ASP NET Core 认证与授权 4 JwtBearer认证

最新推荐文章于 2025-01-18 19:42:35 发布
最新推荐文章于 2025-01-18 19:42:35 发布
阅读量651 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43678418/article/details/86561664
版权
本文介绍了ASP.NET Core中JwtBearer认证的原理与使用,包括Bearer认证的工作流程、JWT的构成(Header、Payload、Signature)以及如何在ASP.NET Core中配置和使用JwtBearer认证。文章通过示例展示了如何模拟Token、注册认证、添加受保护资源,并探讨了扩展和源码解析,最后总结了Bearer认证与JWT的优势。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

               

Bearer认证

HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证。质询与应答的工作流程如下:服务器端向客户端返回401(Unauthorized,未授权)状态码,并在WWW-Authenticate头中添加如何进行验证的信息,其中至少包含有一种质询方式。然后客户端可以在请求中添加Authorization头进行验证,其Value为身份验证的凭证信息。

640?wx_fmt=png&wxfrom=5&wx_lazy=1

在HTTP标准验证方案中,我们比较熟悉的是"Basic"和"Digest",前者将用户名密码使用BASE64编码后作为验证凭证,后者是Basic的升级版,更加安全,因为Basic是明文传输密码信息,而Digest是加密后传输。在前文介绍的Cookie认证属于Form认证,并不属于HTTP标准验证。

本文要介绍的Bearer验证也属于HTTP协议标准验证,它随着OAuth协议而开始流行,详细定义见: RFC 6570。

A security token with the property that any party in possession of the token (a "bearer") can use the token in any way that any other party in possession of it can. Using a bearer token does not require a bearer to prove possession of cryptographic key material (proof-of-possession).

Bearer验证中的凭证称为BEARER_TOKEN,或者是access_token,它的颁发和验证完全由我们自己的应用程序来控制,而不依赖于系统和Web服务器,Bearer验证的标准请求方式如下:

Authorization: Bearer [BEARER_TOKEN]

那么使用Bearer验证有什么好处呢?

  • CORS: cookies + CORS 并不能跨不同的域名。而Bearer验证在任何域名下都可以使用HTTP header头部来传输用户信息。

  • 对移动端友好: 当你在一个原生平台(iOS, Android, WindowsPhone等)时,使用Cookie验证并不是一个好主意,因为你得和Cookie容器打交道,而使用Bearer验证则简单的多。

  • CSRF: 因为Bearer验证不再依赖于cookies, 也就避免了跨站请求攻击。

  • 标准:在Cookie认证中,用户未登录时,返回一个302到登录页面,这在非浏览器情况下很难处理,而Bearer验证则返回的是标准的401 challenge

JWT(JSON WEB TOKEN)

上面介绍的Bearer认证,其核心便是BEARER_TOKEN,而最流行的Token编码方式便是:JSON WEB TOKEN。

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准(RFC 7519)。该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。

JWT是由.分割的如下三部分组成:

头部(Header)

Header 一般由两个部分组成:

  • alg

  • typ

alg是是所使用的hash算法,如:HMAC SHA256或RSA,typ是Token的类型,在这里就是:JWT

{
       "alg": "HS256",  "typ": "JWT"}

然后使用Base64Url编码成第一部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.<second part>.<third part>

载荷(Payload)

这一部分是JWT主要的信息存储部分,其中包含了许多种的声明(claims)。

Claims的实体一般包含用户和一些元数据,这些claims分成三种类型:

  • reserved claims:预定义的 一些声明,并不是强制的但是推荐,它们包括 iss (issuer), exp (expiration time), sub (subject),aud(audience) 等(这里都使用三个字母的原因是保证 JWT 的紧凑)。

  • public claims: 公有声明,这个部分可以随便定义,但是要注意和 IANA JSON Web Token 冲突。

  • private claims: 私有声明,这个部分是共享被认定信息中自定义部分。

一个简单的Pyload可以是这样子的:

{
       "sub": "1234567890",  "name": "John Doe",  "admin": true}

这部分同样使用Base64Url编码成第二部分:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.<third part>

签名(Signature)

Signature是用来验证发送者的JWT的同时也能确保在期间不被篡改。

在创建该部分时候你应该已经有了编码后的Header和Payload,然后使用保存在服务端的秘钥对其签名,一个完整的JWT如下:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

因此使用JWT具有如下好处:

  • 通用:因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。

  • 紧凑:JWT的构成非常简单,字节占用很小,可以通过 GET、POST 等放在 HTTP 的 header 中,非常便于传输。

  • 扩展:JWT是自我包涵的,包含了必要的所有信息,不需要在服务端保存会话信息, 非常易于应用的扩展。

关于更多JWT的介绍,网上非常多,这里就不再多做介绍。下面,演示一下 ASP.NET Core 中 JwtBearer 认证的使用方式。

示例

模拟Token

ASP.NET Core 内置的JwtBearer验证,并不包含Token的发放,我们先模拟一个简单的实现:

[HttpPost("authenticate")]
public IActionResult Authenticate([FromBody]UserDto userDto){ 
   var user = _store.FindUser(userDto.UserName, userDto.Password);  
     if (user == null) 
     return Unauthorized(); 
     var tokenHandler = new JwtSecurityTokenHandler(); 
     var key = Encoding.ASCII.GetBytes(Consts.Secret);  
     var authTime = DateTime.UtcNow;  
     var expiresAt = authTime.AddDays(
最低0.47元/天 解锁文章
使用.NET Core实现JWT身份验证和授权
library_git106的博客
09-20 477
在TokenValidationParameters中,我们可以设置一些验证选项,例如验证发行者(Issuer)和受众(Audience),验证令牌的生命周期,以及验证签名密钥等。通过配置身份验证服务和中间件,以及创建和验证JWT令牌,我们可以轻松地在.NET Core应用程序中实现安全的身份验证和授权机制。请注意,示例中的代码仅用于演示目的,实际应用中可能需要更复杂的逻辑来处理身份验证和授权。此外,为了安全起见,建议将密钥和其他敏感信息存储在安全的位置,并使用适当的加密和保护措施。
ASP.NET Core WebAPI中使用JwtBearer实现鉴权授权-基于Microsoft.AspNetCore.Authentication.JwtBearer
热门推荐
海盗Sharp的博客
12-10 1万+
Core 中,使用 JWT (JSON Web Token) 实现鉴权和授权是一种常见的方式。JWT 允许在不同系统之间安全地传输用户信息,并且信息是自包含的。下面是如何在Core 中实现 JWT 鉴权和授权的步骤。
ASP.NET Core WebAPI中使用JWT Bearer认证授权
dotNET跨平台
12-15 3534
为什么是 JWT BearerASP.NET Core 在 Microsoft.AspNetCore.Authentication 下实现了一系列认证, 包含 Cooki...
AspNetCore】实现JWT(使用Microsoft.AspNetCore.Authentication.JwtBearer)
在这里你大概率会有所收获,欢迎指错||纠正||建议||水评+点赞&&评论&&关注&&转发
08-08 1988
AspNetCore 中实现Jwt比较简单,使用Microsoft.AspNetCore.Authentication.JwtBearer 库,再加几行代码即可.
ASP.NET Core 认证授权[4]:JwtBearer认证
weixin_33861800的博客
11-03 697
在现代Web应用程序中,通常会使用Web, WebApp, NativeApp等多种呈现方式,而后端也由以前的Razor渲染HTML,转变为Stateless的RESTFulAPI,因此,我们需要一种标准的,通用的,无状态的,语言无关的认证方式,也就是本文要介绍的JwtBearer认证。 目录 Bearer认证 JWT(JSON WEB TOKEN) 头部(Header) 载荷(Payloa...
ASP.NET Core中轻松使用JwtBeare进行身份验证
软件开发学习交流
05-15 1176
JwtBearer简介首先要搞清楚什么是JwtBearerJwtBearerASP.NET Core的OAuth 2.0 JWT Bearer身份验证提供程序。它提供了对JWT令牌进行验证的功能,然后允许将令牌中包含的声明(claims)用于用户身份验证和授权控制。Json Web Token (JWT)是一种Web标准,用于在不同系统间传输数据。JWT是一种可验证的和安全的方式,用于在各种应用程序之间传递信息。JWT具有一定的安全性,因为它是通过密钥对JWT进行签名的,以确保意味着不能进行篡改或伪造。
ASP.NET Core 中使用 JWT 实现令牌认证授权范例程序代码
07-02
ASP.NET Core中,我们可以使用Microsoft.AspNetCore.Authentication.JwtBearer库来处理JWT。 首先,我们需要配置JWT认证中间件。在`Startup.cs`文件的`ConfigureServices`方法中,添加以下代码: ```csharp ...
ASP.NET编程知识】ASP.NET Core学习之使用JWT认证授权详解.docx
05-15
ASP.NET Core 使用 JWT 认证授权详解 在 ASP.NET Core 中,使用 JWT(JSON Web Token)认证授权是一种常见的身份验证方式。本文将详细介绍 JWT 的优势和劣势,以及在 ASP.NET Core 中如何集成 JWT 认证认证和...
ASP.NET Core学习之使用JWT认证授权详解
10-14
本文将深入探讨如何在ASP.NET Core中使用JWT(JSON Web Tokens)进行认证授权。 JWT是一种轻量级的身份验证机制,它允许在客户端和服务器之间安全地传递信息,而无需在服务器上存储会话信息。JWT通过在令牌中携带...
详解ASP.NET Core Token认证
10-20
ASP.NET Core Token认证是一种安全机制,主要用于身份验证和授权,特别是在单页应用程序(SPA)、移动应用以及现代Web API中。它依赖于令牌(Token),尤其是JSON Web Tokens(JWTs),这些令牌包含了用户的身份信息...
Asp.net core使用Authentication使用jwt简单登录认证
qq_43014802的博客
08-09 592
webapi使用jwt;研究了两天,简单使用就这些,如果需要token续期或者刷新或者自定义校验处理需要重写比较麻烦。配置jwt所需配置,再appsettings.json文件。在controller中单独获取请求头可使用。使用流程是:先认证登录 -> 再校验权限。安装依赖,.net8版本为例。
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
菜鸟的专栏
12-28 1万+
C# ASP.NET Core Web API 身份授权(JWT)验证
ASP.NET Core 8.0 JWT认证授权
weixin_44877917的博客
07-22 2370
在配置中调用AddPolicy来注册策略,在某些情况下,可能无法采用此方式注册所有策略,在这些情况下,可以使用自定义来控制如何提供授权策略,比如在运行时使用外部数据源中的信息策略确定授权要求。授权的主要方式,是通过Handler程序判断授权,需要实现接口。自定义一个实现自定义 Handler 程序继承并重写方法。实现策略提供的来动态添加策略。自定义返回自定义的响应增强默认质询或禁止响应。
Asp.NetCore3.1 WebApi 使用Jwt 授权认证使用
qq_18932003的博客
10-13 702
1:导入NuGet包 Microsoft.AspNetCore.Authentication.JwtBearer 2:配置 jwt相关信息 3:在 startUp中 public void ConfigureServices(IServiceCollection services){ #region JWT 认证 services .AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options =&gt
ASP.NET Core 实战:JWT 身份验证
博客
01-18 1880
ASP.NET Core 实战:JWT 身份验证
学习ASP.NET Core的身份认证(基于JwtBearer的身份认证6)
最新发布
gc_2299的博客
01-18 658
重新编写并验证基于jwt的用户登录功能(将token保存到本地存储中)
使用JWT(无Cookie)的ASP.NET CORE令牌认证授权——第1部分
寒冰屋的专栏
07-15 2790
本文演示如何在Asp.Net CORE中使用JWT(JSON Web令牌)实现令牌认证授权。本文中使用的方法不使用任何客户端cookie进行身份验证和授权。这意味着,Token不存储在客户端浏览器中,它完全由服务器端处理。由于本文主要关注实现ASP.NET CORE身份验证和授权,因此我们不会深入了解令牌配置和令牌创建。从实现的角度来看,仅给出了令牌配置和创建的简要说明。有许多文章详细解释了它。本文包括完整的代码和LoginDemo.sln项目
ASP.NET Core高级之认证授权(一)--JWT入门-颁发、验证令牌
物联网大联盟
01-04 2686
正如每个人的家都需要锁门,每个系统也都需要对用户进行一些访问的控制,从而使系统更加地安全。
ASP.NET Core 入门教学十三 使用JWT进行身份验证
Life is not divided
09-05 1031
在本教程中,我们将学习如何在ASP.NET Core项目中使用JSON Web Tokens(JWT)来实现安全的身份验证。JWT是一种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值