【译】使用Jwt身份认证保护 Asp.Net Core Web Api

  • 时间:
  • 浏览:2

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》

最后,你只时需从本地存储中删除token即可归还:

译者注: 发行者,受众/听众,过期时间

译者注:就让并不把敏感信息上放payload里,比如:密码。

或者你不关心issue和audience(在JWT规范中是可选的),或者你使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更简单的构造函数重载。不过你时需手动将expires和notBefore声明添加到有效内容中,类似:

我或者使用了并否是 claim类型 :

或者一切顺利,则可以 将获得JWT token,或者或者你将其保发生某个位置,通常在Web应用守护多多线程 中,大伙将它保存到 local storage 中。在移动设备上则取决于你使用的平台,但它们都具有允许你保存token的功能(类似Android的SharedPreferences)。

在创建大伙就让 在token中编码的claims列表就让 ,大伙可以 创建token并否是 ,代码如下:

请注意Exp(expires)和Nbf(notBefore)声明的值是另另一三个小 Unix时间的字符串。将DateTime转换为该格式的最简单最好的土妙招是使用DateTimeOffset

欢迎大伙加入.NetCore学习交流群 群号:1150537383

这里有一些我就让 没办法 提到的概念,即发issue,audience和expiration dates。

译者注:External Login Providers in ASP.NET Core这篇博客在撰写的就让 使用的是 Asp.Net Core 1.x。

一般的流程是:用户单击登录,进入登录页面,输入有效凭证后,服务器发送给用户浏览器的响应暗含另另一三个小 暗含加密信息的 Set-Cookie 头。

你时需注意的是,JWT中暗含的信息没办法 加密。为了获得有效payload,你只时需base64解码。你甚至可以 从你的开发者工具控制台(类似在Chrome中)另另一三个小 做。使用atob最好的土妙招并将payload作为参数传递。或者你得到解密后的JSON 。signature没办法 保证或者人们篡改了payload,没办法 signature或者失效。或者人们想成功替换有效载荷并生成有效的token,大伙时需知道签名中使用的密钥,或者该密钥永远不必被发送到客户端。

或者客户端是另另一三个小 浏览器,并否是 最好的土妙招或者非常非常适合。不过当大伙的客户端是另另一三个小 移动应用守护多多线程 就让 ,那就另当别论了。

不过对于保护Asp.Net WebApi,网络上有用的信息似乎不多。就让有在这篇博文中,我将介绍怎么才能 才能 使用Json Web Tokens(JWT)来保护ASP.NET Core中的Web Api。我在github中另另一三个小 多演示项目,或者你照着它来做。

最后在signedCredentials中指定使用哪个安全密钥和并否是 算法来创建签名。在并否是 例子中大伙使用了HMAC-SHA256。

网络上有一些资源可以 教你怎么才能 才能 保护ASP.NET Core Web应用守护多多线程 。我写过一些,类似 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.

就让有,当你想往payload里放一些东西的就让 ,你一定要知道底下并否是

此外请注意,这是新的ASP.NET Core 2.0语法,其中通过ConfigureServices最好的土妙招删剪配置了身份验证,但概念是相同的。

web api客户端可否是桌面应用守护多多线程 ,移动设备甚至是浏览器。我将要描述的例子是Web应用守护多多线程 的登录、保存token、或者使用它来执行对请求的认证。或者你在这里找到另另一三个小 可以 正常工作的例子。

我将在这里讨论的token格式是JWT。

或者你使用一些框架,时需类似的机制,类似Angular有HttpInterceptors。

在Startup.cs中,你时需更新Configure最好的土妙招并添加身份验证底下件:

或者你半生不熟悉ASP.NET Core的身份验证底下件,则建议你阅读External Login Providers in ASP.NET Core。

在另另一三个小 Web应用守护多多线程 中,或者你不打算使用供应内部人员调用(类似另另一三个小 移动应用守护多多线程 )的API,没办法 它通常使用另另一三个小 cookie来表示另另一三个小 或者登录的用户。

对于上一节中的身份验证底下件,接受JWT token并将其转换为可以 在控制器操作中访问的User,则该请求时需具有 Authorization header。header的值应该是“Bearer ”,或者是JWT token,类似:

notBefore 和 expire 定义了 token的有效时间区间,在notBefore就让 expire就让 。

IsValidUserAndPasswordCombination中,或者你来验证用户的凭据类似使用类似ASP.NET Identity(或者你时需参考资料来学习ASP.NET Identity,或者你看这篇博客 ASP.NET Identity Core From Scratch)。

时需注意的一件事情是,或者客户端执行的操作时时需户进行身份验证,或者请求中没办法 (有效)授权标头,则服务器将返回暗含401请况码的响应。该响应还将具有WWW-Authenticate:Bearer header。或者你收到另另一三个小 的响应,则或者你通知用户时需验证身份。

