jwt - ASP.NET Core JWT 和声明-6ren

jwt - ASP.NET Core JWT 和声明

转载作者：行者123 更新时间：2023-12-05 02:17:31

我有一个关于 ASP.NET Core 和 Claims 中的 JWT 身份验证的问题，因为我不知道我是否得到了所有正确的信息。

当我在 ASP.NET 中创建 JWT token 时，我添加了一些声明，其中一些可以自定义。当带有 JWT token 的请求从客户端发送到 API 时会发生什么。 User.Claims 是如何填充的？它是否使用从 JWT 读取的声明？

我想创建一个自定义身份提供程序(不想使用 ASP.NET 提供的)，使用我自己的用户数据表、角色等。我不想存储完成所需的所有重要数据JWT token 中的策略(存储在 token 中的信息量以及安全问题)。是否可以在 JWT token 中仅存储基本声明(如用户 ID、名称等)，然后重新获取其他所需的数据 DB/缓存？除此之外，我想使用 [Authorize] 的标准机制和 Policy 机制。

如何实现这一切:自定义用户身份 + JWT + 标准 ASP.NET 基于策略的授权 + 在每次请求时从 DB/Cache 获取声明？如何实现？

最佳答案

Asp 网络核心

第一步是编写配置Jwt认证的方法:

// Configure authentication with JWT (Json Web Token).
public void ConfigureJwtAuthService(IServiceCollection services)
{
  // Enable the use of an [Authorize(AuthenticationSchemes = 
  // JwtBearerDefaults.AuthenticationScheme)]
  // attribute on methods and classes to protect.
  services.AddAuthentication().AddJwtBearer(cfg =>
  {
    cfg.RequireHttpsMetadata = false;
    cfg.SaveToken = true;
    cfg.TokenValidationParameters = new TokenValidationParameters()
    {
      IssuerSigningKey = JwtController.SecurityKey,
      ValidAudience = JwtController.Audience,
      ValidIssuer = JwtController.Issuer,
      // When receiving a token, check that we've signed it.
      ValidateIssuerSigningKey = true,
      // When receiving a token, check that it is still valid.
      ValidateLifetime = true,
      // This defines the maximum allowable clock skew when validating 
      // the lifetime. As we're creating the tokens locally and validating
      // them on the same machines which should have synchronised time,
      // this can be set to zero.
      ClockSkew = TimeSpan.FromMinutes(0)
    };
  });
}

现在在Startup.cs的ConfigureServices()方法中，我们可以调用ConfigureJwtAuthService()方法来配置Jwt认证。

这是完整的Startup.cs:

using System;
using Autofac;
using ExpertCodeBlogWebApp.Controllers;
using ExpertCodeBlogWebApp.Domain;
using ExpertCodeBlogWebApp.Domain.Interfaces;
using Microsoft.AspNetCore.Builder;
using Microsoft.AspNetCore.Hosting;
using Microsoft.AspNetCore.SpaServices.Webpack;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;

using Microsoft.IdentityModel.Tokens;

namespace ExpertCodeBlogWebApp
{
  public class Startup
  {
    public Startup(IConfiguration configuration)
    {
      Configuration = configuration;
    }

  public IConfiguration Configuration { get; }

  // This method gets called by the runtime. Use this method to add 
  // services to the container.
  public IServiceProvider ConfigureServices(IServiceCollection services)
  {
    services.AddMvc();

    // Configure jwt autenticazione 
    ConfigureJwtAuthService(services);

    // Repositories
    services.AddScoped<IUserRepository, UserRepository>();

    // Create the Autofac container builder for dependency injection
    var builder = new ContainerBuilder();

    // Add any Autofac modules or registrations. 
    builder.RegisterModule(new AutofacModule());

    // Return ServiceProvider
    var serviceProvider = services.BuildServiceProvider();
    return serviceProvider;
  }

  // Configure authentication with JWT (Json Web Token).
  public void ConfigureJwtAuthService(IServiceCollection services)
  {
    // Enable the use of an [Authorize(AuthenticationSchemes = 
    // JwtBearerDefaults.AuthenticationScheme)]
    // attribute on methods and classes to protect.
    services.AddAuthentication().AddJwtBearer(cfg =>
    {
      cfg.RequireHttpsMetadata = false;
      cfg.SaveToken = true;

      cfg.TokenValidationParameters = new TokenValidationParameters()
      {
        IssuerSigningKey = JwtController.SecurityKey,
        ValidAudience = JwtController.Audience,
        ValidIssuer = JwtController.Issuer,
        // When receiving a token, check that we've signed it.
        ValidateIssuerSigningKey = true,
        // When receiving a token, check that it is still valid.
        ValidateLifetime = true,
        // This defines the maximum allowable clock skew when validating 
        // the lifetime.
        // As we're creating the tokens locally and validating them on the 
        // same machines which should have synchronised time, this can be 
        // set to zero.
        ClockSkew = TimeSpan.FromMinutes(0)
      };
    });
  }

