首页 > 编程语言 >AspNetCore 成长杂记(一):JWT授权鉴权之生成JWT(其一)

AspNetCore 成长杂记(一):JWT授权鉴权之生成JWT(其一)

时间:2023-04-19 16:13:50浏览次数:55  
标签:AspNetCore JWT RSA 生成 public 文档 使用 鉴权

引子

最近不知怎么的,自从学了WebAPI(为什么是这个,而不是MVC,还不是因为MVC的Razor语法比较难学,生态不如现有的Vue等框架,webapi很好的结合了前端生态)以后,使用别人的组件一帆风顺,但是不知其意,突然很想自己实现一个基于的JWT认证服务,来好好了解一下这个内容。

起步

自从Session-Cookie方案逐渐用的越来越少,JWT的使用也变得成为主流的安全方案之一,但是在.NET Core的文档(这里的.NET Core指代原来的.Net Core以及之后的版本,文档是微软的开发者文档)并没有对JWT做详细的介绍(可能是在微软看来太简单了,不值得细说),仅仅略带一提而已,实例代码更是少得可怜,根本没有什么建设性的帮助作用,更像文档工程师在水任务(但不得不说微软的Indentity框架是真的强大,Spring Security的功能基本都实现了)。纵然是费尽心机找资料,钻研文档,还是所获甚少。但是在不断的努力之下还是找到很多方案的,其中比较有用的就拿几个,我仔细研究实践后得到了这几篇文章,不求它有多大帮助,之希望它能帮更多人少走弯路。
然而这几个方案大概可以分成两类:

  1. 非对称加密的JWT(常用于外部网络认证)
  2. 对称加密的JWT (通常是内部系统)
    对比之下,非对称的JWT更安全,更符号系统的安全需求,虽然增加了解密时间,但利大于弊。可是关于非对称的JWT的文章却很少,大部分都是关于对称加密的JWT资料。对于这种情况,我自己也没有什么好的办法,直到我在看一篇文章时,在Nuget上无意找到的一个包改变了我的认知————JWT(名字粗暴直接)。当然,你直接使用.NET的扩展库也可以,这里面有一个System.IdentityModel.Tokens.Jwt可以同样使我们更快乐的创建JWT。关于这部分的内容,我也会在之后的时间单独写一篇文章来实验。
    另外,对于API验证测试工具,一般都是默认的Swagger,如果你喜欢更好用的工具,我推荐使用ApiFox或者EOLink

实施

首先创建一个WebAPI项目,至于是否在启动后使用HTTPS,根据自己的需要,一般都是需要的。然后用Nuget或者Dotnet安装JWT这个Nuget包即可开始,如果是ASP.NET Core这样需要依赖注入环境的,推荐JWT.Extensions.AspNetCore这个包(强力推荐),可以更好的让你开始,仅仅需要基本功能的只用JWT即可。
由于我这里使用的是RSA1024bit,所以需要一个HTTPS的PEM或者CRT证书做CA,各位可以自己生成一个。
首先,我们需要为服务注入这个包的依赖,即使用builder.Services.AddAuthentication().AddJwt()来添加相关依赖。那为什么是要使用这个方法呢?如果你通过对象浏览器查看API会发现一个AddJwtDecoder的方法,同样可以添加依赖,并且更灵活,如果反编译就发现——AddJwt方法是对AddJwtDecoder的某个重载的调用,后面可以调用其他方法达成同样的效果,所以推荐使用这个方法注入。

服务注入代码如下:
builder.Services.AddAuthentication(options =>
{
    options.DefaultAuthenticateScheme = JwtAuthenticationDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtAuthenticationDefaults.AuthenticationScheme;
})
.AddJwt();

然后在应用认证中间件即可。

app.UseAuthentication();

完成这些工作以后,还需要创建一个用来根据用户信息生成JWT的控制器,为了防止使用HTTPGet被攻击,我这里采用了HTTPPost。
根据这个包的文档,生成一个JWT字符串非常容易,只需要创建一个x509对象或者两个RSA对象作为公钥和私钥即可,我推荐使用这个包里面提供的FluentApi方式,写起来非常舒服,最后编码生成JWT,完成。

生成JWT的代码如下:
var token = JwtBuilder.Create()
            .WithAlgorithm(algorithm) // 加密算法
            .AddClaim<string>("Account", accountName) //添加用户信息
            .AddClaim<string>("Passwd", passwdContext) //添加用户密码
            .Encode(); //编码生成jwt

完整的控制器代码如下:
[Route("api/[controller]")]
[ApiController]
public class JwtController : ControllerBase
{
    private RSA publicKey = RSA.Create();
    private RSA privateKey = RSA.Create();
    private RS2048Algorithm? algorithm { get; set; }

    public JwtController()
    {
        algorithm = new RS2048Algorithm(publicKey, privateKey);
    }



