ASP.NET Core JWT认证与授权详解
创作时间:
作者:
@小白创作中心
ASP.NET Core JWT认证与授权详解
引用
CSDN
1.
https://blog.csdn.net/chenbin520/article/details/146024155
JWT(JSON Web Token)是目前最流行的跨域认证解决方案之一,特别是在微服务架构中。本文将详细介绍如何在ASP.NET Core中实现JWT认证与授权,包括JWT的结构、认证服务的配置、Token的生成与验证,以及详细的源代码分析。
1. JWT结构
JSON Web Token(JWT)是一种用于在网络应用之间安全传输声明的开放标准(RFC 7519)。它通常由三部分组成,以紧凑的字符串形式表示,在身份验证、信息交换等场景中广泛应用。
2. JWT权限认证
2.1 添加认证服务类
在Program类中添加认证服务、Jwt处理类以及JWT配置项。
// 配置 JWT 身份验证
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
options.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuer = true,
ValidateAudience = true,
ValidateLifetime = true,
ValidateIssuerSigningKey = true,
ValidIssuer = builder.Configuration["JwtOptions:Issuer"],
ValidAudience = builder.Configuration["JwtOptions:Audience"],
IssuerSigningKey = new SymmetricSecurityKey(
Encoding.UTF8.GetBytes(builder.Configuration["JwtOptions:SecurityKey"]))
};
});
2.2 配置认证中间件
当前端发送请求到后端时,会通过Authentication中间件解析前端发送过来的Bearer,并把解析的数据填充到HttpContext.User中。
app.UseAuthentication();
2.3 生成Token
public string IssueToken()
{
var signinCredentials = new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes(jwtOptions.SecurityKey)), SecurityAlgorithms.HmacSha256);
var cls = new List<Claim>()
{
new Claim(ClaimTypes.Name, "admin"),
new Claim("org", "001")
};
var tokeOptions = new JwtSecurityToken(
issuer: jwtOptions.Issuer,
audience: jwtOptions.Audience,
claims: cls,
expires: DateTime.UtcNow.AddSeconds(6400),
signingCredentials: signinCredentials
);
var token = new JwtSecurityTokenHandler().WriteToken(tokeOptions);
return token;
}
2.4 appsettings中jwt配置
"JwtOptions": {
"Issuer": "http://localhost",
"Audience": "http://localhost",
"Expires": 3600,
"SecurityKey": "ThisIsASecretKeyThatIsAtLeast32BytesLongForHS256Algorithm"
}
配置项注入
builder.Services.Configure<JwtOptions>(builder.Configuration.GetSection("JwtOptions"));
2.5 获取认证信息
如果验证成功,就可以从HttContext.User中获取到相关信息。如:HttpContext.User.Identity.IsAuthenticated、HttpContext.User.Identity.Name等。
var user = HttpContext.User;
3. Authentication源代码分析
3.1 JWT认证主要涉及以下类
3.2 业务流程
3.3 业务分析
- 执行AddJwtBearer(options =>{…})方法,往AuthenticationOptions添加AuthenticationSchemeBuilder。
- 执行AuthenticationMiddleware时,先注入IAuthenticationSchemeProvider对象,IAuthenticationSchemeProvider会通过注入AuthenticationOptions,生成AuthenticationScheme列表。
- 遍历AuthenticationScheme列表,通过IAuthenticationHandlerProvider对象构建IAuthenicationRequestHandler实例。(IAuthenticationHandlerProvider通过注入IAuthenticationSchemeProvider对象,根据scheme名称找到AuthneticationScheme实例,再找到HandlerType,根据HandlerType生成实例)。
- 调用JwtBearerHandler解析Bearder,只要有一个Handler处理成功,就结束。
4. 授权
4.1 授权配置
可以通过配置[Authorize]特性,使得方法的调用必须验证授权。
- [Authorize]不带任何参数,只验证用户是否登录
[Authorize]
public IActionResult Privacy()
- [Authorize(Roles =“admin”)]配置角色,验证用户是否属于要求的角色。角色是或者的关系,只需要满足一个就验证通过。
[Authorize(Roles ="admin,operate")]
public IActionResult Privacy()
- 自定义配置策略
