快捷導(dǎo)航

asp.net?core?中的Jwt(Json?Web?Token)的使用詳解

更新時(shí)間：2022年10月20日 10:32:43 作者：持久的勝利

session不支持分布式并且在服務(wù)器存儲(chǔ)一份用戶登錄的信息，這份登錄信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器，告訴其保存為cookie,以便下次請(qǐng)求時(shí)發(fā)送給我們的應(yīng)用，這篇文章主要介紹了asp.net?core?中的Jwt(Json?Web?Token)的使用,需要的朋友可以參考下

簡(jiǎn)單描述： session不支持分布式并且在服務(wù)器存儲(chǔ)一份用戶登錄的信息，這份登錄信息會(huì)在響應(yīng)時(shí)傳遞給瀏覽器，告訴其保存為cookie,以便下次請(qǐng)求時(shí)發(fā)送給我們的應(yīng)用

Jwt描述：

1.狀態(tài)保證在客戶端，而非服務(wù)器端。天然適合分布式系統(tǒng)。

2.簽名保證了客戶端無(wú)法數(shù)據(jù)造假。

3.性能更高，不需要和中心狀態(tài)服務(wù)器通信(如Redis)，純內(nèi)存的計(jì)算

JWT是由三段信息構(gòu)成的，將這三段信息文本用.鏈接一起就構(gòu)成了Jwt字符串

第一部分我們稱它為頭部（header 明文的加密算法類型),第二部分我們稱其為載荷（payload, 明文的各種自定義信息)，第三部分是簽證（signature只有服務(wù)器端才知道的密鑰).

不要在 jwt中傳入非常敏感信息，因?yàn)榭蛻舳?可以解析出明文

流程：服務(wù)器生成 Jwt 頒發(fā)給客戶端，每次客戶端請(qǐng)求帶上 Jwt，服務(wù)器端在做效驗(yàn)。

下面使用一個(gè) 案例來(lái)說(shuō)明 JWT的使用

1.設(shè)置JWT配置實(shí)體 JWTSetting.cs 用于注入

namespace aspnetcore013
{
    public class JWTSetting
    {
        public string Key { get; set; } // JWT 服務(wù)端的 key
        public long OutTime { get; set; } //設(shè)置過(guò)期秒數(shù)
    }
}

2.在 appsettings.json 文件中配置如下

{
  "Logging": {
    "LogLevel": {
      "Default": "Information",
      "Microsoft.AspNetCore": "Warning"
    }
  },
  "AllowedHosts": "*",
  "JWT": {
    "key": "xcv24fds*/*=-.lj?./54oi@%$^*ouio",
    "OutTime": 3600
  }
}

3.1.在 Program.cs 文件中配置 JWT配置如下

builder.Services.Configure<JWTSetting>(builder.Configuration.GetSection("JWT"));
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(opt =>
    {
        var JWTsetting = builder.Configuration.GetSection("JWT").Get<JWTSetting>();
        byte[] byteKeys = Encoding.UTF8.GetBytes(JWTsetting.Key);
        var securityKey = new SymmetricSecurityKey(byteKeys);
        opt.TokenValidationParameters = new TokenValidationParameters()
        {
            ValidateIssuer = false,
            ValidateAudience = false,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = securityKey
        };
    });

3.2 最后還有在添加 app.UseAuthentication(); 需要在 app.UseAuthorization(); 之前

app.UseAuthentication();

4.登錄成功用于生成JWT 字符串

using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Options;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
 
namespace aspnetcore013.Controllers
{
    [Route("api/[controller]/[action]")]
    [ApiController]
    public class Test3Controller : ControllerBase
    {
        //用于 依賴注入
        private readonly IOptionsSnapshot<JWTSetting> _settings;
 
        //注入 設(shè)置
        public Test3Controller(IOptionsSnapshot<JWTSetting> settings)
        {
            _settings = settings;
        }
 
        [HttpGet]
        public ActionResult<string> Login(string userName,string passWord)
        {
            if(userName=="zhangsan"&& passWord == "123456")
            {
                //這里已經(jīng) 表明 登錄 成功 
                //Claim為 JWT第二階段的 payload
                List<Claim> claims = new List<Claim>();
                claims.Add(new Claim(ClaimTypes.NameIdentifier, "66"));
                claims.Add(new Claim(ClaimTypes.Name, "zhangsan"));
                claims.Add(new Claim("Wechat", "jiujiu56"));//自定義 type名稱
                claims.Add(new Claim(ClaimTypes.Role, "admin"));
                //下面為生成 JWT
                string configkey = _settings.Value.Key;
                DateTime outTime = DateTime.Now.AddSeconds(_settings.Value.OutTime);
                byte[] byteKey = Encoding.UTF8.GetBytes(configkey);
                var securityKey = new SymmetricSecurityKey(byteKey);
                var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256Signature);
                //設(shè)置 JWT第二階段的 payload 和過(guò)期 時(shí)間 和 效驗(yàn)算法
                var securityToken = new JwtSecurityToken(claims: claims, expires: outTime, signingCredentials: credentials);
                string jwt =new JwtSecurityTokenHandler().WriteToken(securityToken);
                return jwt;
            }
            else
            {
                return BadRequest("登錄失敗");
            }
        }
    }
}

5.標(biāo)記需要授權(quán)的控制器或方法

using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using System.Security.Claims;
 
namespace aspnetcore013.Controllers
{
 
    [Route("api/[controller]/[action]")]
    [ApiController]
    [Authorize]  //在控制器上 加入這個(gè)[Authorize]
                 //則 這個(gè)控制器 下所有 方法必須 登錄驗(yàn)證
                 //如果在 方法上加 那么 這個(gè)方法 必須 登錄驗(yàn)證
    public class Test4Controller : ControllerBase
    {
        [HttpGet]
        public string demo1()
        {
            //獲取 當(dāng)前登錄成功的用戶 Claim的值
            var claim = this.User.FindFirst(ClaimTypes.Name);
            return "666"+ claim.Value;
        }
 
        [HttpGet]
        [AllowAnonymous] //在方法中 使用 [AllowAnonymous] 
                         //可以 排除 本方法 使用 授權(quán) 不必登錄驗(yàn)證 就可使用
        public string demo2()
        {
            return "777";
        }
        [HttpGet]
        [Authorize(Roles ="admin")] //可以使用 Role進(jìn)行
                                   //角色的控制 [Authorize(Roles ="admin")]
                                   //這里表示 必須要 有登錄權(quán)限并且角色為 admin
        public string demo3()
        {
            return "888";
        }
    }
}

6.訪問(wèn) [Authorize] 授權(quán)的方法或控制器必須在提交協(xié)議頭加上 Authorization:Bearer JWT數(shù)據(jù)

注意：Bearer 和 JWT數(shù)據(jù)之間要有一個(gè) 空格。JWT數(shù)據(jù)之后不能參雜任何額外數(shù)據(jù)

如果退出 JWT 一般把 JWT刪除就好。在多端刪除即可 JWT還可以有過(guò)期時(shí)間，上面代碼已經(jīng) 闡述清楚了。