.NET 实现 JWT 登录验证

.NET 实现JWT登录认证

在ASP.NET Core应用程序中,使用JWT进行身份验证和授权已成为一种流行的方式。JWT是一种安全的方式,用于在客户端和服务器之间传输用户信息。

添加NuGet包

首先,我们需要添加一些NuGet包来支持JWT身份验证。在您的ASP.NET Core项目中,打开Startup.cs文件,并在ConfigureServices方法中添加以下代码:

using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.Extensions.Configuration;
using Microsoft.Extensions.DependencyInjection;
using Microsoft.IdentityModel.Tokens;

注册

// ...

public void ConfigureServices(IServiceCollection services)
{
    // 添加JWT身份验证服务
    services.AddAuthentication(options =>
    {
        options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
        options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
    })
    .AddJwtBearer(options =>
    {
        var config = Configuration.GetSection("JwtConfig").Get<JwtConfig>(); // 从appsettings.json读取JwtConfig配置
        options.TokenValidationParameters = new TokenValidationParameters
        {
            ValidateIssuer = true,
            ValidateAudience = true,
            ValidateLifetime = true,
            ValidateIssuerSigningKey = true,
            ValidIssuer = config.Issuer,
            ValidAudience = config.Audience,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(config.SecretKey))
        };
        
        options.Events = new JwtBearerEvents
        {
            OnMessageReceived = async context =>
            {
                var token = context.Request.Cookies["access_token"]; // 从Cookie中获取token值
                if (!string.IsNullOrEmpty(token))
                {
                    context.Token = token; // 将token值设置到JwtBearer上下文中的Token属性
                }
            }
        };
    });

    // ...
}

这里我们使用AddAuthentication方法添加了JWT身份验证服务,并设置了默认的认证方案为JwtBearerDefaults.AuthenticationScheme,这是JWT身份验证的默认方案。

AddJwtBearer方法中,我们通过GetSection方法从appsettings.json文件中读取了一个名为JwtConfig的配置,其中包含了JWT的一些信息,例如签发者(Issuer)、接收者(Audience)、秘钥(SecretKey)等。这些信息将用于验证和生成JWT令牌。

Configure方法中添加JWT认证中间件:

public void Configure(IApplicationBuilder app, IWebHostEnvironment env)
{
    // 其他中间件配置...

    app.UseAuthentication();
    app.UseAuthorization();
   //...
}

配置appsettings.json

接下来,我们需要在appsettings.json文件中配置JWT的相关信息。在您的ASP.NET Core项目中,找到appsettings.json文件,并添加以下配置:

{
  // ...
  "JwtConfig": {
    "Issuer": "YourIssuer",
    "Audience": "YourAudience",
    "SecretKey": "YourSecretKey",
    "AccessTokenExpirationMinutes": 60,
    "RefreshTokenExpirationMinutes": 1440
  }
}

您可以根据自己的需求修改配置项的值。这里的AccessTokenExpirationMinutesRefreshTokenExpirationMinutes分别表示访问令牌和刷新令牌的过期时间,单位为分钟。

创建 JWT 设置类

接下来,我们需要创建一个 C# 类来表示 JWT 的配置项,并使用 IOptions 接口将其注入到需要的地方。以下是一个示例的 JwtSettings 类:

csharpCopy codepublic class JwtSettings
{
    public string Issuer { get; set; }
    public string Audience { get; set; }
    public string SecretKey { get; set; }
    public int AccessTokenExpirationMinutes { get; set; }
    public int RefreshTokenExpirationMinutes { get; set; }
}

这个类定义了与 appsettings.json 文件中的配置项相对应的属性。

用户模型

// Models/User.cs

public class UserModel
{
    public string Id { get; set; }
    public string Username { get; set; }
    public string Password { get; set; }
    public string Email { get; set; }
    public string RefreshToken {get; set; }
}

