ASP.NET Core Web API之Token验证

最新推荐文章于 2025-06-16 16:17:13 发布
最新推荐文章于 2025-06-16 16:17:13 发布
阅读量7k 收藏 22
点赞数 7
CC 4.0 BY-SA版权
分类专栏: .Net技术 文章标签: asp.net microsoft asp.net core web api 后端
本文版权归作者和CSDN共有,写文不易,支持原创,欢迎转载【点赞】,转载请保留此段声明,且在文章页面明显位置给出原文连接,谢谢。
本文链接:https://blog.csdn.net/fengershishe/article/details/131388577
本文介绍了在ASP.NETCoreWebAPI开发中使用JWT进行身份验证的过程,包括JWT的定义、组成,以及JWT验证的步骤,如安装JWT授权库、配置JWT服务、应用鉴权中间件、创建Token获取和测试接口等。同时,文章也展示了如何通过Swagger进行接口测试和权限验证。

在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。仅供学习分享使用,如有不足之处,还请指正。

什么是JWT?

JSON WEB TokenJWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。

JWT组成

JWT通常由三部分组成: 头信息(header), 消息体(payload)和签名(signature)。

  1. 头信息指定了该JWT使用的签名算法,HS256 表示使用了 HMAC-SHA256 来生成签名。
  2. 消息体包含了JWT的意图
  3. 未签名的令牌由base64url编码的头信息和消息体拼接而成(使用"."分隔),签名则通过私有的key计算而成。
  4. 最后在未签名的令牌尾部拼接上base64url编码的签名(同样使用"."分隔)就是JWT了
  5. 典型的JWT的格式:xxxxx.yyyyy.zzzzz

JWT应用架构

JWT一般应用在分布式部署环境中,下图展示了Token的获取和应用访问接口的相关步骤:

应用JWT步骤

1. 安装JWT授权库

采用JWT进行身份验证,需要安装【Microsoft.AspNetCore.Authentication.JwtBearer】,可通过Nuget包管理器进行安装,如下所示:

2. 添加JWT身份验证服务

在启动类Program.cs中,添加JWT身份验证服务,如下所示:

builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
        .AddJwtBearer(options =>
        {
            options.TokenValidationParameters = new TokenValidationParameters
            {
                ValidateIssuer = true,
                ValidateAudience = true,
                ValidateLifetime = true,
                ValidateIssuerSigningKey = true,
                ValidIssuer = TokenParameter.Issuer,
                ValidAudience = TokenParameter.Audience,
                IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret))
            };
        });

3. 应用鉴权授权中间件

在启动类Program.cs中,添加鉴权授权中间件,如下所示:

app.UseAuthentication();
 
app.UseAuthorization();

4. 配置Swagger身份验证输入(可选)

在启动类Program.cs中,添加Swagger服务时,配置Swagger可以输入身份验证方式,如下所示:

builder.Services.AddSwaggerGen(options =>
{
    options.AddSecurityDefinition("Bearer", new OpenApiSecurityScheme
    {
        Description = "请输入token,格式为 Bearer xxxxxxxx(注意中间必须有空格)",
        Name = "Authorization",
        In = ParameterLocation.Header,
        Type = SecuritySchemeType.ApiKey,
        BearerFormat = "JWT",
        Scheme = "Bearer"
    });
    //添加安全要求
    options.AddSecurityRequirement(new OpenApiSecurityRequirement {
        {
            new OpenApiSecurityScheme{
                Reference =new OpenApiReference{
                    Type = ReferenceType.SecurityScheme,
                    Id ="Bearer"
                }
            },new string[]{ }
        }
    });
});

