【译】使用Jwt身份认证保护 Asp.Net Core Web Api

  • 时间:
  • 浏览:0

摘要:这边文章阐述了如何使用 Json Web Token (Jwt)方法 来配置身份验证上端件。全都方法十分适合移动App 后端等不使用cookie的后端守护线程池池。

首先你还可否 安装nuget包System.IdentityModel.Tokens.Jwt

一般的流程是:用户单击登录,进入登录页面,输入有效凭证后,服务器发送给用户浏览器的响应带有随后我带有加密信息的 Set-Cookie 头。

payload带有一系列 claims,这一:

可能性你不关心issue和audience(在JWT规范中是可选的),让人使用接受JwtSecurityHeader和JwtSecurityPayload的JwtSecurityToken的更简单的构造函数重载。不过你还可否 手动将expires和notBefore声明去掉 到有效内容中,这一:

下面是随后我真正的JWT的例子:

这里有全都我事先这么提到的概念,即发issue,audience和expiration dates。

cookie会被设置上domain 这一 blinkingcaret.com,每次浏览器向全都domain发送请求时,设置在全都domain上的cookie也会被带上。

译者注: 发行者,受众/听众,过期时间

最后,你只还可否 从本地存储中删除token即可取回 :

我可能性使用了一种claim类型 :

尽管让人“手动”将授权标头去掉 到每个请求,但通常有自动执行的方法。这一jQuery带有随后我时间还可否 允许你在发送请求事先做全都操作,这一在这里检查否是指在 token,可能性有就加到Authentication头里。

我将在这里讨论的token格式是JWT。

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》

译者注:随后我无需说把敏感信息贴到 payload里,比如:密码。

IsValidUserAndPasswordCombination中,让人来验证用户的凭据这一使用这一ASP.NET Identity(可能性你还可否 参考资料来学习ASP.NET Identity,让人看这篇博客 ASP.NET Identity Core From Scratch)。

对于上一节中的身份验证上端件,接受JWT token并将其转换为还可否 在控制器操作中访问的User,则该请求还可否 具有 Authorization header。header的值应该是“Bearer ”,随后 是JWT token,这一:

网络上有全都资源还可否 教你如何保护ASP.NET Core Web应用守护线程池池。我写过全都,这一 ASP.NET Core Identity From Scratch , External Login Providers in ASP.NET Core and Facebook Authentiation with ASP.NET Core.

全文完

发行者表示生成token的实体,在全都例子里它是ASP.NET Core Web应用守护线程池池。audience代表将要使用全都token的实体,这一 client。可能性你依靠第三方创建token(全是现在所要用到的),全都issue和audience是重要的。验证token时,让人验证issue和audience。

现在全都人有了一种发行token的方法,全都人还还可否 一种方法来验证它们。全都人将使用ASP.NET Core的身份验证上端件,并将其配置为可接受JWT token。

Microsoft.AspNetCore.Authentication.JwtBearer NuGet包去掉 到你的项目。

在创建全都人想要在token中编码的claims列表事先,全都人还可否 创建token一种,代码如下:

全都人的token将带有一组claims。全都全都我要们创建它们:

可能性你没熟悉ASP.NET Core的身份验证上端件,则建议你阅读External Login Providers in ASP.NET Core。

全都全都,当你想往payload里放全都东西的事先,你一定要知道上端全都

JWT代表Json Web Token。JWTtoken具有以下格式 base64-encoded-header.base64-encoded-payload.signature

web api客户端可否是桌面应用守护线程池池,移动设备甚至是浏览器。我将要描述的例子是Web应用守护线程池池的登录、保存token、随后 使用它来执行对请求的认证。让人在这里找到随后我还可否 正常工作的例子。

在Startup.cs中,你还可否 更新Configure方法并去掉 身份验证上端件:

要在ASP.NET Core中使用JWT,全都人还可否 知道如何手动创建JWTtoken,如何验证它们以及如何创建端点以便客户端应用守护线程池池还可否 获得它们。

在服务器上,cookie将被解密,随后 使用解密后的内容来创建用户的 Identity

全都人还可否 使用全都来代替cookie呢?没错随后我token。token也代表用户,随后 当全都人使用它的事先,全都人不再依赖于浏览器的内置机制以及用它和cookie打交道。

随后 创建随后我密钥。全都人将使用 symmetric key(译者注:对称密钥),代码如下:

不过对于保护Asp.Net WebApi,网络上有用的信息似乎太多。全都全都在这篇博文中,我将介绍如何使用Json Web Tokens(JWT)来保护ASP.NET Core中的Web Api。我在github带有随后我演示项目,让人照着它来做。