实现JWT登录认证

现在,我们可以开始实现JWT登录认证的逻辑。我们将创建一个JwtService类,用于生成和验证JWT令牌。在您的ASP.NET Core项目中,创建一个名为JwtService.cs的类文件,然后添加以下代码:

using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;

public interface IJwtService
{
    string GenerateAccessToken(UserModel user);
    string GenerateRefreshToken();
    bool ValidateAccessToken(string token);
}

public class JwtService : IJwtService
{
    private readonly JwtConfig _jwtConfig;

    public JwtService(IConfiguration configuration)
    {
        _jwtConfig = configuration.GetSection("JwtConfig").Get<JwtSettings>();
    }

    public string GenerateAccessToken(UserModel user)
    {
        // 设置Token的Claims
        List<Claim> claims = new List<Claim>
        {
            new Claim(ClaimTypes.NameIdentifier, user.Id),
            new Claim(ClaimTypes.Name, user.Username)
        };

        // 生成Token的密钥
        SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(appSettings.SecretKey));

        // 生成Token的签名证书
        SigningCredentials creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256Signature);

        // 设置Token的过期时间
        DateTime expires = DateTime.Now.AddMinutes(appSettings.AccessTokenExpirationMinutes);

        // 创建Token
        JwtSecurityToken token = new JwtSecurityToken(
            appSettings.Issuer,
            appSettings.Audience,
            claims,
            expires: expires,
            signingCredentials: creds
        );

        // 生成Token字符串
        string tokenString = new JwtSecurityTokenHandler().WriteToken(token);

        return tokenString;
    }

    public string GenerateRefreshToken()
    {
        var randomNumber = new byte[32];
        using (var rng = new RNGCryptoServiceProvider())
        {
            rng.GetBytes(randomNumber);
            return Convert.ToBase64String(randomNumber);
        }
    }

    public bool ValidateAccessToken(string token)
    {
        var tokenHandler = new JwtSecurityTokenHandler();
        var key = Encoding.UTF8.GetBytes(_jwtConfig.SecretKey);
        try
        {
            tokenHandler.ValidateToken(token, new TokenValidationParameters
            {
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidateLifetime = true,
                ValidateIssuerSigningKey = true,
                ValidIssuer = _jwtConfig.Issuer,
                ValidAudience = _jwtConfig.Audience,
                IssuerSigningKey = new SymmetricSecurityKey(key)
            }, out var validatedToken);
        }
        catch (Exception)
        {
            return false;
        }
        return true;
    }
}

这里我们创建了一个JwtService类,实现了IJwtService接口。该服务类通过依赖注入方式注入了IConfiguration,从而可以在构造函数中读取JwtConfig配置。

  • JwtService类中包含了生成访问令牌和刷新令牌的方法,以及验证访问令牌和从访问令牌中获取用户主体的方法。其中,

    • GenerateAccessToken方法使用JwtSecurityTokenHandler来生成访问令牌,并设置了过期时间、签名等参数。

    • GenerateRefreshToken方法生成一个随机的32位Base64编码的字符串作为刷新令牌。

    • ValidateAccessToken方法验证访问令牌和从访问令牌中获取用户主体。它们使用JwtSecurityTokenHandler来验证令牌的签名、过期时间等信息,并返回验证结果或用户主体。

用户信息加密

在JWT中,用户信息是以Claims的形式进行传递的,但默认情况下,这些信息是以明文的形式存储在令牌中的。为了保护用户信息的安全性,我们可以选择对用户信息进行加密。下面是一个简单的示例,演示如何在生成访问令牌时对用户信息进行加密。

public string GenerateAccessToken(UserModel user)
{
    // 设置Token的Claims
    List<Claim> claims = new List<Claim>
    {
        new Claim(ClaimTypes.NameIdentifier, user.Id),
        new Claim(ClaimTypes.Name, user.Username)
    };

    // 生成Token的密钥
    SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(appSettings.SecretKey));

    // 生成Token的签名证书
    SigningCredentials creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256Signature);

    // 设置Token的过期时间
    DateTime expires = DateTime.Now.AddMinutes(appSettings.AccessTokenExpirationMinutes);