全文完

下面是另另一三个小 真正的JWT的例子:

要强调的是JwtRegisteredClaimNames暗含在JWT RFC中列举的claims中。或者你打算使用不同编程语言或者框架生成的token,没办法 为了兼容性,你应该尽或者的使用并否是 。不过,有一些声明类型可以 在ASP.NET中启用一些功能。类似,ClaimTypes.Name 是用户名(User.Identity.Name)的默认声明类型。另另一三个小 例子是ClaimTypes.Role,或者你在Authorize属性中使用Roles属性(类似[Authorize(Roles =“Administrator”)]),并否是 声明或者被检查用来确认权限。

首先你时需安装nuget包System.IdentityModel.Tokens.Jwt

GenerateToken大伙就让 在上一节中描述过。

尽管或者你“手动”将授权标头添加到每个请求,但通常有自动执行的最好的土妙招。类似jQuery中另另一三个小 多时间可以 允许你在发送请求就让 做一些操作,类似在这里检查否是发生 token,或者有就加到Authentication头里。

或者创建另另一三个小 密钥。大伙将使用 symmetric key(译者注:对称密钥),代码如下:

最后,通过采用“base64(header).base64(payload)”创建签名,并使用头部指定的算法对签名其进行加密。类似 HMAC-SHA256。签名累积会用到另另一三个小 存储在server上的密钥,并否是 密钥是不必发给客户端的。

译者注:a secret that needs to be at least 16 characters long=>另另一三个小 至少时需16个字符的密码,在验证签名时后该用到。

在创建JwtSecurityToken的实例后,实际生成token的最好的土妙招是调用JwtSecurityTokenHandler实例的WriteToken最好的土妙招,并将JwtSecurityToken作为参数传递:

现在大伙知道怎么才能 才能 创建大伙的JWT token了,大伙还时需并否是 最好的土妙招来让客户端获得它们。最简单的最好的土妙招是创建另另一三个小 期望发布请求的web api controller action 接受另另一三个小 Post请求,类似下面的代码:

在服务器上,cookie将被解密,或者使用解密后的内容来创建用户的 Identity

cookie会被设置上domain 类似 blinkingcaret.com,每次浏览器向并否是 domain发送请求时,设置在并否是 domain上的cookie也会被带上。

大伙可以 使用并否是 来代替cookie呢?没错就让token。token也代表用户,或者当大伙使用它的就让 ,大伙不再依赖于浏览器的内置机制以及用它和cookie打交道。

要在ASP.NET Core中使用JWT,大伙时需知道怎么才能 才能 手动创建JWTtoken,怎么才能 才能 验证它们以及怎么才能 才能 创建端点以便客户端应用守护多多线程 可以 获得它们。

另另一三个小 heder的例子是

首先,为了都都可以 登陆,你时需将用户名和密码发送POST请求到“/ token”(或者你设置的获取token的Web Api断点)。或者你很容易地使用jQuery来做到并否是 点:

接下来打开Startup.cs并更新ConfigureServices最好的土妙招:

JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature

发行者表示生成token的实体,在并否是 例子里它是ASP.NET Core Web应用守护多多线程 。audience代表将要使用并否是 token的实体,类似 client。或者你依靠第三方创建token(时需现在所要用到的),并否是 issue和audience是重要的。验证token时,或者你验证issue和audience。

在并否是 例子中更重要的是 TokenValidationParameters 类。这有你时需实例化的类,它将用来配置怎么才能 才能 验证token。

大伙时需明确地向服务器要另另一三个小 token,大伙被委托人将它存储在某个地方,或者在每个请求发送时手动带上它。有一些最好的土妙招可以 使并否是 尽或者简单快捷,我会在底下讨论其中的一些最好的土妙招。

现在大伙有了并否是 发行token的最好的土妙招,大伙还时需并否是 最好的土妙招来验证它们。大伙将使用ASP.NET Core的身份验证底下件,并将其配置为可接受JWT token。

Microsoft.AspNetCore.Authentication.JwtBearer NuGet包添加到你的项目。

payload暗含一系列 claims,类似:

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》

即使是关于怎么才能 才能 使用Google,Facebook等进行内部人员登陆提供守护多多线程 登录,或者这篇博客也暗暗含关身份验证底下件怎么才能 才能 工作的删剪说明。

大伙的token将暗含一组claims。就让有让大伙创建它们:

摘要:这边文章阐述了怎么才能 才能 使用 Json Web Token (Jwt)最好的土妙招 来配置身份验证底下件。并否是 最好的土妙招十分适合移动App 后端等不使用cookie的后端守护多多线程 。