.NET Core 集成JWT認證-有解無憂

JWT(Json web token)就不用過多的介紹了，在 .NET Core 開發中使用JWT進行認證也是比較常見的，而且接入程序也比較簡單，隨便配置配置就好了，

要想使用JWT，僅僅只需要在專案中參考微軟的一個認證組件，

Install-Package Microsoft.AspNetCore.Authentication.JwtBearer

然后將一些敏感資料可以放在組態檔appsettings.json中，

{
    "JWT": {
        "ClockSkew": 10,
        "ValidAudience": "https://meowv.com",
        "ValidIssuer": "阿星Plus",
        "IssuerSigningKey": "6Zi/5pifUGx1c+mYv+aYn1BsdXPpmL/mmJ9QbHVz6Zi/5pifUGx1c+mYv+aYn1BsdXPpmL/mmJ9QbHVz6Zi/5pifUGx1c+mYv+aYn1BsdXPpmL/mmJ9QbHVz6Zi/5pifUGx1cw==",
        "Expires": 30
    }
}

在Startup中添加配置并且使用

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidateLifetime = true,
                ClockSkew = TimeSpan.FromSeconds(Convert.ToInt32(Configuration.GetSection("JWT")["ClockSkew"])),
                ValidateIssuerSigningKey = true,
                ValidAudience = Configuration.GetSection("JWT")["ValidAudience"],
                ValidIssuer = Configuration.GetSection("JWT")["ValidIssuer"],
                IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration.GetSection("JWT")["IssuerSigningKey"]))
            };
        });

services.AddAuthorization();

app.UseAuthentication();
app.UseAuthorization();

這樣一個簡單的JWT配置就完成了，接下來新寫一個介面去生成token，

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;
using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;

namespace JsonWebTokenDemo.Controllers
{
    [Route("api/[controller]")]
    [ApiController]
    public class AuthController : ControllerBase
    {
        public AuthController(IConfiguration configuration)
        {
            Configuration = configuration;
        }

        public IConfiguration Configuration { get; }

        [HttpGet]
        [Route("Token")]
        public string GenerateTokenAsync(string username, string password)
        {
            if (username == "meowv" && password == "123")
            {
                var claims = new[] {
                    new Claim(ClaimTypes.Name, username),
                    new Claim(ClaimTypes.Email, "[email protected]"),
                    new Claim(JwtRegisteredClaimNames.Exp, $"{new DateTimeOffset(DateTime.Now.AddMinutes(Convert.ToInt32(Configuration.GetSection("JWT")["Expires"]))).ToUnixTimeSeconds()}"),
                    new Claim(JwtRegisteredClaimNames.Nbf, $"{new DateTimeOffset(DateTime.Now).ToUnixTimeSeconds()}")
                };

                var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration.GetSection("JWT")["IssuerSigningKey"]));
                var creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);

                var securityToken = new JwtSecurityToken(
                    issuer: Configuration.GetSection("JWT")["ValidIssuer"],
                    audience: Configuration.GetSection("JWT")["ValidAudience"],
                    claims: claims,
                    expires: DateTime.Now.AddMinutes(Convert.ToInt32(Configuration.GetSection("JWT")["Expires"])),
                    signingCredentials: creds);

                var token = new JwtSecurityTokenHandler().WriteToken(securityToken);

                return token;
            }
            else
            {
                throw new Exception("賬號密碼錯誤");
            }
        }
    }
}

模擬用戶登錄，成功登錄則去生成token，在實際應用中還可以對接第三方登錄系統進行認證，呼叫介面看下效果，

可以看到第一個介面輸入正確的賬號密碼，成功回傳了token，第二個介面會拋出一個例外，

接下來去寫兩個介面，去驗證一下token的使用是否正常，寫一個需要授權的介面和一個不需要授權的介面，

[HttpGet]
[Authorize]
[Route("AuthorizeTest")]
public string AuthorizeTest()
{
    return "我是回傳結果";
}

[HttpGet]
[AllowAnonymous]
[Route("AllowAnonymousTest")]
public string AllowAnonymousTest()
{
    return "我是回傳結果";
}

這兩個介面的唯一區別就是，[Authorize]、[AllowAnonymous]，

添加了 [Authorize]特性的表明是需要進行授權才可以訪問此介面，而添加了[AllowAnonymous]特性則表明不需要授權誰都可以訪問，同樣呼叫看一下效果，

第一個介面沒有回傳出結果，可見生效了，此時呼叫的時候就需要帶上我們前面生成的token成功授權后才能回傳資料，

有時候當我們沒有成功授權，會直接回傳一個401的錯誤頁面，如果需要自定義回傳資訊需要怎么做呢？

這個有好幾種做法，可以用中間件，攔截器等等，不過這里推薦一種組件集成好的做法，直接上代碼，

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            ...

            options.Events = new JwtBearerEvents
            {
                OnChallenge = async context =>
                {
                    context.HandleResponse();

                    context.Response.ContentType = "application/json;charset=utf-8";
                    context.Response.StatusCode = StatusCodes.Status401Unauthorized;

                    await context.Response.WriteAsync("{\"message\":\"Unauthorized\",\"success\":false}");
                }
            };
        });

添加上面這段代碼即可，await context.Response.WriteAsync()可以回傳你自定義的錯誤訊息，這里回傳的是一個json字串，

另外還有一種場景，默認我們拿到token進行授權訪問，是需要在請求頭中添加Authorization Bearer {token}這種方式的，如果我不想在請求頭中使用要怎么做呢？比如我想將token放在URL引數中，或者cookie中？

同樣也是可以的，而且實作方式也超級簡單，看下面代碼，

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            ...

            options.Events = new JwtBearerEvents
            {
                ...
                OnMessageReceived = async context =>
                {
                    context.Token = context.Request.Query["token"];

                    await Task.CompletedTask;
                }
            };
        });

這里演示了將token放在URL請求引數中，其它情況請根據實際開發場景進行修改即可，

轉載請註明出處，本文鏈接：https://www.uj5u.com/net/53.html

標籤：.NET Core

上一篇：.NET Core 下收發郵件之 MailKit

下一篇：NET CORE在Linux下部署并且用Nginx 做負載均衡（主要說明CentOS）