webapi使用JWT进行授权认证

原創 还有远方和田野 2020-06-20 04:04

1,在asp.net mvc 中常用的是 Cooke+Session 或者 form 认证(实际也是Cooke)的方式,当然都是mvc中在 webapi中也是可以使用的,那么上面的两种方式这里就不多写了,后面有时间写,今天最主要是 JWT的认证方式 

2,简单说明一下,JWT是什么。JWT 全称 JSON Web Tokens ,是一种规范化的 token。是对 token 这一技术提出一套规范,其它细节,查资料就可。

3,使用,.NET里面可以使用JWT来生成Token以及解密Token。我们打开Nuget,搜索JWT 安装。

4,既然是根据同koken去获取权限,那么第一个就是去获取token

 private string secret = "zhonlong";  //这个密钥以一般用加密过的
        public string Get()
        {
            IDateTimeProvider provider = new UtcDateTimeProvider();
            var now = provider.GetNow();
            var unixEpoch = new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc); // or use JwtValidator.UnixEpoch
            var secondsSinceEpoch = Math.Round((now - unixEpoch).TotalSeconds);
            var payload = new Dictionary<string, object>
            {
                   {"name", "MrBug" },
                   {"exp",secondsSinceEpoch+1000 },  // 1000 秒过期时间,必须大于签发时间
                   {"jti","luozhipeng" }
             };
            Console.WriteLine(secondsSinceEpoch);
            IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
            IJsonSerializer serializer = new JsonNetSerializer();
            IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
            IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);
            var token = encoder.Encode(payload, secret);
            return token;
        }

5,那么下次访问服务端的时候,获取到了token之后验证一下

 //解密token       
        public string DecodeToken()
        {
            try
            {
                IJwtAlgorithm algorithm = new HMACSHA256Algorithm();
                IJsonSerializer serializer = new JsonNetSerializer();
                IDateTimeProvider provider = new UtcDateTimeProvider();
                IJwtValidator validator = new JwtValidator(serializer, provider);
                IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();
                IJwtDecoder decoder = new JwtDecoder(serializer, validator, urlEncoder, algorithm);
                var json = decoder.Decode("密钥", secret, verify: true);//token为之前生成的字符串
            }
            catch (TokenExpiredException)
            {
                Console.WriteLine("Token has expired");  //过期
            }
            catch (SignatureVerificationException)
            {
                Console.WriteLine("Token has invalid signature");  //签名没有验证
            }
            return "value";  // 根据你的json 里面解析出数据,然后去验证一下数据(当然这一步放到了验证中)
        }

6,最后别忘记了加上验证

public class TokenAuthAttribute : AuthorizeAttribute
    {
        //重写基类的验证方式,加入我们自定义的Ticket验证
        public override void OnAuthorization(System.Web.Http.Controllers.HttpActionContext actionContext)
        {
            //url获取token
            var content = actionContext.Request.Properties["MS_HttpContext"] as HttpContextBase;
            var token = content.Request.Headers["Token"]; //自己加入在头部的名称
            if (!string.IsNullOrEmpty(token))
            {
                //解密用户ticket,并校验用户名密码是否匹配
                if (ValidateTicket(token))
                {
                    base.IsAuthorized(actionContext);
                }
                else
                {
                    HandleUnauthorizedRequest(actionContext);
                }
            }
            //如果取不到身份验证信息,并且不允许匿名访问,则返回未验证401
            else
            {
                var attributes = actionContext.ActionDescriptor.GetCustomAttributes<AllowAnonymousAttribute>().OfType<AllowAnonymousAttribute>();
                bool isAnonymous = attributes.Any(a => a is AllowAnonymousAttribute);
                if (isAnonymous) base.OnAuthorization(actionContext);
                else HandleUnauthorizedRequest(actionContext);
            }
        }

        //校验票据(数据库数据匹配)
        private bool ValidateTicket(string encryptToken)
        {
            //正常这里是用的token 来验证的
            bool flag = false;
            try
            {
                //获取数据库Token
                if ("jiaxiel" == encryptToken) //存在
                {
                    //未超时
                    flag = true;
                }
            }
            catch (Exception ex)
            {

            }
            return flag;
        }
    }

 到此基本的验证授权都给上了,还需要优化!