  // This method gets called by the runtime. Use this method to configure 
  // the HTTP request pipeline.
  public void Configure(IApplicationBuilder app, IHostingEnvironment env)
  {
    if (env.IsDevelopment())
    {
      app.UseDeveloperExceptionPage();
      app.UseWebpackDevMiddleware(new WebpackDevMiddlewareOptions
      {
        HotModuleReplacement = true
      });
    }
    else
    {
      app.UseExceptionHandler("/Home/Error");
    }

    app.UseStaticFiles();

    app.UseMvc(routes =>
    {
      routes.MapRoute(
      name: "default",
      template: "{controller=Home}/{action=Index}/{id?}");

      routes.MapSpaFallbackRoute(
        name: "spa-fallback",
        defaults: new { controller = "Home", action = "Index" });
      });
    }
  }

  // For dependency injection.
  public class AutofacModule : Module
  {
    // Dependency Injection with Autofact
    protected override void Load(ContainerBuilder builder)
    {
      builder.RegisterType<UserRepository>().As<IUserRepository>()
        .SingleInstance();
    }
  }
}

JwtController.cs

using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Security.Principal;
using System.Text;
using System.Threading.Tasks;
using AutoMapper;
using ExpertCodeBlogWebApp.Domain;
using ExpertCodeBlogWebApp.Domain.Interfaces;
using ExpertCodeBlogWebApp.Domain.Models;
using ExpertCodeBlogWebApp.ViewModels;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Logging;
using Microsoft.IdentityModel.Tokens;
using Newtonsoft.Json;

namespace ExpertCodeBlogWebApp.Controllers
{

[Route("api/[controller]")]
public class JwtController : Controller
{
  #region Private Members
  // JWT-related members
  private TimeSpan TokenExpiration;
  private SigningCredentials SigningCredentials;
  // EF and Identity members, available through DI
  private MyDbContext DbContext;
  private IUserRepository _userRepository;
  private readonly ILogger _logger;
  #endregion Private Members

  #region Static Members
  private static readonly string PrivateKey = "my_PrivateKey";
  public static readonly SymmetricSecurityKey SecurityKey = 
    new SymmetricSecurityKey(Encoding.ASCII.GetBytes(PrivateKey));
  public static readonly string Issuer = "my_Issuer";
  public static readonly string Audience = "my_Audience";
  #endregion Static Members

  #region Constructor
  // I have used Autofac in the Startup.cs for dependency injection)
  public JwtController(
    MyDbContext dbContext,
    IUserRepository userRepository,
    ILogger<JwtController> logger)
  {
    _logger = logger;
    _userRepository = userRepository;
    // Instantiate JWT-related members
    TokenExpiration = TimeSpan.FromMinutes(10);
    SigningCredentials = new SigningCredentials(SecurityKey, 
      SecurityAlgorithms.HmacSha256);
    // Instantiate through Dependency Injection with Autofact
    DbContext = dbContext;
  }
  #endregion Constructor

  #region Public Methods 
  // Manages the request for a new authentication or the refresh of an 
  // already established one
  [HttpPost("token")]
  public async Task<IActionResult> 
    Authentication([FromBody]JwtRequestViewModel jwt)
  {
    if (ModelState.IsValid)
    {
      string grantType = jwt.GrantType; 
      if (grantType == "password")
      {
        string userName = jwt.UserName;
        string password = jwt.Password;

        // Password check required
        var user = await 
          _userRepository.GetUserInfoWithCheckPwd(userName, password);

        // Check if user is expired (check the ExpireDate property)
        if (UserExpired(user))
          return BadRequest($"Account of {user.Name} expired!");

        if (UserEnabled(user))
          return await GenerateToken(user);
        else
          return BadRequest("User name or password invalid.");
      }
    }
    else if (grantType == "refresh_token")
    {
      string userName = jwt.UserName;

      // Refresh token (no password check required)
      var user = await _userRepository.GetUserInfoByName(userName);

      // Check if user is expired (check the ExpireDate property)
      if (UserExpired(user))
        return BadRequest($"Account of {user.Name} expired!");

      string token = jwt.Token;
      if (token == user.Token)
      {
        // Generate token and send it via a json-formatted string
        return await GenerateToken(user);
      }
      else
      {
        return BadRequest("User token invalid.");
      }
    }
    else
      return BadRequest("Authentication type invalid.");
  }
  else
    return BadRequest("Request invalid.");
  }
  #endregion Public Methods

