C# WEB API实现token

原创 已于 2025-09-05 16:46:03 修改 · 544 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #c# #ui

于 2025-09-05 16:44:05 首次发布

C# Web API 实现 Token 认证(JWT)

1. 核心概念
  • JWT (JSON Web Token):轻量级的认证协议,包含三部分:
    • Header(算法和类型)
    • Payload(用户数据)
    • Signature(防篡改签名)
  • 流程
    1. 用户登录获取 Token
    2. API 请求携带 Token
    3. 服务器验证 Token
2. 实现步骤
步骤 1:安装 NuGet 包
Install-Package Microsoft.AspNetCore.Authentication.JwtBearer
Install-Package System.IdentityModel.Tokens.Jwt
步骤 2:配置 JWT 服务(Program.cs)
var builder = WebApplication.CreateBuilder(args);

// 添加 JWT 配置
builder.Services.AddAuthentication(options =>
{
    options.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    options.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
})
.AddJwtBearer(options =>
{
    options.TokenValidationParameters = new TokenValidationParameters
    {
        ValidateIssuer = true,
        ValidateAudience = true,
        ValidateLifetime = true,
        ValidateIssuerSigningKey = true,
        ValidIssuer = builder.Configuration["Jwt:Issuer"],
        ValidAudience = builder.Configuration["Jwt:Audience"],
        IssuerSigningKey = new SymmetricSecurityKey(
            Encoding.UTF8.GetBytes(builder.Configuration["Jwt:Key"]))
    };
});

builder.Services.AddAuthorization();
步骤 3:添加 appsettings.json 配置
{
  "Jwt": {
    "Key": "your_256_bit_secret_key_here",
    "Issuer": "yourdomain.com",
    "Audience": "yourapplication",
    "ExpireMinutes": 30
  }
}
步骤 4:创建登录控制器生成 Token
[ApiController]
[Route("api/[controller]")]
public class AuthController : ControllerBase
{
    private readonly IConfiguration _config;

    public AuthController(IConfiguration config)
    {
        _config = config;
    }

    [HttpPost("login")]
    public IActionResult Login([FromBody] LoginModel login)
    {
        // 实际项目需验证数据库
        if (login.Username == "admin" && login.Password == "password")
        {
            var token = GenerateJwtToken(login.Username);
            return Ok(new { token });
        }
        return Unauthorized();
    }

    private string GenerateJwtToken(string username)
    {
        var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_config["Jwt:Key"]));
        var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);

        var claims = new[]
        {
            new Claim(JwtRegisteredClaimNames.Sub, username),
            new Claim(JwtRegisteredClaimNames.Jti, Guid.NewGuid().ToString()),
            new Claim(ClaimTypes.Role, "Admin") // 添加角色声明
        };

        var token = new JwtSecurityToken(
            issuer: _config["Jwt:Issuer"],
            audience: _config["Jwt:Audience"],
            claims: claims,
            expires: DateTime.Now.AddMinutes(Convert.ToDouble(_config["Jwt:ExpireMinutes"])),
            signingCredentials: credentials
        );

        return new JwtSecurityTokenHandler().WriteToken(token);
    }
}

public class LoginModel
{
    public string Username { get; set; }
    public string Password { get; set; }
}
步骤 5:保护 API 端点
[Authorize] // 添加认证要求
[ApiController]
[Route("api/[controller]")]
public class ProtectedController : ControllerBase
{
    [HttpGet("data")]
    public IActionResult GetData()
    {
        // 获取当前用户信息
        var username = User.Identity.Name;
        var role = User.FindFirst(ClaimTypes.Role)?.Value;
        
        return Ok(new { message = $"你好 {username}, 你的角色是 {role}" });
    }
}
3. 测试流程

  1. 获取 Token

    POST /api/auth/login
Content-Type: application/json

{
  "username": "admin",
  "password": "password"
}

    响应:

