鉴权/授权一步一步实现一个简易JWT鉴权

Posted 2022-04-19 dotNET跨平台

微信公众号：趣编程ACE
关注可了解.NET日常开发技巧。如需源码，请公众号留言 源码;
**[如果您觉得本公众号对您有帮助，欢迎下方扫码加入群聊]

鉴权、授权专题之简易鉴权

我记得作为实习生去公司上班的时候，领导就直接让我熟悉注册、登录逻辑！！！emm 用他的话来说就是这部分跟业务关联性不是很大，你先看看。。。登录，注册是跟业务逻辑不咋挂钩，但是对框架得熟悉呀！好吧，自此咱就开始了搬砖路咯~

---

安装需要的Nuget包

1System.IdentityModel.Tokens.Jwt   
2
3Microsoft.AspNetCore.Authentication 
4
5Microsoft.AspNetCore.Authentication.JwtBearer

1. System.IdentityModel.Tokens.Jwt 包含了用于提供创建、序列化、验证Json Web Token的一些类型

2. Microsoft.AspNetCore.Authentication 一个用来各种身份验证中间件的Asp.Net Core的基本类型

3. Microsoft.AspNetCore.Authentication.JwtBearer 这是一个能接受Token的中间件

---

新建一个基于.Net6 的web api项目

---

前言

1public interface IAuthenticate
2
3        string Login(string userName,string password); // 包含一个登录方法
4

创建一个IAuthenticate的接口，里面包含一个登录方法,接着便创建一个实现类，实现Login方法，与此同时我们需要将这个接口服务在容器里面依赖注入一下。

1public class AuthenticateImpl : IAuthenticate
2
3     public string Login(string userName, string password)
4     
5        .....
6     ;
7

1// Program.cs 文件里面依赖注入
2builder.Services.AddSingleton<IAuthenticate>(new AuthenticateImpl(key));

我们知道，在登录逻辑里面，我们需要对传递过来的用户名和密码在数据库里面check一下，只有真真实实存在这个用户，我们才会创建并分发Token。在这里我为了节省代码，模拟一下check逻辑

1private readonly IDictionary<string,string> users = new Dictionary<string,string>
2
3     "person1","aaaaa",
4     "person2","bbbbb",
5;

定义一个用户字典，key为用户名，value为密码 ，此处不考虑密码编码加密，一切从简。
接着开始登录验证。。。。

1public string Login(string userName, string password)
2
3  // check 用户真实存在 
4  if(!users.Any(u=>u.Key==userName && u.Value==password))
5  
6       return null;
7   
8  // 在验证用户成功后，开始创建Token
9

创建Token

1public string Login(string userName, string password)
 2
 3            // check 用户真实存在 
 4   if(!users.Any(u=>u.Key==userName && u.Value==password))
 5   
 6                return null;
 7   
 8   // 创建Token
 9   var tokenHandle = new JwtSecurityTokenHandler(); // 实例化一个 JwtSecurityTokenHandler 对象
10   var tokenKey = Encoding.ASCII.GetBytes(_key);
11   var tokenDescriptor = new SecurityTokenDescriptor
12   
13       Subject = new ClaimsIdentity(new Claim[]
14       
15                    new Claim(ClaimTypes.Name,userName)
16       ),
17       Expires = DateTime.UtcNow.AddHours(1),
18       SigningCredentials = new SigningCredentials(
19            new SymmetricSecurityKey(tokenKey),
20            SecurityAlgorithms.HmacSha256Signature)
21       ;
22       var token = tokenHandle.CreateToken(tokenDescriptor);
23       return tokenHandle.WriteToken(token);
24

详解
 首先我们需要实例化一个JwtSecurityTokenHandler 对象，这个对象呢提供了创建Token的方法，其中一个就是WriteToken()这个方法，此方法入参是一个SecurityToken对象，那么如何创建这个SecurityToken对象呢？
从上述代码的22行可以看出，利用CreateToken()这个方法可以实现，而这个方法又需要一个SecurityTokenDescriptor对象。所以我们将目光移至11行，自此就是一个生成Token的全部过程。

开启中间件鉴权

1// Asp.net core 内置的鉴权方案
 2builder.Services.AddAuthentication(x=>
 3
 4    x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme; // 默认是Bearer 方案
 5    x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
 6).AddJwtBearer(x=>
 7
 8    x.RequireHttpsMetadata =false;
 9    x.SaveToken =true;
10    x.TokenValidationParameters = new TokenValidationParameters
11    
12        ValidateIssuerSigningKey = true,
13        IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(key)),
14        ValidateIssuer = false,
15        ValidateAudience = false
16    ;
17);
18
19app.UseAuthentication(); // 使用鉴权

接口访问

我们在Api控制器上加上[Authorize()]特性，这样整个控制器都需要经过token验证，除非接口上面有[AllowAnonymous]特性修饰

1[Authorize()]
2[ApiController]
3[Route("api/[controller]")]
4public class TestJwtController : ControllerBase
5
6...
7

对于登录接口

1[AllowAnonymous]
 2[HttpPost("login")]
 3public IActionResult Login(User user)
 4
 5   // 根据用户名和密码，验证用户并生成Token
 6   var token =_authenticate.Login(user?.UserName,user?.Password);
 7   if(token is null)
 8   
 9     return Unauthorized();  // 返回401
10   
11   return Ok(token); // 返回token 登录成功
12

创作挑战赛 新人创作奖励来咯，坚持创作打卡瓜分现金大奖