如何实现身份验证和授权 WEB API 2 .NET 应用程序?尝试 JWT 库
Posted
技术标签:
【中文标题】如何实现身份验证和授权 WEB API 2 .NET 应用程序?尝试 JWT 库【英文标题】:How do i implement a authentication and authorization WEBAPI 2 .NET appication? trying JWT lib 【发布时间】:2019-07-10 08:36:51 【问题描述】:我知道这个问题被问了很多次,但我找不到我理解的答案。 所以,我正在实现 2 个 API——一个在 Node.JS 中,另一个在 .NET 中。 在 Node 中,添加授权和身份验证是小菜一碟,但我无法使用 .NET 完成。
你们中的任何人都可以指出我正确的方向吗? 我的项目是 .NET 中的 WEBAPI2 项目,而不是 MVC。 如果这很重要,我将在 React 中构建我的客户端,而不是 angularJS。
【问题讨论】:
【参考方案1】:您可以为此使用 OWIN,这一切都在您的 StartUp 课程中完成。 请参阅以下示例。 为简单起见,我使用自定义用户表而不是 Identity,并将所有类放在 StartUp 类中。
using Microsoft.Owin;
using Microsoft.Owin.Security;
using Microsoft.Owin.Security.DataHandler.Encoder;
using Microsoft.Owin.Security.Jwt;
using Microsoft.Owin.Security.OAuth;
using Owin;
using System;
using System.Configuration;
using System.Security.Claims;
using System.Threading.Tasks;
using System.Web.Http;
using TempPerson.Models;
using System.Linq;
using System.IdentityModel.Tokens.Jwt;
using Thinktecture.IdentityModel.Tokens;
using Microsoft.IdentityModel.Tokens;
[assembly: OwinStartup(typeof(TempPerson.Startup))]
namespace TempPerson
public partial class Startup
public void Configuration(IAppBuilder app)
var config = new HttpConfiguration();
ConfigureOAuth(app);
app.UseCors(Microsoft.Owin.Cors.CorsOptions.AllowAll);
public void ConfigureOAuth(IAppBuilder app)
var oAuthServerOptions = new OAuthAuthorizationServerOptions()
AllowInsecureHttp = true,
TokenEndpointPath = new PathString("/login"),
AccessTokenExpireTimeSpan = TimeSpan.FromHours(2),
Provider = new AuthorizationServerProvider(),
AccessTokenFormat = new CustomJwtFormat("http://localhost:62343")
;
app.UseOAuthAuthorizationServer(oAuthServerOptions);
var issuer = "http://localhost:62343";
var audienceId = ConfigurationManager.AppSettings["as:AudienceId"];
var audienceSecret = TextEncodings.Base64Url.Decode(ConfigurationManager.AppSettings["as:AudienceSecret"]);
app.UseJwtBearerAuthentication(
new JwtBearerAuthenticationOptions
AuthenticationMode = AuthenticationMode.Active,
AllowedAudiences = new[] audienceId ,
IssuerSecurityKeyProviders = new IIssuerSecurityKeyProvider[]
new SymmetricKeyIssuerSecurityKeyProvider(issuer, audienceSecret)
);
public class AuthorizationServerProvider : OAuthAuthorizationServerProvider
public override async Task ValidateClientAuthentication(OAuthValidateClientAuthenticationContext context)
context.Validated();
public override async Task GrantResourceOwnerCredentials(OAuthGrantResourceOwnerCredentialsContext context)
try
context.OwinContext.Response.Headers.Add("Access-Control-Allow-Origin", new[] "*" );
DB_PersonSpecificationsEntities db = new DB_PersonSpecificationsEntities();
var user = db.Users.Where(d => d.UserName == context.UserName).FirstOrDefault();
if(user == null)
context.SetError("Error Message");
context.Rejected();
return;
var x = new Microsoft.AspNet.Identity.PasswordHasher().VerifyHashedPassword(user.Password, context.Password);
if(x.ToString() != "Success")
context.SetError("Error Message");
context.Rejected();
return;
var identity = new ClaimsIdentity("JWT");
identity.AddClaim(new Claim(ClaimTypes.Name, user.UserName));
var ticket = new AuthenticationTicket(identity,null);
context.Validated(ticket);
catch (Exception ex)
context.SetError("invalid_grant", "message");
public class CustomJwtFormat : ISecureDataFormat<AuthenticationTicket>
private readonly string _issuer;
public CustomJwtFormat(string issuer)
_issuer = issuer;
public string Protect(AuthenticationTicket data)
if (data == null)
throw new ArgumentNullException("data");
string audienceId = ConfigurationManager.AppSettings["as:AudienceId"];
string symmetricKeyAsBase64 = ConfigurationManager.AppSettings["as:AudienceSecret"];
var keyByteArray = TextEncodings.Base64Url.Decode(symmetricKeyAsBase64);
var key = new SymmetricSecurityKey(keyByteArray);
var signingKey = new HmacSigningCredentials(keyByteArray);
var signingKey2 = new SigningCredentials(key, "HS256");//
var issued = data.Properties.IssuedUtc;
var expires = data.Properties.ExpiresUtc;
var token = new JwtSecurityToken(_issuer, audienceId, data.Identity.Claims, issued.Value.UtcDateTime, expires.Value.UtcDateTime,signingKey2);
var handler = new JwtSecurityTokenHandler();
var jwt = handler.WriteToken(token);
return jwt;
public AuthenticationTicket Unprotect(string protectedText)
throw new NotImplementedException();
web.config 所需的示例键值:
<add key="as:AudienceId" value="123e1927a3884f61abc79f7283837ee1" />
<add key="as:AudienceSecret" value="fMCdF0Qua23RV1Y-1Gq9L3cF3VmuFwV5am4faTdAfpo" />
【讨论】:
问题是,我没有启动课程...我可能听起来很愚蠢,但我找不到它。 在解决方案资源管理器的根目录中创建一个。 创建启动类如下public class Startup public void Configuration(IAppBuilder app) //
@DiethCooray 但是那个类是做什么的?我在哪里创建它?以上是关于如何实现身份验证和授权 WEB API 2 .NET 应用程序?尝试 JWT 库的主要内容,如果未能解决你的问题,请参考以下文章
asp.net web api 2 CORS 和身份验证授权配置