5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

希望给你3-5分钟的碎片化学习,可能是坐地铁、等公交,积少成多,水滴石穿,码字辛苦,如果你吃了蛋觉得味道不错,希望点个赞,谢谢关注。

Cookie-Based认证

认证流程

  我们先看下传统Web端的认证流程:

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  以上流程很简单,有过mvc开发经验的都了如指掌,一图胜千言就不展开介绍了,下面简单演示一下实现:

编码实现

  首先我们新建一个mvc项目

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  我们在AdminController.cs里增加[Authorize]

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  在Startup.cs中

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  这时候我们访问https://localhost:5001/Admin/Index后台会跳转到Account/Login

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  所以我们要先登陆一下:https://localhost:5001/account/login,模拟登陆,最后再访问Admin/Index就成功了,如下图:

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  整个过程,我录个视频看下:

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

JWT认证

 简介和使用场景

  Cookie-Based认证不是我们这篇文章的重点,接下来我们来看下JWT(JSON Web Token)认证,关于这个认证网上资料也非常多。简书上有篇不错的参考(跳转),这里还有一个JWT的官网值得关注

  JWT一般用在基于RESTful API的移动端、Web端、其他端等多个终端的联合认证。和Cookie-Based认证最大的不同是,他不需要手动来重定向,API只返回标准的HTTP Code,具体有哪些Code,我们可以查看阮一峰大哥的RESTful API设计指南RESTful API最佳实践。这里扯远了,我们看下图流程,基本就知道JWT的机制了。

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  关于JWT我们掌握它的Header、Payload、Signature三段部分就差不多了,如下图所示:

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  我们看到左边的Token的是怎么来的,右边的SIGNATURE经过多重加密进行拼接,其中HEADER和PAYLOAD进行了BASE64位加密,然后+256位的Secret,外层再用SHA256进行加密。 

编码实现

  接下来我们编码来实现这个认证:

  1) 首先我们新建JSON配置和对应的实体映射。

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  2)在Starup.cs当中,我们需要引入类库

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;
using System.Text;
  3)同时在Starup.cs中,通过Bind方法进行配置和实体的绑定,然后配置JWT相关参数。如下图所示:

   5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  4)最后别忘记配置权限管道

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  5)我们再看看加和不加Authorize的浏览器返回的区别,如下图所示:

  5.1基于JWT的认证和授权「深入浅出ASP.NET Core系列」

  以上代码大部分是截图,截图看起来更加顺眼,虽然不方便复制,如果你想看完整代码可以访问我的GitHub地址

  希望以上分享对你有帮助,我是张飞洪,入行10年有余,人不堪其忧,吾不改其乐,谢谢您关注我头条号。

上一篇:部署前后端分离项目找不到主类bug


下一篇:4.5管道实现机制和模拟构建管道「深入浅出ASP.NET Core系列」