注意:此处配置主要是方便测试,如果采用Postman或者其他测试工具,此步骤可以省略。

5. 创建JWT帮助类

创建JWT帮助类,主要用于生成Token,如下所示:

using DemoJWT.Models;
using Microsoft.AspNetCore.Authentication.Cookies;
using Microsoft.IdentityModel.Tokens;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
 
namespace DemoJWT.Authorization
{
    public class JwtHelper
    {
        public static string GenerateJsonWebToken(User userInfo)
        {
            var securityKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenParameter.Secret));
            var credentials = new SigningCredentials(securityKey, SecurityAlgorithms.HmacSha256);
            var claimsIdentity = new ClaimsIdentity(CookieAuthenticationDefaults.AuthenticationScheme);
            claimsIdentity.AddClaim(new Claim(ClaimTypes.Sid, userInfo.Id));
            claimsIdentity.AddClaim(new Claim(ClaimTypes.Name, userInfo.Name));
            claimsIdentity.AddClaim(new Claim(ClaimTypes.Role, userInfo.Role));
            var token = new JwtSecurityToken(TokenParameter.Issuer,
              TokenParameter.Audience,
              claimsIdentity.Claims,
              expires: DateTime.Now.AddMinutes(120),
              signingCredentials: credentials);
 
            return new JwtSecurityTokenHandler().WriteToken(token);
        }
    }
}

其中用到的TokenParameter主要用于配置Token验证的颁发者,接收者,签名秘钥等信息,如下所示:

namespace DemoJWT.Authorization
{
    public class TokenParameter
    {
        public const string Issuer = "公子小六";//颁发者        
        public const string Audience = "公子小六";//接收者        
        public const string Secret = "1234567812345678";//签名秘钥        
        public const int AccessExpiration = 30;//AccessToken过期时间(分钟)
    }
}

6. 创建Token获取接口

创建对应的AuthController/GetToken方法,用于获取Token信息,如下所示:

using DemoJWT.Authorization;
using DemoJWT.Models;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using System.IdentityModel.Tokens.Jwt;
 
namespace DemoJWT.Controllers
{
    [Route("api/[controller]/[Action]")]
    [ApiController]
    public class AuthController : ControllerBase
    {
        [HttpPost]
        public ActionResult GetToken(User user)
        {
            string token = JwtHelper.GenerateJsonWebToken(user);
            return Ok(token);
        }
    }
}

7. 创建测试接口

创建测试接口,用于测试Token身份验证。如下所示:

using DemoJWT.Models;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Http;
using Microsoft.AspNetCore.Mvc;
using System.Security.Claims;
 
namespace DemoJWT.Controllers
{
    [Authorize]
    [Route("api/[controller]/[Action]")]
    [ApiController]
    public class TestController : ControllerBase
    {
        [HttpPost]
        public ActionResult GetTestInfo()
        {
            var claimsPrincipal = this.HttpContext.User;
            var name = claimsPrincipal.Claims.FirstOrDefault(r => r.Type == ClaimTypes.Name)?.Value;
            var role = claimsPrincipal.Claims.FirstOrDefault(r => r.Type == ClaimTypes.Role)?.Value;
            var test = new Test()
            {
                Id = 1,
                Name = name,
                Role = role,
                Author = "公子小六",
                Description = "this is a test.",
            };
            return Ok(test);
        }
    }
}

接口测试

运行程序,看到公开了两个接口,如下所示:

1. 获取Token

运行api/Auth/GetToken接口,输入用户信息,点击Execute,在返回的ResponseBody中,就可以获取接口返回的Token

2. 设置Token

在Swagger上方,点击Authorize,弹出身份验证配置窗口,如下所示:

3. 接口测试

配置好身份认证信息后,调用/api/Test/GetTestInfo接口,获取信息如下:

 如果清除掉Token配置,再进行访问/api/Test/GetTestInfo接口,则会返回401未授权信息,如下所示:

 以上就是ASP.NET Core Web API之Token验证的全部内容。

【笔记】ASP.NET Core Web APIToken验证
夜飞鼠的专栏
04-16 3232
在实际开发中,我们经常需要对外提供接口以便客户获取数据,由于数据属于私密信息,并不能随意供其他人访问,所以就需要验证客户身份。那么如何才能验证客户的身份呢?今天以一个简单的小例子,简述ASP.NET Core Web API开发过程中,常用的一种JWT身份验证方式。SON WEB Token(JWT,读作 [/dʒɒt/]),是一种基于JSON的、用于在网络上声明某种主张的令牌(token)。主要用于认证和保护API之间信息交换。JWT通常由三部分组成: 头信息(header), 消息体(payload)和
ASP.NET Core Web APIToken验证
NauClojure的博客
09-24 473
这就是在ASP.NET Core Web API中进行Token验证的基本步骤和示例代码。通过使用Token验证,你可以确保只有经过身份验证的用户才能访问受保护的API端点,提高了应用程序的安全性和可信度。在ASP.NET Core Web API中,Token验证是一种常用的身份验证和授权机制。Token验证通过使用令牌(Token)来验证用户的身份和权限,从而保护和限制API的访问。现在,我们已经完成了Token验证的配置。接下来,我们可以在需要进行身份验证和授权的API端点上应用。
ASP.NET webapi方式客户端提交签名数据到服务端返回JSON数据交互示例源码
06-22
功能 WebAPI:client客户端post提交签名数据/apiServer服务端返回json数据交互 客户端: Web/ApiClient/queryToken.aspx API服务端:Web/Api/ApiServe/queryToken.aspx 客户端(Web/ApiClient/queryToken.aspx )以post方式提交json数据来访问API服务端(WebApiApiServe/queryToken.aspx),api服务端接受到数据在云端处理以后在以json的形式返回给客户端 步骤:1.修改客户端: WebWeb:ApiClient/queryToken.aspx 文件:33行 return postUrl(values, "http://localhost:10673/ApiServe/queryToken.aspx") 的api url目标地址,这里的目标地址就是API服务端:webApi目录下的/ApiServe/queryToken.aspx的地址,使得平台有很强的扩展性和数据安全性,可维护性,跨域实现数据安全访问 开发环境为vs2017 4.0
WebAPI身份认证Token
qq_41264896的博客
03-26 640
WebAPI身份认证Token
C# WebAPI中的Token认证与数字签名实现
最新发布
weixin_32102617的博客
06-16 1409
Web APIWeb应用程序编程接口)框架是一个软件中间件,旨在允许服务器和客户端应用程序之间的通信。它主要通过HTTP协议交换信息,并通常以JSON或XML格式的数据流形式进行交互。Web API框架使开发人员能够利用现有的网络基础设施,轻松地创建能够处理跨平台和跨设备请求的应用程序。
WebApi实现Token验证
Sqsdhc的博客
12-02 2980
为什么要实现Token呢。在我们客户端发送请求时,如果没有校验数据是否合法那么就有可能造成非法请求泄露我们的数据 实现Token的思路 1.客户端通过用户名和密码来获取Token 通过自己的账号和密码登录验证,成功后生成token返回给客户端,并且保存在服务器 2.服务端进行保存Token并且设置有效时间 用什么方法来保存Token呢? 有很多种方法比如在session,数据库...
ASP.NET Core Token认证
dingti6779的博客
07-14 866
翻译:Token Authentication in ASP.NET Core 令牌认证(Token Authentication)已经成为单页应用(SPA)和移动应用事实上的标准。即使是传统的B/S应用也能利用其优点。优点很明白:极少的服务端数据管理、可扩展性、可以使用单独的认证服务器和应用服务器分离。 如果你对令牌(token)不是太了解,可以看这篇文章(overview of...
ASP.NET WebAPI Token JWT Bearer 认证失败和成功返回自定义数据 Json
04-17
asp.net WebAPI Token Oauth2.0授权自定义返回结果(包括登录正确返回,登录失败返回)。 详细参考:https://blog.csdn.net/u013546115/article/details/105580532
详解ASP.NET Core Web Api之JWT刷新Token
12-16
前言 如题,本节我们进入JWT最后一节内容,JWT本质上就是从身份认证服务器获取访问令牌,继而对于用户后续可访问受保护资源,但是关键问题是:访问令牌的生命周期到底设置成多久呢?见过一些使用JWT的童鞋会将JWT...
ASP.NET Core WebAPI JWT 鉴权与接口权限验证
CodeBandit的博客
09-24 602
