关于asp.net-core:手把手教你AspNetCore-WebApi认证与授权

前言

这几天小明又有懊恼了，之前给小红的接口没有做认证受权，间接裸奔在线上，被马老板发现后狠狠的骂了一顿，连忙让小明把受权加上。连忙Baidu一下，发现大家都在用JWT认证受权，这个倒是挺适宜本人的。

什么是Token

Token是服务端生成的一串字符串，以作客户端进行申请的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，当前客户端只需带上这个Token前来申请数据即可，无需再次带上用户名和明码。

什么是JWT

Json web token (JWT),是为了在网络应用环境间传递申明而执行的一种基于JSON的凋谢规范（(RFC 7519).该token被设计为紧凑且平安的，特地实用于分布式站点的单点登录（SSO）场景。JWT的申明个别被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也能够减少一些额定的其它业务逻辑所必须的申明信息，该token也可间接被用于认证，也可被加密。

JWT认证流程

从图中能够看出次要有两局部组成：1、获取Token，2、通过Token进行受权。

应用JWT认证

首先，装置JwtBearer包。

dotnet add package Microsoft.AspNetCore.Authentication.JwtBearer --version 3.1.0

接下来，定义一个配置类，我这里为了简略间接用常量代替了，你也能够放在配置文件中。

public class TokenParameter
{        
    public const string Issuer = "深度码农";//颁发者        
    public const string Audience = "深度码农";//接收者        
    public const string Secret = "1234567812345678";//签名秘钥        
    public const int AccessExpiration = 30;//AccessToken过期工夫（分钟）
}

接下来，定义一个通过用户名和明码，获取Token的控制器。

[Route("api/oauth")]
[ApiController]
public class OAuthController : ControllerBase
{
    /// <summary>
    /// 获取Token
    /// </summary>
    /// <returns></returns>
    [HttpGet]
    [Route("token")]
    public ActionResult GetAccessToken(string username, string password)
    {
        //这儿在做用户的帐号密码校验。我这儿略过了。
        if (username != "admin" || password != "admin")
            return BadRequest("Invalid Request");

        var claims = new[]
        {
            new Claim(ClaimTypes.Name, username),
            new Claim(ClaimTypes.Role, ""),
        };

        var key = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
        var credentials = new SigningCredentials(key, SecurityAlgorithms.HmacSha256);
        var jwtToken = new JwtSecurityToken(TokenParameter.Issuer, TokenParameter.Audience, claims, expires: DateTime.UtcNow.AddMinutes(TokenParameter.AccessExpiration), signingCredentials: credentials);
        var token = new JwtSecurityTokenHandler().WriteToken(jwtToken);

        return Ok(token);
    }
}

接下来，增加Token身份认证到容器（Startup.ConfigureServices）。

services.AddAuthentication(x =>
{
    x.DefaultAuthenticateScheme = JwtBearerDefaults.AuthenticationScheme;
    x.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(x =>
{
    x.RequireHttpsMetadata = false;
    x.SaveToken = true;
    x.TokenValidationParameters = new TokenValidationParameters
    {                    
        ValidateIssuerSigningKey = true,//是否调用对签名securityToken的SecurityKey进行验证
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(TokenParameter.Secret)),//签名秘钥
        ValidateIssuer = true,//是否验证颁发者
        ValidIssuer = TokenParameter.Issuer, //颁发者
        ValidateAudience = true, //是否验证接收者
        ValidAudience = TokenParameter.Audience,//接收者
        ValidateLifetime = true,//是否验证生效工夫
    };
});

接下来，增加身份认证到中间件（Startup.Configure）。

app.UseAuthentication();//必须在app.UseAuthorization();之前

接下来，控制器须要受权管制的增加[Authorize]。

[HttpGet("{id}")]
[Authorize]
public async Task<ActionResult<Todo>> GetTodo(Guid id)
{
    var todo = await context.Todo.FindAsync(id);

    if (todo == null)
    {
        return NotFound();
    }

    return todo;
}

最初，咱们测试一下接口，成果如下。

这时会返回401，因为身份认证没有通过，阐明身份验证起成果了。

接下来咱们拜访一下GetAccessToken接口，拿到Token，在拜访GetTodo接口时放入Token，咱们能够看到拜访胜利了。

小结

目前为止，小明把受权认证搞定了，连忙给马老板汇报工作去吧。当然这个受权认证还是非常简单的，还有很多期待的小伙伴们去挖掘，比方如何主动刷新Token？如何强制Token生效？OAuth其余实现形式等等？大家如果有趣味，让小明下次通知你们。