此外请注意,这是新的ASP.NET Core 2.0语法,其中通过ConfigureServices方法完整版配置了身份验证,但概念是相同的。

在随后我Web应用守护线程池池中,可能性你不打算使用供应内部调用(这一随后我移动应用守护线程池池)的API,这么它通常使用随后我cookie来表示随后我可能性登录的用户。

即使是关于如何使用Google,Facebook等进行内部登陆提供守护线程池池登录,随后 这篇博客也中带有关身份验证上端件如何工作的完整版说明。

可能性客户端是随后我浏览器,全都方法可能性非常非常适合。不过当全都人的客户端是随后我移动应用守护线程池池事先,那就另当别论了。

最后在signedCredentials中指定使用哪个安全密钥和全都算法来创建签名。在全都例子中全都人使用了HMAC-SHA256。

GenerateToken全都人事先在上一节中描述过。

最后,通过采用“base64(header).base64(payload)”创建签名,并使用头部指定的算法对签名其进行加密。这一 HMAC-SHA256。签名要素会用到随后我存储在server上的密钥,全都密钥是无需发给客户端的。

接下来打开Startup.cs并更新ConfigureServices方法:

全都人还可否 明确地向服务器要随后我token,全都人另一方将它存储在某个地方,随后 在每个请求发送时手动带上它。有全都方法还可否 使全都尽可能性简单快捷,我会在上端讨论其中的全都方法。

随后我heder的例子是

在创建JwtSecurityToken的实例后,实际生成token的方法是调用JwtSecurityTokenHandler实例的WriteToken方法,并将JwtSecurityToken作为参数传递:

译者注:a secret that needs to be at least 16 characters long=>随后我共要还可否 16个字符的密码,在验证签名时全是用到。

还可否 注意的一件事情是,可能性客户端执行的操作还可否 用户进行身份验证,随后 请求中这么(有效)授权标头,则服务器将返回带有401情况报告码的响应。该响应还将具有WWW-Authenticate:Bearer header。可能性你收到随后我的响应,则让人通知用户还可否 验证身份。

现在全都人知道如何创建全都人的JWT token了,全都人还还可否 一种方法来让客户端获得它们。最简单的方法是创建随后我期望发布请求的web api controller action 接受随后我Post请求,这一下面的代码:

首先,为了都都还可否 登陆,你还可否 将用户名和密码发送POST请求到“/ token”(可能性你设置的获取token的Web Api断点)。让人很容易地使用jQuery来做到全都点:

原文出自Rui Figueiredo的博客,原文链接《Secure a Web Api in ASP.NET Core》

欢迎全都人加入.NetCore学习交流群 群号:1150537383

要强调的是JwtRegisteredClaimNames带有在JWT RFC中列举的claims中。可能性你打算使用不同编程语言可能性框架生成的token,这么为了兼容性,你应该尽可能性的使用全都。不过,有全都声明类型还可否 在ASP.NET中启用全都功能。这一,ClaimTypes.Name 是用户名(User.Identity.Name)的默认声明类型。随后我例子是ClaimTypes.Role,可能性你在Authorize属性中使用Roles属性(这一[Authorize(Roles =“Administrator”)]),全都声明可能性被检查用来确认权限。

可能性一切顺利,则还可否 将获得JWT token,随后 让人将其保指在某个位置,通常在Web应用守护线程池池中,全都人将它保存到 local storage 中。在移动设备上则取决于你使用的平台,但它们都具有允许你保存token的功能(这一Android的SharedPreferences)。

你还可否 注意的是,JWT中带有的信息这么加密。为了获得有效payload,你只还可否 base64解码。你甚至还可否 从你的开发者工具控制台(这一在Chrome中)随后我做。使用atob方法并将payload作为参数传递。让人得到解密后的JSON 。signature不还可否 保证可能性大家篡改了payload,这么signature可能性失效。可能性大家想成功替换有效载荷并生成有效的token,全都人还可否 知道签名中使用的密钥,随后 该密钥永远无需被发送到客户端。

在全都例子中更重要的是 TokenValidationParameters 类。这这么你还可否 实例化的类,它将用来配置如何验证token。

可能性你使用全都框架,全是这一的机制,这一Angular有HttpInterceptors。

译者注:External Login Providers in ASP.NET Core这篇博客在撰写的事先使用的是 Asp.Net Core 1.x。

请注意Exp(expires)和Nbf(notBefore)声明的值是随后我Unix时间的字符串。将DateTime转换为该格式的最简单方法是使用DateTimeOffset

notBefore 和 expire 定义了 token的有效时间区间,在notBefore事先expire事先。