asp.net core mvc之实现基于token的认证
安装nuget包
项目中添加包:dotnet add package microsoft.aspnetcore.authentication.jwtbearer
添加认证配置
startup类中添加如下配置:
public void configureservices(iservicecollection services) { ... services.addauthentication(defaultscheme: jwtbearerdefaults.authenticationscheme); } public void configure(iapplicationbuilder app, iwebhostenvironment env) { ... app.useauthentication(); app.useauthorization(); app.useendpoints(endpoints => { endpoints.mapcontrollers(); }); }
addauthentication方法会向依赖注入容器添加认证服务和它所使用的其他服务,其参数defaultscheme用于指定当未指定具体的认证方案时将会使用的默认方案,上例为bearer认证。
addauthentication方法的另一重载能够使用authenticationoptions类为认证过程中的每一个动作指明所使用的认证方案,如defaultauthenticatescheme、
defaultchallengescheme、
defaultsigninscheme、
defaultsignoutscheme、
defaultforbidscheme。
如果没有为这些属性设置认证方案,则将使用defaultscheme属性所指定的值。
当添加jwtbearer认证方式时,jwtbeareroptions对象能够配置该认证的选项,它的tokenvalidationparameters属性用于指定验证token时的规则:
var tokensection = configuration.getsection("security:token"); services.addauthentication(options => { options.defaultauthenticatescheme = jwtbearerdefaults.authenticationscheme; options.defaultchallengescheme = jwtbearerdefaults.authenticationscheme; }).addjwtbearer(options => { options.tokenvalidationparameters = new tokenvalidationparameters{ validateaudience = true, validatelifetime = true, validateissuer = true, validateissuersigningkey = true, validissuer = tokensection["issuer"], validaudience = tokensection["audience"], issuersigningkey = new symmetricsecuritykey( encoding.utf8.getbytes(tokensection["key"]) ), clockskew = timespan.zero }; });
tokenvalidationparameters类作为token验证参数类,它包含了一些属性,这些属性如validateaudience、validateissuer、validatelifetime和validateissuersigningkey,它们都是布尔类型,用于指明是否验证相应的项;而validissuer和validaudience属性则用于指明合法的签发者(issuer)与接受方(audience)。在上例中,它们的值都从配置文件中获取;issuersigningkey属性的值用于指定进行签名验证的安全密钥,它的值为symmetricsecuritykey对象,即对称加密密钥;clockskew属性的值表示验证时间的时间偏移值。
上述代码会从配置文件中读取关于token的信息,因此还需在appsettings.json中添加如下内容。
"security": { "token": { "issuer": "demo_issuer", "audience": "demo_audience", "key": "<your_secret_key>" } }
为controller添加认证
接下来,为了使用asp.net core的认证功能来保护资源,应为controller或action添加[authorize]特性,该特性能够实现在访问相应的controller或action时,要求请求方提供指定的认证方式,它位于microsoft.aspnetcore.authorization命名空间中。需要为authorcontroller和bookcontroller添加该特性。
[authorize] public class authorcontroller : controllerbase { } [authorize(authenticationschemes = jwtbearerdefaults.authenticationscheme)] public class bookcontroller : controllerbase { }
如果使用了多个认证方式,则可以使用[authorize]特性的authenticationschemes属性指明当前controller或action要使用哪一种认证方式(如上例中的bookcontroller);如果不设置,则会使用所添加认证时设置的默认方案;如果没有设置默认方案,则会出现invalidoperationexception异常,并提示未指定默认方案;此外,如果为authenticationschemes属性指定了不存在的方案名称,也会出现invalidoperationexception异常。
此时再访问book和author资源,会出现401 unauthorized异常:
如果要允许某个action可以被匿名访问,可以在action方法上添加属性标记 [allowanonymous]:
[allowanonymous] public async task<actionresult<ienumerable<authordto>>> getauthorsasync([fromquery] authorresourceparameters parameters)
添加认证信息生成接口
jwtbearer中间件提供了对jwt的验证功能,然而并未提供生成token的功能。要生成token,可以使用jwtsecuritytokenhandler类,它位于system.identitymodel.tokens.jwt命名空间,它不仅能够生成jwt,由于它实现了isecuritytokenvalidator接口,因此对jwt的验证也是由它完成的。接下来,我们将创建一个controller,它将会根据用户的认证信息生成jwt,并返回给客户端。
在controllers文件夹中创建一个controller,名为authenticatecontroller,内容如下:
using system; using system.collections.generic; using system.identitymodel.tokens.jwt; using system.security.claims; using system.text; using microsoft.aspnetcore.mvc; using microsoft.extensions.configuration; using microsoft.identitymodel.tokens; namespace library.api.controllers { [apicontroller, route("api/auth")] public class authenticatecontroller : controllerbase { public iconfiguration configuration { get; } public authenticatecontroller(iconfiguration configuration) { configuration = configuration; } [httppost("token", name = nameof(generatetoken))] public iactionresult generatetoken(string username, string password) { if (username != "demouser" || password != "demopassword") { return unauthorized(); } var claims = new list<claim>{ new claim(jwtregisteredclaimnames.sub, username) }; var tokenconfigsection = configuration.getsection("security:token"); var key = new symmetricsecuritykey( encoding.utf8.getbytes(tokenconfigsection["key"]) ); var signcredential = new signingcredentials(key, securityalgorithms.hmacsha256); var jwttoken = new jwtsecuritytoken( issuer: tokenconfigsection["issuer"], audience: tokenconfigsection["audience"], claims: claims, expires: datetime.now.addminutes(3), signingcredentials: signcredential ); return ok(new { token = new jwtsecuritytokenhandler().writetoken(jwttoken), expiration = timezoneinfo.converttimefromutc(jwttoken.validto, timezoneinfo.local) }); } } }
在authenticatecontroller中的generatetoken方法中,通过创建jwtsecuritytoken对象,并使用jwtsecuritytokenhandler对象的writetoken方法最终得到生成的jwt。当创建jwtsecuritytoken对象时,我们可以指定issuer、audience以及当前用户的claim信息,此外,还可以指定该token的有效时间。这里需要注意,由于jwt不支持销毁以及撤回功能,因此在设置它的有效时间时,应设置一个较短的时间(如上例中的3分钟),这样可以有效避免token在意外被窃取后所带来的风险。
现在就可以请求认证接口获取 token:
这时重新请求资源接口,在请求头中添加authorization项,值为bearer ,就可以得到结果了:
这次示例中,使用了固定的用户名和密码,实际情况中,用户名和密码通常是存在数据库中的,可以使用asp.net core identity来实现这一功能。
关于asp.net core mvc之实现基于token的认证的文章就介绍至此,更多相关asp.net core token的认证内容请搜索硕编程以前的文章,希望大家多多支持硕编程!