    [HttpPost]
    public async Task<string> CreateJwt(string accountName, string passwdContext)
    {
        return await Task<string>.Run<string>(() =>
        {
            var token =
            JwtBuilder.Create()
            .WithAlgorithm(algorithm)
            .AddClaim<string>("Account", accountName)
            .AddClaim<string>("Passwd", passwdContext)
            .Encode();

            return token;
        });
    }
}

总结

JWT.Extensions.AspNetCore这个包是一个集成了常用jwt操作的包,可以让你不必关心JWT的创建过程,这大大化简了我们使用JWT的过程,在一定程度上提高了生产力。如果您喜欢这个库,可以到项目主页上添加一颗星。

注意:

经过本人的亲身经历,x509在.NET6之后的类库X509Certificate2不能直接生成私钥,需要使用该类的成员方法:public System.Security.Cryptography.X509Certificates.X509Certificate2 CopyWithPrivateKey (System.Security.Cryptography.ECDiffieHellman privateKey);创建一个带有私钥的副本,否则会出现私钥在对象构造成功后出现NULL的情况。
如果没有特殊必要,建议直接使用Rsa的成员方法直接生成一个Rsa对象来操作比较简便,目前这个办法还可以改进,欢迎各位留言。

标签:AspNetCore,JWT,RSA,生成,public,文档,使用,鉴权
From: https://www.cnblogs.com/Delighted/p/17330181.html

相关文章

  • JWT的简单使用—扩展(菜鸡随笔)
    JWT的简单使用—扩展(菜鸡随笔)除了基本的身份认证和授权方案,ASP.NETCore还提供了更高级、更全面的身份认证和授权方案,例如自定义身份认证和授权、多因素身份认证、声明式策略等。在本篇文章中,我们将介绍这些高级身份认证和授权方案的实现。声明式策略声明式策略是一种比较灵活......
  • 面向接口编程实践之aspnetcoreapi的抽象
    最为一名越过菜鸟之后的开发,需要做接口开发。下面做一个纯粹的接口编程的实例demo,仅仅是一个webapi接口的抽象。下面是代码接口,AbsEFWork是webapi,BaseEntityFramework是一个接口库。先介绍一下webapi的实现,代码是从底层往上层写的,阅读代码的习惯应该是自上向下。publiccla......
  • 类库项目无法引用Microsoft.AspNetCore程序集下的类库
    在类库项目中不能直接引用WebApplicationBuilder、ApplicationBuilder等类,这些类位于Microsoft.ASPNetCore程序集中,但是无法通过Nuget包引用,因为该Nuget包的版本已经不再支持,很久没有更新过了。解决方法:在项目文件csproj文件中,在ItemGroup下手动添加引用<FrameworkReferenceInc......
  • 【sip】带鉴权信息的SIP呼叫
    携带鉴权的SIP呼叫流程图 携带鉴权SIP呼叫流程描述1)主叫1000发起一路呼叫,终端向服务器发送INVITE请求消息。2)代理服务器向终端1000回407响应,表示代理服务器要求终端带上鉴权信息。3)终端1000向服务器发送INVITE消息,并带上鉴权信息。4)代理服务器向终端用户1000回100T......
  • jwt在线生成网站
    在线生成JWTtoken的网站https://dinochiesa.github.io/jwt/这是一个非常棒的一个Jwttoken在线生成/编码/解码网站.支持对称算法和非对称算法,甚至可以生成RSA的public/privatekey.关于playload中各个字段的说明:"payload":{"iss":"someauthserver",//颁发t......
  • .NET 实现 JWT 登录验证
    .NET实现JWT登录验证在现代Web应用程序中,身份验证和授权是必不可少的功能。JSONWebToken(JWT)是一种广泛使用的身份验证和授权机制,它可以用于安全地传输用户信息和授权数据。在本篇博文中,我们将学习如何在C#.NET中实现JWT登录验证,并处理用户信息的加密、刷新Token......
  • gin框架中jwt实战之用户登录返回token
    流程:1、main.go中定义路由login调用user.Login方法2、user.login方法验证用户名,和密码,并生成token返回3、main.go中定义getUserInfo路由,调用user.GetUserInfo的方法4、getUserinfo中调用中间件对用户传过来的token进行验证5、验证通过后返回用户信息文件:main.go路由定......
  • gin框架中JWT的使用
    前言:Token和SessionSession是一种记录服务器和客户端会话状态的机制,使服务端有状态化,可以记录会话信息。而Token是令牌,访问资源接口(API)时所需要的资源凭证。Token使服务端无状态化,不会存储会话信息。正文:Gin JWT基于JWT的Token认证机制实现JSONWebToken(JWT)是一个......
  • python 之 session鉴权的处理
    一、session鉴权的处理1.requests的会话对象就像一个浏览器一样,它会在同一个会话中自动处理cookie信息,不需要写任何额外的代码。importrequests  session=requests.Session()#理解为就是一个浏览器  type(session)  requests.sessions.Sess......
  • JSON Web Tokens (JWT) — the only explanation you will ever need
    本文摘抄自ArielWeinberger博客  JSONWebTokens(JWT)—theonlyexplanationyouwilleverneed|byArielWeinberger|Medium JSONWebTokens(JWT)—theonlyexplanationyouwilleverneedJSONWebTokensarechangingtheworldf......