[Authorize("MinimumAgePolicy")]
public string Test()
// 添加验证策略,策略是且的关系,必须全部满足才验证通过
builder.Services.AddAuthorization(options =>
{
options.AddPolicy("MinimumAgePolicy", policy => policy.Requirements.Add(new MinimumAgeRequirement(18)));
});
public class MinimumAgeHandler : AuthorizationHandler<MinimumAgeRequirement>
{
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, MinimumAgeRequirement requirement)
{
if (context.User.HasClaim(c => c.Type == ClaimTypes.DateOfBirth))
{
var dateOfBirth = Convert.ToDateTime(context.User.FindFirst(c => c.Type == ClaimTypes.DateOfBirth).Value);
var age = DateTime.Today.Year - dateOfBirth.Year;
if (dateOfBirth > DateTime.Today.AddYears(-age))
{
age--;
}
if (age >= requirement.MinimumAge)
{
context.Succeed(requirement);
}
}
return Task.CompletedTask;
}
}
public class MinimumAgeRequirement : IAuthorizationRequirement
{
public int MinimumAge { get; set; }
public MinimumAgeRequirement(int minimumAge)
{
MinimumAge = minimumAge;
}
}
5. Authorization源码分析
5.1 类图
5.2 代码分析
以下代码在AuthorizationOptions类中添加AuthorizationPolicy,每个AuthorizationPolicy包含多个IAuthorizationRequirement。每个IAuthorizationRequirement代表一个验证项。
builder.Services.AddAuthorization(options =>
{
options.AddPolicy("MinimumAgePolicy", policy => policy.Requirements.Add(new MinimumAgeRequirement(18)));
});
- 注入中间件AuthorizationMiddleware,当请求到达时,中间件会获取当前EndPoint信息(IAuthorizeData),如根据[Authorize(“MinimumAgePolicy”)]获取AuthorizationPolicy。
- 获取AuthorizationPolicy会判断是否有配置Roles,如果有配置,则会在Policy对象中添加RolesAuthorizationRequirement对象。(policy = await AuthorizationPolicy.CombineAsync(_policyProvider, authorizeData, policies)😉
- 调用DefaultAuthorizationService,验证AuthorizationPolicy。
- DefaultAuthorizationService会获取所有注入的IAuthorizationHandler,遍历所有的Handler,根据Handler所要求的Requirement,从AuthorizationPolicy中获取实例传入Handler中。Handler验证成功,会删除对应的Requirement。所有Requirement都删除了才算验证成功。
app.UseAuthorization();
针对系统自带Requirement,比如配置Roles添加RolesAuthorizationRequirement对象。在AddAuthorization->AddAuthorizationCore中会注入PassThroughAuthorizationHandler。该Handler会遍历系统自带的Requirement(系统自带的Requirement会继承AuthorizationHandler并实现IAuthorizationRequirement),直接调用HandleAsync方法。
services.TryAddEnumerable(ServiceDescriptor.Transient<IAuthorizationHandler, PassThroughAuthorizationHandler>());
热门推荐
蓝牙耳机怎么连接电脑?轻松实现无线连接
湖北广播电视台2025全国两会“合声计划”如何创新破圈?
国际小行星日:揭秘小行星防御技术
如果小行星突然转向撞击地球,人类文明是否会灭亡?
计算机网络滑动窗口三种协议全解析:原理和应用
TCP协议提高效率的秘密:滑动窗口机制详解
斜方肌拉伤如何修复?医生给出专业建议
沉迷于负面想法的陷阱:如何走出阴霾,重拾阳光
如何掌握A-Level经济学中的数学基础知识
“互联网+”时代多元交互理论下“教与学”的信息化途径探讨论文
福州可观珠宝被立案侦查,十余年存金业务涉“非法集资”
STM32延时函数实现原理详解
清末时期的大名府(今河北邯郸大名县),牌坊精美,城墙巍峨
一代学神辜鸿铭:精通九国语言的文化狂魔
鲫鱼和鲤鱼的区别在哪里?
西班牙7条最佳自行车旅游路线,总有一条适合你!
南瓜子降血糖还是升血糖
800米、1000米跑成绩不合格?优化跑步姿势,提高心肺能力是关键!
寻找最长回文子串的四种算法详解
新媒体媒介岗位职责5篇
高胆固醇血症:沉默的健康隐患
血液透析患者动静脉内瘘的自我管理指南
如何介绍创业团队成员
爱“拼”的晋江,做对了什么?
设备管理系统的参数设置
液相色谱仪灵敏度调节方法详解
FE电动方程式和国际汽联宣布延长全女性测试环节来庆祝国际妇女节
科学实验简单在家就能做
防爆风机要求:确保安全与合规的关键要素
嘎楼:一种神奇的多肉植物