  #region Private Methods
  private bool UserExpired(Users utente)
  {
    if (utente != null)
      return utente.ExpireDate.CompareTo(DateTime.Now) < 0;
    return true;
  }

  private bool UserEnabled(Users utente)
  {
    if (utente != null)
      return utente.Enabled == true;
    return false;
  }

  private JsonSerializerSettings DefaultJsonSettings
  {
    get
    {
      return new JsonSerializerSettings()
      {
        Formatting = Formatting.Indented
      };
    }
  }

  private async Task<IActionResult> GenerateToken(Users user)
  {
    try
    {
      if (user != null)
      {
        var handler = new JwtSecurityTokenHandler();
        DateTime newTokenExpiration = DateTime.Now.Add(TokenExpiration);

        ClaimsIdentity identity = new ClaimsIdentity(
          new GenericIdentity(user.Name, "TokenAuth"),
          new[] { new Claim("ID", user.Id.ToString())}
        );

        var securityToken = handler.CreateToken(new SecurityTokenDescriptor
        {
          Issuer = JwtController.Issuer,
          Audience = JwtController.Audience,
          SigningCredentials = SigningCredentials,
          Subject = identity,
          Expires = newTokenExpiration
        });
        string encodedToken = handler.WriteToken(securityToken);

        // Update token data on database
        await _userRepository.UpdateTokenData(user.Name, encodedToken, 
          newTokenExpiration);
        // Build the json response 
        // (I use Automapper to maps an object into another object)
        var jwtResponse = Mapper.Map<JwtResponseViewModel>(user);
        jwtResponse.AccessToken = encodedToken;
        jwtResponse.Expiration = (int)TokenExpiration.TotalSeconds;
        return Ok(jwtResponse);
      }
      return NotFound();
      }
      catch(Exception e)
      {
        return BadRequest(e.Message);
      }
    }
    #endregion
  }
}

在我的项目中，我使用 Angular。 Angular 调用 JwtController 方法:

login(userName: string, password: string)
{
  return this.getLoginEndpoint(userName, password)
    .map((response: Response) => this.processLoginResponse(response));
}

getLoginEndpoint(userName: string, password: string): Observable<Response> 
{
  // Body
  // JwtRequest is a model class that I use to send info to the controller
  let jwt = new JwtRequest(); 
  jwt.GrantType = "password";
  jwt.UserName = userName;
  jwt.Password = password;
  jwt.ClientId = "my_Issuer";
  // Post requiest (I use getAuthHeader that attach to the header the
  // authentication token, but it can also be omitted because it is ignored
  // by the JwtController
  return this.http.post(this.loginUrl, JSON.stringify(jwt), 
    this.getAuthHeader(true))
}

protected getAuthHeader(includeJsonContentType?: boolean): RequestOptions
{
  // Hera I use this.authService.accessToken  that is a my service where
  // I have store the token received from the server
  let headers = new Headers({
    'Authorization': 'Bearer ' + this.authService.accessToken });

  if (includeJsonContentType)
    headers.append("Content-Type", "application/json");

  headers.append("Accept", `application/vnd.iman.v01+json, 
    application/json, text/plain, */*`);
  headers.append("App-Version", "01");

  return new RequestOptions({ headers: headers });
}

private processLoginResponse(response: Response)
{
  // process the response..
}

在您希望仅供经过身份验证的用户访问的 Controller 类(或方法)上(不是在您的 JwtController 上，因为它的方法必须可供所有用户访问)您可以设置:

[Authorize(AuthenticationSchemes = JwtBearerDefaults.AuthenticationScheme)]

要从 Angular 调用需要身份验证的 Controller 方法，您需要使用 getAuthHeader() 方法将 token 附加到 header 中。

希望这篇文章能帮到你。

关于jwt - ASP.NET Core JWT 和声明，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/47473438/

文章推荐： python - 在 GeoDataFrame 中查找不重叠的多边形

文章推荐： python-3.x - 模块 'matplotlib' 没有属性 'colors'

