手把手教你AspNetCore WebApi認證與授權的方法

更新時間：2020年10月12日 09:53:27 作者：深度碼農

這篇文章主要介紹了手把手教你AspNetCore WebApi認證與授權的方法，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

前言

這幾天小明又有煩惱了，之前給小紅的接口沒有做認證授權，直接裸奔在線上，被馬老板發(fā)現后狠狠的罵了一頓，趕緊讓小明把授權加上。趕緊Baidu一下，發(fā)現大家都在用JWT認證授權，這個倒是挺適合自己的。

什么是Token

Token是服務端生成的一串字符串，以作客戶端進行請求的一個令牌，當第一次登錄后，服務器生成一個Token便將此Token返回給客戶端，以后客戶端只需帶上這個Token前來請求數據即可，無需再次帶上用戶名和密碼。

什么是JWT

Json web token (JWT),是為了在網絡應用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標準（(RFC 7519).該token被設計為緊湊且安全的，特別適用于分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便于從資源服務器獲取資源，也可以增加一些額外的其它業(yè)務邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

JWT認證流程

從圖中可以看出主要有兩部分組成：1、獲取Token，2、通過Token進行授權。

使用JWT認證

首先，安裝JwtBearer包。

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0

接下來，定義一個配置類，我這里為了簡單直接用常量代替了，你也可以放在配置文件中。

public class TokenParameter
{  
 public const string Issuer = "深度碼農";//頒發(fā)者  
 public const string Audience = "深度碼農";//接收者  
 public const string Secret = "1234567812345678";//簽名秘鑰  
 public const int AccessExpiration = 30;//AccessToken過期時間（分鐘）
}

接下來，定義一個通過用戶名和密碼，獲取Token的控制器。

[Route("api/oauth")]
[ApiController]
public class OAuthController : ControllerBase
{
 /// <summary>
 /// 獲取Token
 /// </summary>
 /// <returns></returns>
 [HttpGet]
 [Route("token")]
 public ActionResult GetAccessToken(string username, string password)
 {
  //這兒在做用戶的帳號密碼校驗。我這兒略過了。
  if (username != "admin" || password != "admin")
   return BadRequest("Invalid Request");

  var claims = new[]
  {
   new Claim(ClaimTypes.Name, username),
   new Claim(ClaimTypes.Role, ""),
  };

  var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
  var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
  var jwtToken = new JwtSecurityToken(TokenParameter.Issuer, TokenParameter.Audience, claims, expires: DateTime.UtcNow.AddMinutes(TokenParameter.AccessExpiration), signingCredentials: credentials);
  var token = new JwtSecurityTokenHandler().WriteToken(jwtToken);

  return Ok(token);
 }
}

接下來，添加Token身份認證到容器（Startup.ConfigureServices）。

services.AddAuthentication(x =>
{
 x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
 x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(x =>
{
 x.RequireHttpsMetadata = false;
 x.SaveToken = true;
 x.TokenValidationParameters = new TokenValidationParameters
 {     
  ValidateIssuerSigningKey = true,//是否調用對簽名securityToken的SecurityKey進行驗證
  IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(TokenParameter.Secret)),//簽名秘鑰
  ValidateIssuer = true,//是否驗證頒發(fā)者
  ValidIssuer = TokenParameter.Issuer, //頒發(fā)者
  ValidateAudience = true, //是否驗證接收者
  ValidAudience = TokenParameter.Audience,//接收者
  ValidateLifetime = true,//是否驗證失效時間
 };
});

接下來，添加身份認證到中間件（Startup.Configure）。

app.UseAuthentication();//必須在app.UseAuthorization();之前

接下來，控制器需要授權控制的添加[Authorize]。

[HttpGet("{id}")]
[Authorize]
public async Task<ActionResult<Todo>> GetTodo(Guid id)
{
 var todo = await context.Todo.FindAsync(id);

 if (todo == null)
 {
  return NotFound();
 }

 return todo;
}

最后，我們測試一下接口，效果如下。