手把手教你AspNetCore WebApi:認證與授權
阿新 • • 發佈:2020-10-11
# 前言
這幾天小明又有煩惱了,之前給小紅的介面沒有做認證授權,直接裸奔在線上,被馬老闆發現後狠狠的罵了一頓,趕緊讓小明把授權加上。趕緊Baidu一下,發現大家都在用JWT認證授權,這個倒是挺適合自己的。
# 什麼是Token
Token是服務端生成的一串字串,以作客戶端進行請求的一個令牌,當第一次登入後,伺服器生成一個Token便將此Token返回給客戶端,以後客戶端只需帶上這個Token前來請求資料即可,無需再次帶上使用者名稱和密碼。
# 什麼是JWT
Json web token (JWT),是為了在網路應用環境間傳遞宣告而執行的一種基於JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的,特別適用於分散式站點的單點登入(SSO)場景。JWT的宣告一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊,以便於從資源伺服器獲取資源,也可以增加一些額外的其它業務邏輯所必須的宣告資訊,該token也可直接被用於認證,也可被加密。
# JWT認證流程
![](https://gitee.com/zcqiand/self-media/raw/master/assets/img/201010/20201010160939.png)
從圖中可以看出主要有兩部分組成:1、獲取Token,2、通過Token進行授權。
# 使用JWT認證
**首先**,安裝JwtBearer包。
```
dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0
```
**接下來**,定義一個配置類,我這裡為了簡單直接用常量代替了,你也可以放在配置檔案中。
```
public class TokenParameter
{
public const string Issuer = "深度碼農";//頒發者
public const string Audience = "深度碼農";//接收者
public const string Secret = "1234567812345678";//簽名祕鑰
public const int AccessExpiration = 30;//AccessToken過期時間(分鐘)
}
```
**接下來**,定義一個通過使用者名稱和密碼,獲取Token的控制器。
```
[Route("api/oauth")]
[ApiController]
public class OAuthController : ControllerBase
{
///
/// 獲取Token
///
///
[HttpGet]
[Route("token")]
public ActionResult GetAccessToken(string username, string password)
{
//這兒在做使用者的帳號密碼校驗。我這兒略過了。
if (username != "admin" || password != "admin")
return BadRequest("Invalid Request");
var claims = new[]
{
new Claim(ClaimTypes.Name, username),
new Claim(ClaimTypes.Role, ""),
};
var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
var jwtToken = new JwtSecurityToken(TokenParameter.Issuer, TokenParameter.Audience, claims, expires: DateTime.UtcNow.AddMinutes(TokenParameter.AccessExpiration), signingCredentials: credentials);
var token = new JwtSecurityTokenHandler().WriteToken(jwtToken);
return Ok(token);
}
}
```
**接下來**,新增Token身份認證到容器(Startup.ConfigureServices)。
```
services.AddAuthentication(x =>
{
x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(x =>
{
x.RequireHttpsMetadata = false;
x.SaveToken = true;
x.TokenValidationParameters = new TokenValidationParameters
{
ValidateIssuerSigningKey = true,//是否呼叫對簽名securityToken的SecurityKey進行驗證
IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(TokenParameter.Secret)),//簽名祕鑰
ValidateIssuer = true,//是否驗證頒發者
ValidIssuer = TokenParameter.Issuer, //頒發者
ValidateAudience = true, //是否驗證接收者
ValidAudience = TokenParameter.Audience,//接收者
ValidateLifetime = true,//是否驗證失效時間
};
});
```
**接下來**,新增身份認證到中介軟體(Startup.Configure)。
```
app.UseAuthentication();//必須在app.UseAuthorization();之前
```
**接下來**,控制器需要授權控制的新增[Authorize]。
```
[HttpGet("{id}")]
[Authorize]
public as