ASP.NET Core WebAPI中,使用JWT(JSON Web Token)进行身份验证和接口权限验证是一种常见的做法。至此,我们已经完成了ASP.NET Core WebAPI中使用JWT鉴权和接口权限验证的实现。当用户请求受限接口时,系统将验证JWT Token的有效性,并检查用户是否满足所需的授权策略。在本文中,我们将学习如何在ASP.NET Core WebAPI中实现JWT鉴权和接口权限验证。要实现接口级别的权限验证,我们可以使用自定义的授权策略。方法中设置JWT验证的选项和参数。
asp.net webapi2 基于token令牌的身份验证
03-27
asp.net webapi2 基于token令牌的身份验证 通过浏览器模拟附加token的headers请求授权
详解ASP.NET Core Token认证
10-20
主要介绍了详解ASP.NET Core Token认证,小编觉得挺不错的,现在分享给大家,也给大家做个参考。
ASP.NET WebApi 实现Token验证
热门推荐
gx_up
07-03 3万+
转自:https://www.cnblogs.com/dukang1991/p/5627584.html 基于令牌的认证     我们知道WEB网站的身份验证一般通过session或者cookie完成的,登录成功后客户端发送的任何请求都带上cookie,服务端根据客户端发送来的cookie来识别用户。     WEB API使用这样的方法不是很适合,于是就有了基于令牌的认证,使用令牌认证有几...
ASP.NET Core Web API用户身份验证
lweiyue的专栏
05-07 5575
ASP.NET Core Web API用户身份验证的方法有很多,本文只介绍JWT方法。JWT实现了服务端无状态,在分布式服务、会话一致性、单点登录等方面凸显优势,不占用服务端资源。简单来说,JWT的验证过程如下所示:(1)通过用户名和密码获取一个Token。(2)访问API时,加上这个TokenToken包含过期时间、用户角色等信息,可以在多种场合灵活使用。
C# ASP.NET Core Web API 身份授权(JWT)验证(一)
菜鸟的专栏
12-28 1万+
C# ASP.NET Core Web API 身份授权(JWT)验证
.net8 webapi jwt token刷新
03-15
<think>好的,我现在需要在.NET 8 Web API中实现JWT Token的刷新机制。首先,我需要了解JWT的基本结构和工作流程。JWT通常分为三个部分:头部、载荷和签名。在认证过程中,用户登录后服务器生成一个访问令牌(access token)和一个刷新令牌(refresh token)。访问令牌有效期较短,而刷新令牌有效期较长,用于获取新的访问令牌。 接下来,我需要确定如何存储和管理刷新令牌。常见的方法是将刷新令牌存储在数据库或缓存中,这样可以在每次刷新请求时验证其有效性。不过,在分布式系统中,可能需要使用分布式缓存来确保一致性。 然后,我需要考虑如何生成新的访问令牌。当客户端使用刷新令牌请求新的访问令牌时,服务器需要验证刷新令牌的有效性,检查是否过期或被撤销。如果有效,生成新的访问令牌,并可能生成新的刷新令牌(取决于是否需要刷新令牌的轮换)。 还需要设计API端点来处理刷新请求。通常,这会是一个单独的端点,比如`/api/auth/refresh`,接受刷新令牌并返回新的访问令牌和可能的新的刷新令牌。 在实现过程中,需要注意安全性。例如,刷新令牌必须安全地传输和存储,防止泄露。同时,需要考虑令牌的撤销机制,比如在用户注销时使相关的刷新令牌失效。 另外,参考现有的实现,比如使用`System.IdentityModel.Tokens.Jwt`库来生成和验证令牌,结合ASP.NET Core的中间件进行认证和授权。可能需要自定义中间件或使用现有的包来处理刷新逻辑。 最后,测试整个流程,确保访问令牌过期后,客户端能使用刷新令牌获取新的访问令牌,而无需重新登录。同时,处理各种异常情况,如无效的刷新令牌、过期的刷新令牌等,返回适当的HTTP状态码和错误信息。 总结步骤: 1. 用户登录生成访问令牌和刷新令牌。 2. 存储刷新令牌(数据库/缓存)。 3. 创建刷新令牌端点,验证刷新令牌并生成新令牌。 4. 处理令牌撤销和安全性问题。 5. 测试和异常处理。 现在,根据这些步骤,可以编写具体的代码示例,配置JWT服务,添加刷新端点,并实现令牌刷新逻辑。</think>在 .NET 8 Web API 中实现 JWT 令牌刷新机制需要以下关键步骤: --- ### 一、核心实现步骤 #### 1. 配置 JWT 服务 在 `Program.cs` 中添加 JWT 认证服务,并设置访问令牌和刷新令牌的过期时间: ```csharp builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme) .AddJwtBearer(options => { options.TokenValidationParameters = new TokenValidationParameters { ValidateIssuer = true, ValidIssuer = "your_issuer", ValidateAudience = true, ValidAudience = "your_audience", ValidateLifetime = true, // 验证令牌有效期 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secure_key_32_bytes_long")), ClockSkew = TimeSpan.Zero // 严格校验过期时间 }; }); ``` #### 2. 