人知道咋样创建你这个 人的JWT token了,你这个 人还还可不上能 并算是最好的方法来让客户端获得它们。最简单的最好的方法是创建另一个 多期望发布请求的web api controller action 接受另一个 多Post请求,之类下面的代码:

还可不上能 注意的一件事情是,或者客户端执行的操作还可不上能 用户进行身份验证,或者请求中没人 (有效)授权标头,则服务器将返回蕴藏401情况汇报码的响应。该响应还将具有WWW-Authenticate:Bearer header。或者你收到另一个 多的响应,则让我通知用户还可不上能 验证身份。

网络上有你这个 资源可还可不上能 能 教你咋样保护ASP.NET Core Web应用应用线程。我写过你这个 ,之类 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.

所以,当你想往payload里放你这个 东西的前一天,你一定要知道上方什么

你这个 人还可不上能 明确地向服务器要另一个 多token,你这个 人当时人将它存储在某个地方,或者在每个请求发送时手动带上它。有你这个 最好的方法可还可不上能 能 使你这个 尽或者简单快捷,我会在上方讨论其中的你这个 最好的方法。

现在你这个 人有了并算是发行token的最好的方法,你这个 人还还可不上能 并算是最好的方法来验证它们。你这个 人将使用ASP.NET Core的身份验证上方件,并将其配置为可接受JWT token。

Microsoft.AspNetCore.Authentication.JwtBearer NuGet包去掉 到你的项目。

或者你不关心issue和audience(在JWT规范中是可选的),让我使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更简单的构造函数重载。不过你还可不上能 手动将expires和notBefore声明去掉 到有效内容中,之类:

或者你使用你这个 框架,过后 之类的机制,之类Angular有HttpInterceptors。

即使是关于咋样使用Google,Facebook等进行内外部登陆提供应用线程登录,或者这篇博客也蕴藏有关身份验证上方件咋样工作的全部说明。

要强调的是JwtRegisteredClaimNames蕴藏在JWT RFC中列举的claims中。或者你打算使用不同编程语言或者框架生成的token,没人 为了兼容性,你应该尽或者的使用你这个 。不过,有你这个 声明类型可还可不上能 能 在ASP.NET中启用你这个 功能。之类,ClaimTypes.Name 是用户名(User.Identity.Name)的默认声明类型。另一个 多例子是ClaimTypes.Role,或者你在Authorize属性中使用Roles属性(之类[Authorize(Roles =“Administrator”)]),你这个 声明或者被检查用来确认权限。

在服务器上,cookie将被解密,或者使用解密后的内容来创建用户的 Identity

不过对于保护Asp.Net WebApi,网络上有用的信息似乎太多。所以在这篇博文中,我将介绍咋样使用Json Web Tokens(JWT)来保护ASP.NET Core中的Web Api。我在github蕴藏另一个 多演示项目,让我照着它来做。

下面是另一个 多真正的JWT的例子:

你这个 人的token将蕴藏一组claims。所以让你这个 人创建它们:

或者创建另一个 多密钥。你这个 人将使用 symmetric key(译者注:对称密钥),代码如下:

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》

最后,你只还可不上能 从本地存储中删除token即可退还:

你这个 人可还可不上能 能 使用什么来代替cookie呢?没错而是token。token也代表用户,或者当你这个 人使用它的前一天,你这个 人不再依赖于浏览器的内置机制以及用它和cookie打交道。

或者你熟透悉ASP.NET Core的身份验证上方件,则建议你阅读External Login Providers in ASP.NET Core。

web api客户端可还可不上能 能 是桌面应用应用线程,移动设备甚至是浏览器。我将要描述的例子是Web应用应用线程的登录、保存token、或者使用它来执行对请求的认证。让我在这里找到另一个 多可还可不上能 能 正常工作的例子。

请注意Exp(expires)和Nbf(notBefore)声明的值是另一个 多Unix时间的字符串。将DateTime转换为该格式的最简单最好的方法是使用DateTimeOffset

尽管让我“手动”将授权标头去掉 到每个请求,但通常有自动执行的最好的方法。之类jQuery蕴藏另一个 多时间可还可不上能 能 允许你在发送请求前一天做你这个 操作,之类在这里检查算是占据 token,或者有就加到Authentication头里。

接下来打开Startup.cs并更新ConfigureServices最好的方法:

IsValidUserAndPasswordCombination中,让我来验证用户的凭据之类使用之类ASP.NET Identity(或者你还可不上能 参考资料来学习ASP.NET Identity,让我看这篇博客 ASP.NET Identity Core From Scratch)。