    // 创建Token
    JwtSecurityToken token = new JwtSecurityToken(
        appSettings.Issuer,
        appSettings.Audience,
        claims,
        expires: expires,
        signingCredentials: creds
    );

    // 生成Token字符串
    string tokenString = new JwtSecurityTokenHandler().WriteToken(token);

    return tokenString;
}

在上面的示例中,我们使用了SigningCredentials类来设置加密的参数,包括加密密钥、加密算法等。这样生成的访问令牌在传递用户信息时会进行加密,增加了用户信息的安全性。

用户登录验证

在用户登录时,我们需要对用户提供的用户名和密码进行验证,并生成访问令牌和刷新令牌。下面是一个简单的示例,演示如何在ASP.NET Core中实现用户登录验证,并生成JWT令牌。

[HttpPost("login")]
public IActionResult Login(UserModel model)
{
    // 验证用户名和密码
    var isValidUser = ValidateUser(model.Username, model.Password);

    if (!isValidUser)
    {
        return BadRequest(new { message = "Invalid username or password" });
    }

    // 生成访问令牌
    var accessToken = _jwtService.GenerateAccessToken(model);

    // 生成刷新令牌
    var refreshToken = _jwtService.GenerateRefreshToken();

    // 返回访问令牌和刷新令牌给客户端
    return Ok(new
    {
        access_token = accessToken,
        refresh_token = refreshToken
    });
}

在上面的示例中,我们通过调用_jwtService.GenerateAccessToken_jwtService.GenerateRefreshToken方法来生成访问令牌和刷新令牌,并将刷新令牌保存到数据库或其他持久化存储中,以便后续使用。

刷新令牌

在用户登录后,访问令牌会在一定时间后过期,此时用户需要使用刷新令牌来获取新的访问令牌,而无需重新登录。下面是一个简单的示例,演示如何在ASP.NET Core中实现刷新令牌功能。

[HttpPost("refresh")]
public IActionResult RefreshToken(UserModel model)
{
    // 验证刷新令牌是否有效
    var isValidRefreshToken = ValidateAccessToken(model.RefreshToken);

    if (!isValidRefreshToken)
    {
        return BadRequest(new { message = "Invalid refresh token" });
    }

    // 生成新的访问令牌
    var accessToken = _jwtService.GenerateAccessToken(model);

    // 返回新的访问令牌给客户端
    return Ok(new
    {
        access_token = accessToken
    });
}

在上面的示例中,我们通过调用_jwtService.GenerateAccessToken方法来生成新的访问令牌,并将其返回给客户端。在生成新的访问令牌时,我们可以使用之前保存的用户信息,例如用户名等。

用户登录简单验证

在每次请求时,我们需要对访问令牌进行验证,以确保用户的身份和权限。下面是一个简单的示例,演示如何在ASP.NET Core中实现对访问令牌的简单验证。

[HttpGet("profile")]
[Authorize]
public IActionResult GetUserProfile()
{
    // 获取当前用户的用户名
    var username = ....;

    // 根据用户名从数据库或其他持久化存储中获取用户信息
    var userModel = ......;

    if (userModel == null)
    {
        return NotFound(new { message = "userModel not found" });
    }

    // 返回用户信息给客户端
    return Ok(new
    {
        username = userModel.Username,
        email = userModel.Email
    });
}

在上面的示例中,我们通过添加[Authorize]属性来标记需要验证访问令牌的API端点。当客户端发送请求时,ASP.NET Core会自动验证访问令牌的有效性,并将用户信息存储在UserModel对象中,以便我们在方法内部访问。

总结

本篇博文通过一个简单的案例,介绍了如何使用 C# .NET 实现 JWT 登录验证,并处理用户信息的加密、刷新 Token、各种验证规则等功能。

原文链接:https://www.cnblogs.com/ke210/archive/2023/04/15/17320965.html

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:.NET 实现 JWT 登录验证 - Python技术站

