重新整理 .net core 实践篇————网关中的身份签名认证[三十七]

前言

简单整理一下网关中的jwt,jwt用于授权认证的,其实关于认证授权这块https://www.cnblogs.com/aoximin/p/12268520.html 这个链接的时候就已经写了,当然只写到了4节,后面有10节没有写,是相对复杂的场景,后续会补齐。

正文

jwt 是json web tokens,是一种支持前面的数据结构。

至于什么是jwt的话,https://www.jianshu.com/p/576dbf44b2ae 这里有人写的比较好了。

然后前文也提及到为什么在网关做身份认证了,因为这样就不需要专门调用另外一个服务来实现身份认证,身份认证授权可以在网关和所以微服务同时生效。

教程直接在.net core文档里面搜索jwt即可查阅到。

那么就根据例子要演示一下:

首先加入对应的包:

重新整理 .net core 实践篇————网关中的身份签名认证[三十七]

在appsettings.json 中加入加密密钥:

"SecurityKey": "asdfghjklqwertyuiopzxcvbnm"

然后注入服务:

var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["SecurityKey"]));
services.AddSingleton(securityKey);
services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
	.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
	{

	}).AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>
	{
		options.TokenValidationParameters = new TokenValidationParameters
		{
			ValidateIssuer = true,
			ValidateAudience = true,
			ValidateLifetime = true,
			ClockSkew = TimeSpan.FromSeconds(30),
			ValidateIssuerSigningKey = true,
			ValidAudience = "localhost",
			ValidIssuer = "localhost",
			IssuerSigningKey = securityKey
		};
	});

上面ValidateIssuer 、ValidateAudience 、ValidateLifetime 分别是验证Issuer、Audience、Lifetime这三个的,其实Issuer、Audience验证和不验证的话影响不大,主要是因为jwt随时可以解密出来,就是经过base64位的转换。
加入中间件:

app.UseAuthentication();

app.UseAuthorization();

测试代码:

[HttpGet]
public async Task<IActionResult> JwtLogin([FromServices]SymmetricSecurityKey securityKey,string userName)
{
	List<Claim> claims = new List<Claim>();
	claims.Add(new Claim("Name", userName));
	var creds = new SigningCredentials(securityKey,SecurityAlgorithms.HmacSha256);
	var token = new JwtSecurityToken(
		 issuer:"localhost",
		 audience:"localhost",
		 claims:claims,
		 expires:DateTime.Now.AddMinutes(30),
		 signingCredentials:creds
		);
	var t = new JwtSecurityTokenHandler().WriteToken(token);
	return Content(t);
}

然后调用生成jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJOYW1lIjoiMTIzIiwiZXhwIjoxNjI1NjE0NDkyLCJpc3MiOiJsb2NhbGhvc3QiLCJhdWQiOiJsb2NhbGhvc3QifQ.lQg70rMofgue9X_RQ1ft_NDmXyY2OJbTZodN4krVOUM

然后通过下面网址进行解密:

https://www.box3.cn/tools/jwt.html

重新整理 .net core 实践篇————网关中的身份签名认证[三十七]

然后来测试一下这个是否生效:

[ApiController]
[Route("[controller]")]
public class OrderController : Controller
{
	[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme+","+CookieAuthenticationDefaults.AuthenticationScheme)]
	public IActionResult oneApi()
	{
		return Content(User.FindFirst("name").Value);
	}
}

上面[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme+","+CookieAuthenticationDefaults.AuthenticationScheme)]的意思是可以通过jwt验证也可以通过cookie来验证。

为什么要这么写呢?因为:

services.AddAuthentication(CookieAuthenticationDefaults.AuthenticationScheme)
	.AddCookie(CookieAuthenticationDefaults.AuthenticationScheme, options =>
	{

	}).AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options ....

上面写了两种方式,且AddCookie在前,那么如果只写Authorize,那么默认是cookie,如果AuthenticationSchemes 为JwtBearerDefaults.AuthenticationScheme,那么只有jwt。

一般我们的项目中用jwt,但是因为有些网站刚开始的时候觉得方便用了cookie,后来因为有app接口,那么需要添加jwt,这里不是只app接口不能用cookie,而是不太方便。

那么效果如下:

重新整理 .net core 实践篇————网关中的身份签名认证[三十七]

可以看到传递了一个Authoization的参数,这个参数是约定参数,那么值就是Bearer加空格,然后后面接的就是jwt了,这些是约定。

那么返回了123,这个123就是我们jwt中Claim的key为name的值,调用就是User.FindFirst("name").Value,还是相当方便的。

当然我们也可以通过cookie来进行认证:

[HttpGet]
public async Task<IActionResult> CookieLogin(string userName)
{
	var identity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);
	identity.AddClaim(new Claim("Name", userName));
	await this.HttpContext.SignInAsync(CookieAuthenticationDefaults.AuthenticationScheme,new ClaimsPrincipal(identity));
	return Content("login");
}

这样把cookie 传入到响应流中传递给前端。
然后访问:http://localhost:5000/account?username=ao

可以看到有个cookie。
重新整理 .net core 实践篇————网关中的身份签名认证[三十七]

那么访问一下刚才的oneApi接口,得到为:

重新整理 .net core 实践篇————网关中的身份签名认证[三十七]

那么这样就在网关实现了身份签名和认证了。那么如果其他服务需要进行认证的话,那么可以添加相同的认证方式即可。

细节篇介绍一下这个的源码。

下一节跨域请求的安全问题。

重新整理 .net core 实践篇————网关中的身份签名认证[三十七]

上一篇:OSCP Security Technology - Gaining Root with Metasploit


下一篇:xampp 支持php版本,支持php5.2的最后一版xampp——xampp-1.7.1