    {
  "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."
}

  2. 访问受保护 API

    GET /api/protected/data
Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
4. 安全增强建议
  1. 使用 HTTPS 加密传输
  2. Token 设置合理有效期(如 15-30 分钟)
  3. 实现 Token 刷新机制
  4. 敏感操作要求二次认证
  5. 定期轮换签名密钥

注意:实际项目中需替换硬编码的用户验证逻辑为数据库查询,并添加密码哈希处理。

ru.chen
关注
C# .NET 实现HTTP请求的加签名验证方法、Token验证和AppId验证
AnBig_Data的博客
09-16 971
通过以上这些验证方法的组合使用,我们可以增加HTTP请求的安全性,确保请求的合法性和完整性。为了确保请求的安全性和合法性,我们可以通过加签名验证、Token验证和AppId验证等方式来增加安全性措施。Token验证是一种基于令牌的身份验证方式,服务器会颁发一个Token给客户端,在后续的请求中,客户端需要在请求头或请求参数中携带该Token,服务器可以根据Token验证用户的身份。加签名是一种常用的验证方式,通过对请求参数进行签名计算,并将签名添加到请求头或请求参数中,服务器可以根据签名验证请求的合法性。
C#生成Token字符串
华山论码
12-07 1688
如:a8d3df47-7f9f-437e-9300-3f9d6ca46b54。
C# WEBAPI Token+数字签名(下)
piaochong2006的博客
09-29 1664
上一章我已经写完后台过滤器的所有方法,这一章,主要将客户端调用方法写明确了。也把我的过滤器代码公布出来,供大家参考。 1、客户端我就不写C#程序调用了,直接写jquery代码了,可以参考此代码自行编写C#代码或者其他语言代码,客户端也分为GET和POST方法进行调用,稍微有些许不同。 2、获取Token字符串。 //获取Token function GetToken() { var Url = url + "/TokenQM/Get_Token";
Webapi添加token认证功能
kejin_F的博客
05-07 4077
1.创建控制台应用程序 在 “文件” 菜单上,选择"项目"。 从安装的 “视觉C#对象” 下,选择 " Windows 桌面",然后选择 "控制台应用(.net Framework) "。 将项目命名为 “OwinSelfhostSample”,然后选择 “确定”。 2.添加 Web API 和 OWIN 包 从 “工具” 菜单中,选择 " NuGet 包管理器",然后选择 “程序包管理器控制台”。 在“Package Manager Console”窗口中,输入以下命令: Install-Package
C#基于Fleck实现WebSocket客户端与HTML及WinForm交互
最新发布
weixin_35753291的博客
09-14 1239
Fleck 是一个轻量级的 C# WebSocket 服务器库,专为 .NET 平台设计,能够快速构建高性能的 WebSocket 服务端应用。其核心设计理念是简洁、高效和可扩展,特别适合用于实时通信场景,如在线聊天、实时数据推送、游戏服务等。本章将从 Fleck 的核心特性入手,逐步引导读者完成开发环境的配置,并通过一个简单的 Echo 示例,展示如何使用 Fleck 构建基础的 WebSocket 服务器。
WebApi安全性 使用TOKEN+签名验证
xv7777666的博客
05-08 2464
(4) webapi接收到相应的请求,取出请求头中的timespan,nonc,staffid,signature 数据,根据timespan判断此次请求是否失效,根据staffid取出相应token判断token是否失效,根据请求类型取出对应的请求参数,然后服务器端按照同样的规则重新计算请求签名,判断和请求头中的signature数据是否相同,如果相同的话则是合法请求,正常返回数据,如果不相同的话,该请求可能被恶意篡改,禁止访问相应的数据,返回相应的错误信息。合法的请求则会返回对应的商品信息。
C# WEBAPI Token+数字签名(上)
piaochong2006的博客
09-29 4758
之前写了一个接口程序,只是利用VS自带的登录验证获取Token,然后根据调用接口的时候带入Token即可。这种方式比较简单,对方调用也很简单,但是安全性上是不够的,所以根据网上查找和自己需求就自己写了一份Token+数字签名的WebAPI程序 1、因为要自行验证数字签名,所以我们就必须利用到一个程序筛选类:ActionFilterAttribute 此类在WebMVC和WEBAPI中调用是不一样的,我会后面会写一篇详解,以下都是API下代码 ```csharp using System.Threading