(0)
上一篇 2023年4月17日
下一篇 2023年4月17日

相关文章

  • C# Contains(Object):确定集合是否包含指定对象

    C# Contains(Object) 方法介绍 C#中的Contains(Object)方法用于判断集合中是否包含指定的元素。方法的参数是一个Object类型的参数,表示要查找的元素。 该方法返回一个bool类型的值,如果指定元素在集合中存在,返回true,否则返回false。 语法 public bool Contains(Object value); …

    C# 2023年4月19日
    00
  • C#之set与get方法的用法案例

    C#之set与get方法的用法案例 什么是set和get方法 set和get方法是面向对象编程中的两个方法,例如在C#中,每个类都可以有自己的属性,通过set和get方法来访问和修改这些属性。 set方法用于设置属性的值。 get方法用于获取属性的值。 set方法的使用 假设有一个名为Person的类,包含了姓名和年龄两个属性: class Person {…

    C# 2023年6月7日
    00
  • 在asp.net中使用加密数据库联接字符串保证数据安全

    在ASP.NET中,可以使用加密数据库连接字符串的方式来保障数据库的安全性。具体步骤如下: 1. 生成加密密钥 在ASP.NET中,可以使用System.Web.Security中的方法生成一个加密密钥。在Global.asax.cs中添加以下代码: void Application_Start(object sender, EventArgs e) { /…

    C# 2023年5月31日
    00
  • C#与C++动态链接库DLL参数互传方式

    首先,C++和C#是两种不同的编程语言,它们的数据类型和交互方式也有所不同。C++和C#动态链接库(DLL)参数互传方式有很多种,下面我将详细讲解两种常见的方式。 1. 使用C++的“__declspec(dllexport) ”和C#的“DllImport”特性 使用该方法时,我们需要在C++的DLL函数定义前面加上__declspec(dllexport…

    C# 2023年5月15日
    00
  • c# 实现位图算法(BitMap)

    C# 实现位图算法(BitMap)攻略 什么是位图算法 位图算法(BitMap),也称为比特映射算法。是一种基于位运算的数据结构。 它的原理是把数据映射到包含这些数据的整数范围内,利用0和1的二进制方式来记录数据是否出现过。当数据量庞大时,时间复杂度远低于其他数据结构,所以在一些需要高效的场景中应用广泛。 例如,在搜索引擎的爬虫程序中,经常需要对已爬取的网页…

    C# 2023年6月8日
    00
  • ASP.NET Core 2.0 使用支付宝PC网站支付实现代码

    ASP.NET Core 2.0 使用支付宝PC网站支付实现代码 本攻略主要介绍如何使用ASP.NET Core 2.0实现支付宝PC网站支付。支付宝PC网站支付是一种快速、安全、便捷的支付方式,在许多电商网站中得到了广泛的应用。 实现流程 在支付宝开发平台创建应用并获取应用APPID和应用私钥。 集成支付宝PC网站支付SDK。 构建支付请求参数。 通过HT…

    C# 2023年5月31日
    00
  • C#中的timer与线程使用

    C#中的timer和线程是常用的多线程编程方式,可以实现定时任务、异步操作等。下面是完整攻略: Timer 1. Timer的使用方法 Timer是一个C#中轻量级的计时器。使用时需要先创建一个Timer对象,传入一个TimerCallback委托作为回调函数,在指定时间间隔后,每次调用回调函数。常用的构造函数有: public Timer(TimerCal…

    C# 2023年6月1日
    00
  • C# 模式匹配完全指南

    C# 模式匹配完全指南 本文旨在为C#开发者提供完整的模式匹配指南,包括使用 switch 语句,使用 is 表达式和模式表达式。了解模式匹配可以让你的代码更加简洁、易读和可维护。 使用 switch 语句进行模式匹配 switch 语句可以完成基本的模式匹配,通过模式匹配,可以避免大量的if语句,极大的增强代码的简洁性和可读性。 下面是一个用于判断对象类型…

    C# 2023年6月6日
    00
合作推广
合作推广
分享本页
返回顶部