这篇文章主要介绍了ASP.NET Core使用JWT认证授权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
demo地址: https://github.com/william0705/JWTS
名词解析
认证 : 识别用户是否合法
授权: 赋予用户权限 (能访问哪些资源)
鉴权: 鉴定权限是否合法
Jwt优势与劣势
优势
1、 无状态
token 存储身份验证所有信息 , 服务端不需要保存用户身份验证信息, 减少服务端压力 , 服务端更容易水平扩展, 由于无状态, 又会导致它最大缺点 , 很难注销
2、 支持跨域访问
Cookie是不允许垮域访问的,token支持
3、 跨语言
基于标准化的 JSON Web Token (JWT) , 不依赖特定某一个语言 , 例如生成的Token可以对多种语言使用(Net , Java , PHP …)
劣势
1、Token有效性问题
后台很难注销已经发布的Token , 通常需要借助第三方储存(数据库/缓存) 实现注销, 这样就会失去JWT最大的优势
2、占带宽
Token长度(取决存放内容) 比session_id大 , 每次请求多消耗带宽 , token只存必要信息 , 避免token过长
3、需要实现续签
cookies – session 通常是框架已经实现续签功能, 每次访问把过期时间更新, JWT需要自己实现, 参考OAuth2刷新Token机制实现刷新Token
4、消耗更多CPU
每次请求需要对内容解密和验证签名这两步操作,典型用时间换空间
只能根据自身使用场景决定使用哪一种身份验证方案 , 没有一种方案是通用的,完美的
.NET Core集成JWT认证授权服务
1、认证服务API:认证用户,并发布Token
1、引入nuget包,System.IdentityModel.Tokens.Jwt
2、创建生成Token的服务,建议使用面向接口和实现编程,方便服务注入容器ServicesCollection(涉及DI和IOC概念)
3、创建接口
namespace JWTS.Services
{
public interface IJWTService
{
/// <summary>
/// 根据验证通过后的用户以及角色生成Token,以达到角色控制的作用
/// </summary>
/// <param name=”userName”></param>
/// <param name=”role”></param>
/// <returns></returns>
string GetToken(string userName,string role);
}
}
4、在appsettings.config中添加生成token需要的信息,并映射成对象
“TokenParameter”: {
“Issuer”: “William”, //这个JWT的签发主体(发行者)
“Audience”: “William”, //这个JWT的接收对象
“SecurityKey”: “askalsnlkndhasnaslkasmadka”
}
public class TokenParameter
{
public string Issuer { get; set; }
public string Audience { get; set; }
public string SecurityKey { get; set; }
}
5、实现接口,注入Configuration,获取TokenParameter对象
using Microsoft.Extensions.Configuration;
using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.IdentityModel.Tokens;
namespace JWTS.Services
{
public class JWTService : IJWTService
{
private readonly TokenParameter _tokenParameter;
public JWTService(IConfiguration configuration)
{
_tokenParameter = configuration.GetSection(“TokenParameter”).Get<TokenParameter>();
}
/// <summary>
/// JWT由三部分组成(Header、Payload、Signature)
/// {Header}.{Payload}.{Signature}
/// </summary>
/// <param name=”userName”></param>
/// <param name=”role”></param>
/// <returns></returns>
public string GetToken(string userName,string role)
{
Claim[] claims = new[]
{
new Claim(ClaimTypes.Name, userName),
new Claim(“NickName”,”Richard”),
new Claim(“Role”,role)//传递其他信息
};
SymmetricSecurityKey key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(_tokenParameter.SecurityKey));
SigningCredentials creds = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
/**
* Claims (Payload)
Claims 部分包含了一些跟这个 token 有关的重要信息。 JWT 标准规定了一些字段,下面节选一些字段:
JWT会被加密,但是这部分内容任何人都可以读取,所以不要存放机密信息
iss: The issuer of the token,token 是给谁的
sub: The subject of the token,token 主题
exp: Expiration Time。 token 过期时间,Unix 时间戳格式
iat: Issued At。 token 创建时间, Unix 时间戳格式
jti: JWT ID。针对当前 token 的唯一标识