asp.net core 中的Jwt(Json Web Token)的使用详解

简单描述: session不支持 分布式 并且在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用

Jwt描述:

1.状态保证在客户端,而非服务器端。天然适合分布式系统。

2.签名保证了客户端无法数据造假。

3.性能更高,不需要和 中心状态服务器通信(如Redis),纯内存的计算

JWT是由三段信息构成的,将这三段信息文本用.链接一起就构成了Jwt字符串

第一部分我们称它为头部(header 明文 的加密算法类型),第二部分我们称其为载荷(payload, 明文的各种 自定义 信息),第三部分是签证(signature只有服务器端才知道的密钥).

不要在 jwt中 传入 非常敏感 信息 ,因为客户端 可以解析 出明文

流程:服务器 生成 Jwt 颁发给 客户端 ,每次客户端 请求 带上 Jwt,服务器端在做效验。

下面使用 一个 案例 来说明 JWT的使用

1.设置JWT配置实体 JWTSetting.cs 用于注入

namespace aspnetcore013
{
    public class JWTSetting
    {
        public string Key { get; set; } // JWT 服务端的 key
        public long OutTime { get; set; } //设置过期秒数
    }
}

2.在 appsettings.json 文件中配置如下

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "JWT": {
    "key": "xcv24fds*/*=-.lj?./54oi@%$^*ouio",
    "OutTime": 3600
  }
}

 3.1.在 Program.cs 文件中 配置 JWT配置 如下 

builder.Services.Configure(builder.Configuration.GetSection("JWT"));
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(opt =>
    {
        var JWTsetting = builder.Configuration.GetSection("JWT").Get();
        byte[] byteKeys = Encoding.UTF8.GetBytes(JWTsetting.Key);
        var securityKey = new SymmetricSecurityKey(byteKeys);
        opt.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateIssuer = false,
            ValidateAudience = false,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = securityKey
        };
    });

3.2 最后 还有 在添加 app.UseAuthentication(); 需要在 app.UseAuthorization(); 之前 

app.UseAuthentication();

4.登录成功 用于生成JWT 字符串

using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Options;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
 
namespace aspnetcore013.Controllers
{
    [Route("api/[controller]/[action]")]
    [ApiController]
    public class Test3Controller : ControllerBase
    {
        //用于 依赖注入
        private readonly IOptionsSnapshot _settings;
 
        //注入 设置
        public Test3Controller(IOptionsSnapshot settings)
        {
            _settings = settings;
        }
 
        [HttpGet]
        public ActionResult Login(string userName,string passWord)
        {
            if(userName=="zhangsan"&& passWord == "123456")
            {
                //这里已经 表明 登录 成功 
                //Claim为 JWT第二阶段的 payload
                List claims = new List();
                claims.Add(new Claim(ClaimTypes.NameIdentifier, "66"));
                claims.Add(new Claim(ClaimTypes.Name, "zhangsan"));
                claims.Add(new Claim("Wechat", "jiujiu56"));//自定义 type名称
                claims.Add(new Claim(ClaimTypes.Role, "admin"));
                //下面为生成 JWT
                string configkey = _settings.Value.Key;
                DateTime outTime = DateTime.Now.AddSeconds(_settings.Value.OutTime);
                byte[] byteKey = Encoding.UTF8.GetBytes(configkey);
                var securityKey = new SymmetricSecurityKey(byteKey);
                var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256Signature);
                //设置 JWT第二阶段的 payload 和过期 时间 和 效验算法
                var securityToken = new JwtSecurityToken(claims: claims, expires: outTime, signingCredentials: credentials);
                string jwt =new JwtSecurityTokenHandler().WriteToken(securityToken);
                return jwt;
            }
            else
            {
                return BadRequest("登录失败");
            }
        }
    }
}

5.标记 需要 授权的 控制器或方法

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using System.Security.Claims;
 
namespace aspnetcore013.Controllers
{
 
    [Route("api/[controller]/[action]")]
    [ApiController]
    [Authorize]  //在控制器上 加入这个[Authorize]
                 //则 这个控制器 下所有 方法必须 登录验证
                 //如果在 方法上加 那么 这个方法 必须 登录验证
    public class Test4Controller : ControllerBase
    {
        [HttpGet]
        public string demo1()
        {
            //获取 当前登录成功的用户 Claim的值
            var claim = this.User.FindFirst(ClaimTypes.Name);
            return "666"+ claim.Value;
        }
 
        [HttpGet]
        [AllowAnonymous] //在方法中 使用 [AllowAnonymous] 
                         //可以 排除 本方法 使用 授权 不必登录验证 就可使用
        public string demo2()
        {
            return "777";
        }
        [HttpGet]
        [Authorize(Roles ="admin")] //可以使用 Role进行
                                   //角色的控制 [Authorize(Roles ="admin")]
                                   //这里表示 必须要 有登录权限并且角色为 admin
        public string demo3()
        {
            return "888";
        }
    }
}

6.访问 [Authorize] 授权的 方法或控制器 必须在 提交协议头 加上 Authorization:Bearer JWT数据

注意:Bearer 和 JWT数据之间 要有 一个 空格 。JWT数据之后不能 参杂 任何额外数据

如果 退出 JWT 一般把 JWT删除 就好。在多端 删除即可 JWT还可以有 过期时间,上面代码已经 阐述 清楚了。

引入 Microsoft.AspNetCore.Authentication.JwtBearer 包

到此这篇关于asp.net core 中的Jwt(Json Web Token)的使用的文章就介绍到这了,更多相关asp.net core  Jwt使用内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!

你可能感兴趣的:(asp.net core 中的Jwt(Json Web Token)的使用详解)