文章推荐： asp.net - 为每个请求记录客户端 ip - kestrel 的访问日志

.net - asp.net 应用程序的最终用户是否需要安装 .net
创建使用.NET框架的asp.net页面时，访问该页面的客户端是否需要在其计算机上安装.NET框架？ IE。用户访问www.fakesite.com/default.aspx，如果他们没有安装框架，他
.net - 在线程之间正确共享变量 (.NET/VB.NET)
我阅读了很多不同的博客和 StackOverflow 问题，试图找到我的问题的答案，但最后我找不到任何东西，所以我想自己问这个问题。我正在构建一个应用程序，其中有一个长时间运行的工作线程，它执行一些
.net - 为什么.NET 被称为.NET？
已锁定。这个问题及其答案是locked因为这个问题是题外话，但却具有历史意义。目前不接受新的答案或互动。我一直想知道为什么微软为这样一个伟大的平台选择了一个如此奇怪的、对搜索引擎不友好的名称。他们就
.Net Framework .Net .NET Standard的概念及区别
.Net Framework .Net .NET Standard的区别 1、.NET Framework 在未来.NET Framework或许成为过去时，目前还是有很多地方在使用的。这一套
.net - ASP.NET Webforms + ASP.NET Ajax与ASP.NET MVC和Ajax框架的自由
如果有选择的话，您会走哪条路？ ASP.NET Webforms + ASP.NET AJAX 或 ASP.NET MVC + JavaScript Framework of your Choice
asp.net - .net asp.net 网络应用试图连接到 crl.verisign.net
我有一个 Web 服务，它通过专用连接通过 https 使用第三方 Web 服务，我应用了 ServicePointManager.ServerCertificateValidationCallbac
asp.net - ASP.NET Web应用程序(.NET Framework)与ASP.NET Core Web应用程序(.NET Framework)
为什么我应该选择ASP.NET Web Application (.NET Framework)而不是ASP.NET Core Web Application (.NET Framework)？我在
.NET Standard、.NET Core 和 .NET Framework 项目解决方案的 .NET 命名约定
我在网络上没有找到任何关于包含 .NET Standard、.NET Core 和 .NET Framework 项目的 .NET 解决方案的公认命名约定。就我而言，我们在 .NET 框架项目中有以
.net - .NET Compact 是 .NET 的完美子集吗？
.NET Compact 是 .NET 的完美子集吗？假设我考虑了屏幕大小和其他限制并避免了 .NET Compact 不支持的类和方法，或者 .NET Compact 是一个不同且不兼容的 GUI
.net - .NET connectionManagement 配置设置是否适用于所有 .Net 应用程序？
我已经阅读了所有我能找到的关于 connectionManagement 中的 maxconnection 设置的文章:即 http://support.microsoft.com/kb/821268
.net - Asp.net MVC json或Json.net？
我现在正在使用asp.net mvc，想知道使用内置的Json或 Json.Net哪个是更好的选择，但我不确定一个人是否比另一个人有优势。另外，如果我确实选择沿用Json.Net的路线，那么我应该选
.net - .NET Core 和 .NET 标准类库项目类型之间有什么区别？
在 Visual Studio 中，您至少可以创建三种不同类型的类库: 类库(.NET Framework) 类库(.NET 标准) 类库(.NET Core) 虽然第一个是我们多年来一直使用的，但我
.net - .NET 和 ASP.NET 有什么区别
.NET 和 ASP.NET 之间有什么区别？它们有什么关系？最佳答案 ASP.Net 基于 .Net 框架构建，提供有关 Web 开发的附加功能。你可以去看看wikipedia article
.net - 在安装新的 .net 框架之前安装以前的 .net 框架吗？
在安装更高版本(3.0)之前，我需要安装.net框架1.1和2.0吗？或者单独安装 3.0 框架就足够了，并为在早期框架版本上编写的软件提供支持？谢谢，丽然最佳答案不，您不必安装以前的框架。我
asp.net - 获取文本框的先前值asp.net vb.net
我正在开发一个项目，人们可以“更新”类别，例如更改类别的名称。我收到以下消息 This is called after clicking update 按钮 with the SQL statemen
.net - .NET System.Net.CookieContainer 线程安全吗？
.NET 类 System.Net.CookieContainer 线程安全吗？ --更新:交 key 答复-- 是否有任何方法可以确保异步请求期间修改的变量(即 HttpWebRequest.Coo
.net - JScript.NET 能否区分不同的.NET 异常类型
我正在使用 JScript.NET 在我编写的 C# WinForms 应用程序中编写脚本。它工作得很好，但我只是尝试在脚本中放置一些异常处理，但我无法弄清楚如何判断我的 C# 代码抛出了哪种类型的异
.net - ASP.NET VB - .NET 的一些数学运算
我需要你的帮助，比如我有一个小数类型的变量，我想这样取整。例如 3.0 = 3 3.1 = 4 3.2 = 4 3.3 = 4 3.4 = 4 3.5 = 4 3.6 = 4 3.7 = 4 3.
.net - ADO.NET 是在 .net 中访问数据库的唯一本地方式吗？
我使用过这样的代码:http://msdn.microsoft.com/en-us/library/dw70f090.aspx在 ASP.NET 中工作之前访问数据库(2-3 年前)。我没有意识到我正
asp.net - 如何在 .NET Framework、.NET Standard 和 .NET Core 项目之间使用相同的配置？
自 ConfigurationManager .NET Standard 中不存在，检索正在执行的程序集的应用程序设置的最佳方法是什么，无论是 web.config或 appSettings.{env

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

jwt - ASP.NET Core JWT 和声明