你还可不上能 注意的是,JWT蕴藏高的信息没人 加密。为了获得有效payload,你只还可不上能 base64解码。你甚至可还可不上能 能 从你的开发者工具控制台(之类在Chrome中)另一个 多做。使用atob最好的方法并将payload作为参数传递。让我得到解密后的JSON 。signature只能保证或者没人人篡改了payload,没人 signature或者失效。或者没人人想成功替换有效载荷并生成有效的token,你这个 人还可不上能 知道签名中使用的密钥,或者该密钥永远我太多 被发送到客户端。

一般的流程是:用户单击登录,进入登录页面,输入有效凭证后,服务器发送给用户浏览器的响应蕴藏另一个 多蕴藏加密信息的 Set-Cookie 头。

最后,通过采用“base64(header).base64(payload)”创建签名,并使用头部指定的算法对签名其进行加密。之类 HMAC-SHA256。签名次要会用到另一个 多存储在server上的密钥,你这个 密钥是我太多 发给客户端的。

在创建JwtSecurityToken的实例后,实际生成token的最好的方法是调用JwtSecurityTokenHandler实例的WriteToken最好的方法,并将JwtSecurityToken作为参数传递:

首先,为了还可不上能 登陆,你还可不上能 将用户名和密码发送POST请求到“/ token”(或者你设置的获取token的Web Api断点)。让我很容易地使用jQuery来做到你这个 点:

首先你还可不上能 安装nuget包System.IdentityModel.Tokens.Jwt

我或者使用了并算是claim类型 :

全文完

payload蕴藏一系列 claims,之类:

译者注: 发行者,受众/听众,过期时间

这里有你这个 我前一天没人 提到的概念,即发issue,audience和expiration dates。

GenerateToken你这个 人前一天在上一节中描述过。

在你这个 例子中更重要的是 TokenValidationParameters 类。这遇见你还可不上能 实例化的类,它将用来配置咋样验证token。

或者一切顺利,则可还可不上能 能 将获得JWT token,或者让我将其保占据 某个位置,通常在Web应用应用线程中,你这个 人将它保存到 local storage 中。在移动设备上则取决于你使用的平台,但它们都具有允许你保存token的功能(之类Android的SharedPreferences)。

译者注:a secret that needs to be at least 16 characters long=>另一个 多最少还可不上能 16个字符的密码,在验证签名时过后用到。

此外请注意,这是新的ASP.NET Core 2.0语法,其中通过ConfigureServices最好的方法全部配置了身份验证,但概念是相同的。

notBefore 和 expire 定义了 token的有效时间区间,在notBefore前一天expire前一天。

或者客户端是另一个 多浏览器,你这个 最好的方法或者非常非常适合。不过当你这个 人的客户端是另一个 多移动应用应用线程前一天,那就另当别论了。

最后在signedCredentials中指定使用哪个安全密钥和什么算法来创建签名。在你这个 例子中你这个 人使用了HMAC-SHA256。

译者注:External Login Providers in ASP.NET Core这篇博客在撰写的前一天使用的是 Asp.Net Core 1.x。

摘要:这边文章阐述了咋样使用 Json Web Token (Jwt)最好的方法 来配置身份验证上方件。你这个 最好的方法十分适合移动App 后端等不使用cookie的后端应用线程。

在另一个 多Web应用应用线程中,或者你不打算使用供应内外部调用(之类另一个 多移动应用应用线程)的API,没人 它通常使用另一个 多cookie来表示另一个 多或者登录的用户。

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》

要在ASP.NET Core中使用JWT,你这个 人还可不上能 知道咋样手动创建JWTtoken,咋样验证它们以及咋样创建端点以便客户端应用应用线程可还可不上能 能 获得它们。

发行者表示生成token的实体,在你这个 例子里它是ASP.NET Core Web应用应用线程。audience代表将要使用什么token的实体,之类 client。或者你依靠第三方创建token(过后 现在所要用到的),你这个 issue和audience是重要的。验证token时,让我验证issue和audience。

对于上一节中的身份验证上方件,接受JWT token并将其转换为可还可不上能 能 在控制器操作中访问的User,则该请求还可不上能 具有 Authorization header。header的值应该是“Bearer ”,或者是JWT token,之类:

另一个 多heder的例子是

译者注:而是我太多 说把敏感信息上放payload里,比如:密码。

cookie会被设置上domain 之类 blinkingcaret.com,每次浏览器向你这个 domain发送请求时,设置在你这个 domain上的cookie也会被带上。

在创建你这个 人你要在token中编码的claims列表前一天,你这个 人可还可不上能 能 创建token并算是,代码如下: