Web API 身份验证 不记名令牌验证 Bearer Token Authentication

最新推荐文章于 2024-07-24 17:56:57 发布
最新推荐文章于 2024-07-24 17:56:57 发布
阅读量490 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/wygzs/p/3729054.html
本文介绍如何在ASP.NET WebAPI项目中实现基于OAuth Bearer的身份验证过程,包括Startup.Auth.cs和WebApiConfig.cs文件的配置,创建认证方法及使用授权标记。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. Startup.Auth.cs文件

添加属性

public static OAuthBearerAuthenticationOptions OAuthBearerOptions { get; private set; }

 添加静态构造函数

        /// <summary>
        /// 构造函数
        /// </summary>
        static Startup()
        {
            OAuthBearerOptions = new OAuthBearerAuthenticationOptions();
        }

 方法ConfigureAuth中添加

            // 使用不记名身份验证
            app.UseOAuthBearerAuthentication(OAuthBearerOptions);

 

2. WebApiConfig.cs文件

方法Register中添加

            config.SuppressDefaultHostAuthentication();
            config.Filters.Add(new HostAuthenticationFilter("Bearer"));

 

3. 创建身份验证方法(Web API)

        [HttpPost]
        public async Task<String> Authenticate(string userName, string password)
        {
            if (string.IsNullOrEmpty(userAccount) || string.IsNullOrEmpty(password))
            {
                return string.Empty;
            }

            // 用户查找失败
            User user = await UserManager.FindAsync(userName, password);            
            if (user == null)
            {
                return string.Empty;
            }

            // 身份验证票证包括角色或者可以换成用户名
            var identity = new ClaimsIdentity(Startup.OAuthBearerOptions.AuthenticationType);
            identity.AddClaim(new Claim(ClaimTypes.NameIdentifier, user.Id.ToString()));
            if (UserManager.SupportsUserRole)
            {
                IList<string> roles = await UserManager.GetRolesAsync(user.Id).ConfigureAwait(false);
                foreach (string roleName in roles)
                {
                    identity.AddClaim(new Claim(ClaimTypes.Role, roleName, ClaimValueTypes.String));
                }
            }
            AuthenticationTicket ticket = new AuthenticationTicket(identity, new AuthenticationProperties());
            var currentUtc = DateTime.UtcNow;
            ticket.Properties.IssuedUtc = currentUtc;
            ticket.Properties.ExpiresUtc = currentUtc.Add(TimeSpan.FromDays(1));

            // 返回值
            return Startup.OAuthBearerOptions.AccessTokenFormat.Protect(ticket);
        }

 4. 为需要身份验证的控制器或方法添加标记

[Authorize(Roles = "Admin")]
public class UsersController : ApiController
{
}

 

测试:

在请求头部中添加令牌,格式如下:

Authorization: Bearer boQtj0SCGz2GFGz...

 

转载于:https://www.cnblogs.com/wygzs/p/3729054.html

20-BearerTokenAuthenticationFilter
码农小胖哥
03-17 3515
BearerTokenAuthenticationFilter是Spring Security资源服务器的核心过滤器。负责对请求中携带的Token进行校验,提取认证信息,以确定当前请求是否有权限访问对应的资源。 BearerTokenAuthenticationFilter 以下是BearerTokenAuthenticationFilter的大致结构: 成员属性都在上一文中进行了说明,这里就再赘述了。 核心逻辑 作为一个OncePerRequestFilter核心的逻辑还在doFilterIntern
云原生攻防5(Kubernetes常见攻击方式、挖矿应急响应、获取token、端口2379、6443、10250、30372、K8s常用端口探测、ConfigMap)
最新发布
墨痕诉清风的博客
06-06 118
随着越来越多企业开始上云的步伐,在攻防演练碰到云相关的场景有:公有云、私有云、混合云、虚拟化集群。以往渗透是从外网突破-> 提权 -> 权限维持 -> 信息收集 -> 横向移动 -> 循环收集信息获得重要目标系统。随着业务上云以及虚拟化技术的引入改变了这种格局,也打开了新的入侵路径。1. 通过虚拟机攻击云管理平台,利用管理平台控制所有机器2. 通过容器进行逃逸,从而控制宿主机以及横向渗透到K8s Master节点控制其上所有容器。
WebApi-3 身份验证
weixin_30488085的博客
05-15 149
WebApi常见的实现方式有:FORM身份验证、集成WINDOWS验证、Basic基础认证、Digest摘要认证 个人偏好Basic基础认证,而且支持跨域,下面详解这种方式。 1.定义一个自定义属性类(BasicAuthorizeAttribute)继承自AuthorizationFilterAttribute: public class BasicAuthorizeAttribute ...
基于Token身份验证的方法
10-18
主要介绍了基于Token身份验证的方法,小编觉得挺错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Bearer Token 一种安全的接口认证方式
专注基础架构领域
05-25 7783
因为HTTP协议是开放的,可以任人调用。所以,如果接口希望被随意调用,就需要做访问权限的控制,认证是好的用户,才允许调用API。 目前主流的访问权限控制/认证模式有以下几种: 1、Bearer TokenToken 令牌) 定义:为了验证使用者的身份,需要客户端向服务器端提供一个可靠的验证信息,称为Token,这个token通常由Json数据格式组成,通过hash散列算法生成一个字符串,所以称为Json Web Token(Json表示令牌的原始值是一个Json格式的数据,web表示是在互联网传播
Web API与JWT认证
weixin_30411819的博客
11-01 205
​JWT(Json Web Token)定义了一种使用Json形式在网络间安全地传递信息的简洁开放的标准(RFC 7519)。JWT使用数字签名确保信息是可信的。一、Session认证和Token认证Http协议本身是无状态的,如果用户向服务器传递了用户名和密码进行了用户认证,那么下一次请求时用户还是需要进行同样的认证,因为根据Http协议,我们无法知道请求是由哪个用户发出的。所以,为了...
Swagger3-带有自定义标头名称身份验证
maizixuetang的博客
07-24 488
使用持有者身份验证,但需要在Authorize以外的标头中发送令牌。根据RFC 7235和的定义,type: http用于HTTP身份验证。根据定义,HTTP身份验证使用报头。要使用自定义header名称,需要将其定义为API keyin: header请注意,由于它是非标准的持有者方案,客户端将需要手动将“持有者”前缀添加到令牌值。例如,当您在Swagger UI中单击“授权”时,您需要输入“记名令牌”,而仅仅是“令牌”。
实现基于JWT的Google混合登录验证机制
1. 记名令牌授权(Bearer Token Authentication记名令牌授权是一种常见的安全机制,用于HTTP请求中提供身份验证。在这种模式下,客户端在请求的HTTP头部(Authorization Header)中附加一个令牌token),...
[Kubernetes] API Server简介
959
04-27 1345
API Server简介
Kubernetes_APIServer_APIServer简介
毛毛的专栏
03-26 4913
api server 是 Kubernetes 集群的网关。它是 Kubernetes 集群中的所有用户、自动化和组件都可以访问的中心接触点。API Server通过 HTTP 实现 RESTful API,执行所有 API 操作,并负责将 API 对象存储到持久存储后端。
RFC 6750 OAuth 2.0 授权框架:记名令牌用法
07-20
RFC 6750 OAuth 2.0 授权框架:记名令牌用法 (正式版中文翻译,PDF)
12.3。OAuth 2.0资源服务器
weixin_43981133的博客
09-26 1167
12.3。OAuth 2.0资源服务器 Spring Security支持使用两种形式的OAuth 2.0 Bearer Tokens来保护端点: JWT Opaque Tokens 在应用程序将其权限管理委派给授权服务器(例如Okta或Ping Identity)的情况下,这很方便。资源服务器可以咨询该授权服务器以授权请求。 本节详细介绍了Spring Security如何提供对OAuth 2.0 Bearer Token的支持。 Spring Security存储库中提供了JWT和Opaque T
HTTP认证的几种方式
精通时间管理
06-08 897
Bearer Token(翻译:记名令牌记名令牌是 OAuth 2.0 中使用的主要访问令牌类型。 Bearer Token 是一个透明的字符串,对使用它的客户端没有任何意义。 一些服务器会发出由十六进制字符组成的短字符串的令牌,而其他服务器可能会使用结构化的令牌,例如JSON Web Tokens 使用方式 Authorization: Bearer token 使用场景 对于自己的服务签发的 jwtToken 鉴权服务发放的用于获取用户信息的 access_token,refresh_
自定义Java的Bearer Token身份验证过滤器
CyberSparkZ的博客
09-06 553
综上所述,自定义Bearer Token身份验证过滤器可以帮助您在Java应用程序中实现安全的身份验证机制。通过合理的配置和适当的验证逻辑,您可以保护您的应用程序和用户数据免受未经授权访问的风险。实际应用中,您可能需要根据您的需求进行更复杂的令牌验证逻辑,并使用安全的方式来存储和管理令牌令牌的存储和管理:安全地存储和管理令牌是至关重要的。令牌的安全性:确保您的令牌是安全的,能被轻易伪造或篡改。令牌的有效期:为令牌设置一个适当的有效期,并定期更新令牌。请注意,在实际的应用中,安全性是至关重要的。
Asp.Net WebAPI跨域配置
游响云停专栏
10-28 2722
 至于为什么要使用跨域,相信开发的同学都知道,这里咱们就必多言,咱们看下具体怎么配置吧, 1.安装跨域组件    建立好WEBAPI项目后,在visual studio中,工具--》NuGet程序包管理器--&gt;程序包管理控制台,输入如下命令   Install-Package Microsoft.AspNet.WebApi.Cors   安装完后,目录下会多如下两个DLL Micr...
ASP.NET Web APIWebApiConfig
ddxshf的博客
03-03 8454
WebApiConfig位于WebAPI项目顶层目录App_Start下,并声明了它的WebApiConfig类。WebApiConfig只包含一个Register方法,由global.asax中的Application_Start()方法调用代码。 正如WebApiConfig类的名字表明的,这个类可用于注册Web API配置的各个方面。默认情况下,项目模板生成的主要配置代码会注册一个
WebApi Owin OAuth(三)WebApi入参的常规习惯问题
05-04 1761
众所周知WebApi的入参形式是很让人烦心的事情,[FromBody]、[FromUri]、参数实体封装(泛滥成灾),这些入参方式就是在墙奸程序员,至于框架的这种设计初衷无法去揣测,还好有伟大的程序员,无意中查到国外一大牛对此做了改造,表示感谢! SimplePostVariableParameterBinding.cs using log4net; using Newtonsoft.Js
翻译:WebApi 认证--用户认证Oauth解析
weixin_33763244的博客
09-16 131
The Web API v2用户认证模板提供了流行的应用用户认证场景,如.使用本地帐号的用户名密码认账 (包括创建用户、设置和修改密码)以及使用第三方的认证方式,如facebook,google等等– 在本地中包含了外部帐号的连接 所有的这些均通过使用一个OAuth2认证服务进行. To make all that happen the template combines quite a bit...
WebAPI实现跨域请求
热门推荐
破茧成蝶
05-20 1万+
一、跨域问题的由来    目前项目实现前后端分离,所以就会那么此时前端和后端分别在同的服务器上,此时就会涉及到跨域问题。再具体说明一下。1.前后端未分离:原来我们的积分系统采用MVC框架,整个系统的前端以及后端逻辑都在一个解决方案中,此时我们称之为前后端没有分离。2.前后端分离:现在我们的积分系统前端采用angular,后端采用webapi,所以整个系统是部署在同的小项目中的,此时我们称之为前...
WebApi Token验证实例及实现步骤详解
Token验证是一种身份验证机制,它允许客户端用户在发送请求时提供一个凭证,以证明其身份。Token通常由服务器端生成,并在用户认证成功后返回给用户。客户端随后在后续的请求中携带这个Token。服务器端验证Token的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值