手把手教你AspNetCore WebApi：认证与授权

Posted 2023-03-15

参考技术A

这几天小明又有烦恼了，之前给小红的接口没有做认证授权，直接裸奔在线上，被马老板发现后狠狠的骂了一顿，赶紧让小明把授权加上。赶紧Baidu一下，发现大家都在用JWT认证授权，这个倒是挺适合自己的。

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

从图中可以看出主要有两部分组成：1、获取Token，2、通过Token进行授权。

首先 ，安装JwtBearer包。

接下来 ，定义一个配置类，我这里为了简单直接用常量代替了，你也可以放在配置文件中。

接下来 ，定义一个通过用户名和密码，获取Token的控制器。

接下来 ，添加Token身份认证到容器（Startup.ConfigureServices）。

接下来 ，添加身份认证到中间件（Startup.Configure）。

接下来 ，控制器需要授权控制的添加[Authorize]。

最后 ，我们测试一下接口，效果如下。

这时会返回401，因为身份认证没有通过，说明身份验证起效果了。

接下来我们访问一下GetAccessToken接口，拿到Token，在访问GetTodo接口时放入Token，我们可以看到访问成功了。

目前为止，小明把授权认证搞定了，赶紧给马老板汇报工作去吧。当然这个授权认证还是非常简单的，还有很多等待的小伙伴们去发掘，比如如何自动刷新Token？如何强制Token失效？OAuth其他实现方式等等？大家如果有兴趣，让小明下次告诉你们。