前言
在网上走一朝JWT,都会拿来和Session对比,这里不细说理论了,大家伙们百度找找,很多,很详细;这里我们直接实操JWT在Asp.NetCore3.1中的应用;
走起
1. 建一个WebAPI项目(之前都截图好多了,这里不截图了);
2. Nuget包中安装对应组件
3. 在Startup.cs文件中进行配置
ConfigureServices方法
public void ConfigureServices(IServiceCollection services) { services.AddControllers(); //获取配置文件信息,因为是共用的,所以就统一放配置文件了 string secret = Configuration.GetValue<string>("JWT:Secrete");//秘钥,这里的秘钥长度不低于16 string issuer_z = Configuration.GetValue<string>("JWT:Issuer");//颁发方 string audience_z = Configuration.GetValue<string>("JWT:Audience");//接收方
//开始配置JWT services.AddAuthentication("Bearer") .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { //是否验证秘钥 ValidateIssuerSigningKey = true, //秘钥,记住一定要大于等于16位 IssuerSigningKey=new SymmetricSecurityKey(Encoding.UTF8.GetBytes(secret)), //是否验证颁发者 ValidateIssuer=true, //颁发者 ValidIssuer= issuer_z, //是否验证接收方 ValidateAudience=true, ValidAudience= audience_z, //必须要有超时时间 RequireExpirationTime=true, //是否验证超时,当设置exp和nbf时有效,同时启用ClockSkew ValidateLifetime=true, //这是一个缓冲时间,系统默认是5分钟,可设置;则Token有效时间就是过期时间+这个设置的缓冲时间 ClockSkew=TimeSpan.FromSeconds(50) }; }); }
Configure方法
public void Configure(IApplicationBuilder app, IWebHostEnvironment env) { if (env.IsDevelopment()) { app.UseDeveloperExceptionPage(); } app.UseRouting(); app.UseAuthentication(); app.UseAuthorization(); app.UseEndpoints(endpoints => { endpoints.MapControllers(); }); }
4. 在对应Controller上或Action上加上Authorize标记
经过以上四步,基本上就用JWT对API进行认证保护,不信试一下,程序运行起来,Postman走起:
其他接口没加Authorize特性的,正常访问,如下:
加了特性的Action,访问返回401,如下:
也就是说,加了Authorize特性的Action需要进行认证才能进行访问;换句话来说,请求来的信息,需要服务端能解析验证,JWT通过Token实现的;
生成Token
在UserController下增加一个获取Token的方法,如下:
using System; using System.Collections.Generic; using System.IdentityModel.Tokens.Jwt; using System.Linq; using System.Security.Claims; using System.Text; using System.Threading.Tasks; using Microsoft.AspNetCore.Authentication.JwtBearer; using Microsoft.AspNetCore.Authorization; using Microsoft.AspNetCore.Http; using Microsoft.AspNetCore.Mvc; using Microsoft.Extensions.Configuration; using Microsoft.IdentityModel.Tokens; namespace JwtDemo.Controllers { [Route("[controller]/[action]")] [ApiController] public class UserController : ControllerBase { private readonly IConfiguration _configuration; public UserController(IConfiguration configuration) { _configuration = configuration; } [Authorize] public IActionResult UserInfo() { return Ok(new { Name = "Zoe", Age = 18 }); } [HttpPost] public IActionResult GetToken(User u) { if(u==null||string.IsNullOrEmpty(u.LoginName)||string.IsNullOrEmpty(u.LoginPwd)) { return Ok(new { code=-1,msg="用户名或密码不能为空"}); } //验证用户 if(u.LoginName!="Zoe"&&u.LoginPwd!="admin") { return Ok(new { code = -1, msg = "用户名或密码错误" }); } //验证成功,构建Token string strToken = GenerateToken(u); //返回信息 return Ok(new {code=1,msg="Success",data=new { LoginName=u.LoginName,Token=strToken,Expire=3600,TokenType=JwtBearerDefaults.AuthenticationScheme } }); } private string GenerateToken(User u) {
//这里也是从配置文件读取的,和上面读取的一致,否则开启对应验证的话会不通过 string secret = _configuration.GetValue<string>("JWT:Secrete"); string issuer_z = _configuration.GetValue<string>("JWT:Issuer"); string audience_z = _configuration.GetValue<string>("JWT:Audience"); //指定加密算法 var securityKey = new SigningCredentials(new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secret)), SecurityAlgorithms.HmacSha256); //可以在Token里增加信息,但这里不要加私密信息,比如密码等这种数据
var claims = new Claim[] { new Claim("UserName", u.LoginName) }; //组装数据 SecurityToken securityToken = new JwtSecurityToken( issuer: issuer_z,//颁发者 audience: audience_z,//接收者 signingCredentials: securityKey,//组装的秘钥
expires:DateTime.Now.AddHours(1),//有效时间 claims: claims ); //生成Token return new JwtSecurityTokenHandler().WriteToken(securityToken); } } public class User { public string LoginName{ get; set; } public string LoginPwd{ get; set; } } }
这样Token就搞定了,项目运行起来,Postman访问一下:
这样我们就可以拿着这个Token进行保护API访问了,前提是在有效期之内,生成的Token可以在JWT.io官网进行解析,如下:
Token在Postman中使用,把生成的Token靠到Token的位置,访问保护的API,如下可以访问了:
其实本质就是在请求头Authorization中加上"Bearer 生成的Token",中间一定要有空格;前度调用的话也是在请求头中添加就行;
总结
JWT使用是不是很简单,轻松实现API的认证保护;下一遍我们说说JWT的权限验证;