下载地址:https://download.csdn.net/download/weixin_42780928/12264868

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

魔兽争霸卡顿解决

玩魔獸爭霸卡頓,症狀:遊戲打開都正常,起始的遊戲都是正常的,但大家開始釋放技能的時候,就卡的像PPT,鼠標都移動不了。 已嘗試措施,升級顯卡、安裝所有的VS++版本,啓用獨立顯卡模式,調低應用顯示模式,從win10升級到了win11,但都沒

原創 2024-06-08 23:20:23

VS代码生成工具ReSharper v2024.1全新发布——改进对C#的支持

實質上,ReSharper特徵可用於C#,VB.net,XML,Asp.net,XAML,和構建腳本。 使用ReSharper,你可以進行深度代碼分析,智能代碼協助,實時錯誤代碼高亮顯示,解決方案範圍內代碼分析,快速代碼更正,一步完成代碼格

原創 2024-06-07 12:16:50

sublime text4 定制记录

經過測試sublime text4用於python開發時,使用pyright做爲lsp服務比較好,能夠提示出numpy的各種函數。但有時提示也太多了,類似於idea,會把所有能查到的變量都提示出來,我更需要的是類似 vs.net 那樣的精確

原創 2024-06-07 01:14:07

sublime text定制

經過測試sublime text4用於python開發時,使用pyright做爲lsp服務比較好,能夠提示出numpy的各種函數。但有時提示也太多了,類似於idea,會把所有能查到的變量都提示出來,我更需要的是類似 vs.net 那樣的精確

原創 2024-06-07 01:14:04

d3.js 构建百分比架构图

效果: ![](https://oscimg.oschina.net/oscnet/up-36a1060de7fe30c86752ed2155c9635a896.png) 代碼 StockStructureChart.js import R

原創 2024-06-04 23:07:28

WebSocket替换Http协议的逻辑实现

 · 前言     · 在國內,公網服務器與本地服務器的通信一直是個難題,本地服務器因爲IP是動態變化的,公網服務器沒辦法將請求發送給本地服務器。爲了解決這個問題,所以採用WebSocket協議替換Http協議。爲了實現請求等待,使用Gu

原創 2024-06-03 11:25:33

基于对比稀疏扰动技术的时间序列解释框架 ContraLSP

開篇 近日,由阿里雲計算平臺大數據基礎工程技術團隊主導,與南京大學、賓夕法尼亞州立大學、清華大學等高校合作,解釋時間序列預測模型的論文《Explaining Time Series via Contrastive and Locally

原創 2024-06-01 00:25:50

【建议收藏】手把手教您如何升级到DevExpress最新版本!

DevExpress擁有.NET開發需要的所有平臺控件,包含600多個UI控件、報表平臺、DevExpress Dashboard eXpressApp 框架、適用於 Visual Studio的CodeRush等一系列輔助工具。屢獲大獎的

原創 2024-05-30 12:19:46

DevExpress Office File API中文教程 - 如何用OpenAI模型增强Office文档可访问性?

  DevExpress Office File API是一個專爲C#, VB.NET 和 ASP.NET等開發人員提供的非可視化.NET庫。有了這個庫,不用安裝Microsoft Office,就可以完全自動處理Excel、Word等文檔

原創 2024-05-25 00:20:55

「实用推荐」如何为桌面 & 移动跨平台应用选择UI框架/APP架构?

DevExpress .NET MAUI UI組件庫提供了用於Android和iOS移動開發的高性能UI組件,該庫包括數據網格、圖表、日程、數據編輯器、CollectionView和選項卡組件。 獲取DevExpress .NET MAUI

原創 2024-05-21 12:19:30

Shell/Python中的用户名获取

一、幾個基本概念 登錄用戶(login user):通過登錄方式進入系統的用戶,強調登錄身份。 當前用戶(current user):執行一個進程或者命令時所使用的用戶身份,強調執行身份。          舉

原創 2024-05-19 00:44:35

O2OA平台流程催办怎么做

O2OA平臺設計了靈活的消息提醒數據交互方式,開發者可以根據自己的需要,來消費消息提醒數據,也可以將消息提醒數據接入到Kafka消息中間件來實現消息的準實時提醒。本篇主要介紹如何在O2OA服務器中設置流程的催辦提醒消息。   催辦

原創 2024-05-16 22:48:44

每天Get一个小技巧:用DolphinScheduler实现隔几天调度

轉載自tuoluzhe8521 這篇小短文將教會你如何使用Apache DolphinScheduler實現隔幾天調度,有此需求的小夥伴學起來! 1 場景分析 DolphinScheduler定時器模塊-定時調度時每3秒|每3分鐘|每3天這

原創 2024-05-15 21:22:55

外行也能读懂的网络硬件设备功能原理速成

本文由黃工首先發表於strongerHuang公號,原題“網絡硬件的發展史”,本文有修訂。 1、引言 本文是《網絡編程懶人入門》系列文章的第 15 篇,本篇將繼續以通俗易懂的文字,幫你無腦理解各種基礎網絡硬件設備的功能原理。 本文不羅列複

原創 2024-05-12 23:49:34

安装Auto-GPT

安裝 Python 3.8 或更高版本 https://phoenixnap.com/kb/how-to-install-python-3-ubuntu # 查看是否已經安裝了python python --version #更新包 sud

原創 2024-05-12 22:43:51