C# WebAPI中的Token认证与数字签名实现
weixin_32102617的博客
06-16 1604
Web APIWeb应用程序编程接口)框架是一个软件中间件,旨在允许服务器和客户端应用程序之间的通信。它主要通过HTTP协议交换信息,并通常以JSON或XML格式的数据流形式进行交互。Web API框架使开发人员能够利用现有的网络基础设施,轻松地创建能够处理跨平台和跨设备请求的应用程序。
C# 生成校验解析token
热门推荐
技术分享博客
09-24 1万+
C# 生成校验解析token方式1方式3转载自 https://www.cnblogs.com/fanfan-90/p/12911203.html 重要对象 JwtSecurityToken:代表一个jwt token,可以直接用此对象生成token字符串,也可以使用token字符串创建此对象 SecurityToken:JwtSecurityToken的基类,包含基础数据 JwtSecurityTokenHandler:创建、校验token,返回ClaimsPrincipal   CanReadTok
精选资源
winform调用webapi获取Token授权案例,webapi使用oauth2.0权限控制
03-01
在本案例中,WinForm应用是客户端,WebAPI是资源服务器,用户通过授权服务器获取访问令牌(Token),然后客户端(WinForm)使用该令牌来访问受保护的WebAPI资源。 接下来,我们将探讨如何在WinForm应用中实现这一...
精选资源
WebApi Token+ 数字签名认证源码
04-10
在本文中,我们将深入探讨这个主题,重点介绍C# WebAPI中使用Token和数字签名认证的关键概念和实现步骤。 首先,让我们理解什么是Token。在Web开发中,Token通常指的是JSON Web Tokens (JWT) 或者Access Tokens。...
WebApi_Token
08-06
WEBAPI+TOKEN验证 token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api 3.服务器端每次接收到请求就获取对应用户的token和请求参数,服务器端再次计算签名和客户端签名做对比,如果验证通过则正常访问相应的api,验证失败则返回具体的失败信息
WebAPI-getauthtoken:使用 C#web api 服务获取登录令牌的简单示例
06-02
WebAPI-getauthtoken 使用 C#web api 服务获取登录令牌的简单示例 我四处寻找这个简单的示例,说明如何通过使用 Angular JS 的相同方法获取访问令牌,但找不到一个,所以我把这个放在一起。
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和密码,后端利用owin进行处理并分配access_token,刷新token调用相应的ajax,根据已提供refresh_token进行刷新;测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
WebApi 使用TOKEN+签名验证
10-17
WebApi安全性 使用TOKEN+签名验证
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
C#WEB用户令牌TOKEN验证,防止HTTP、GET、POST等提交包含服务端和客户端源码。Nginx集群,SSL证书的WebApi令牌验证
WebApi 后台获取token
weixin_34273481的博客
11-11 2928
前台传递一个token,后台不知道怎么获取那么不是很悲剧吗。 $(function () { $.ajax({ url: "/api/TokensTest/FirstCode", data: {}, type: "Get", dataType: "json", ...
C#接口实现自定义的 Token 鉴权过滤器,用于保护 Web API 接口不被未授权用户访问
qq_64948696的博客
01-02 2271
具体来说,这个过滤器会在每次请求 API 接口时进行校验,验证请求头中传递的 Token 值是否有效。如果 Token 无效,则返回 403 状态码,并提示错误信息;如果 Token 有效,则允许访问 API 接口。
C# 生成JWT的Token
Jessyzhao_0的博客
10-13 1227
【代码】C# 生成JWT的Token
C#实现WebAPI Token认证及数字签名完整代码解析
### WebApi Token+ 数字签名认证源码知识点 #### 知识点概述 WebApi Token+数字签名认证源码涉及前后端交互中的身份验证机制,使用Token和数字签名技术来确保通信的安全性。本知识点将详细介绍与本源码相关的关键...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值