生成双令牌(访问令牌 + 刷新令牌) ```csharp public (string AccessToken, string RefreshToken) GenerateTokens(string userId) { var accessToken = new JwtSecurityToken( issuer: "your_issuer", audience: "your_audience", claims: new[] { new Claim(ClaimTypes.NameIdentifier, userId) }, expires: DateTime.UtcNow.AddMinutes(15), // 短效访问令牌 signingCredentials: new SigningCredentials( new SymmetricSecurityKey(Encoding.UTF8.GetBytes("your_secure_key")), SecurityAlgorithms.HmacSha256) ); var refreshToken = new JwtSecurityToken( issuer: "your_issuer", audience: "your_audience", claims: new[] { new Claim(ClaimTypes.NameIdentifier, userId) }, expires: DateTime.UtcNow.AddDays(7), // 长效刷新令牌 signingCredentials: new SigningCredentials( new SymmetricSecurityKey(Encoding.UTF8.GetBytes("refresh_token_secret")), SecurityAlgorithms.HmacSha256) ); return ( new JwtSecurityTokenHandler().WriteToken(accessToken), new JwtSecurityTokenHandler().WriteToken(refreshToken) ); } ``` #### 3. 存储刷新令牌 使用分布式缓存(如 Redis)存储刷新令牌与用户关联: ```csharp // 存储示例(使用IDistributedCache) await cache.SetStringAsync($"refresh_token:{userId}", refreshToken, new DistributedCacheEntryOptions { AbsoluteExpiration = DateTimeOffset.UtcNow.AddDays(7) }); ``` #### 4. 创建刷新端点 添加 `/api/auth/refresh` 端点处理刷新请求: ```csharp app.MapPost("/api/auth/refresh", async (RefreshRequest request, ICacheService cache) => { var principal = ValidateRefreshToken(request.RefreshToken); var userId = principal.FindFirstValue(ClaimTypes.NameIdentifier); // 验证缓存中的刷新令牌是否匹配 var storedToken = await cache.GetStringAsync($"refresh_token:{userId}"); if (storedToken != request.RefreshToken) { return Results.Unauthorized(); } var newTokens = GenerateTokens(userId); await cache.SetStringAsync($"refresh_token:{userId}", newTokens.RefreshToken); // 更新刷新令牌 return Results.Ok(new { newTokens.AccessToken, newTokens.RefreshToken }); }); ``` --- ### 二、安全增强措施 1. **刷新令牌轮换** 每次刷新后生成新的刷新令牌,使旧令牌立即失效,防止重复使用[^2]。 2. **HTTPS 强制要求** 所有令牌传输必须通过 HTTPS 加密。 3. **令牌黑名单** 实现令牌撤销机制,将失效的访问令牌加入短期黑名单(如内存缓存)。 --- ### 三、完整请求流程示例 1. **用户登录** 返回 `access_token`(15分钟有效)和 `refresh_token`(7天有效) ```http POST /api/auth/login Response: { "accessToken": "...", "refreshToken": "..." } ``` 2. **访问令牌过期** 客户端收到 `401 Unauthorized` 错误时,使用刷新令牌请求新令牌: ```http POST /api/auth/refresh Body: { "refreshToken": "..." } Response: { "accessToken": "...(新的)", "refreshToken": "...(新的)" } ``` 3. **主动注销** 删除缓存中的刷新令牌,使所有关联令牌失效: ```csharp await cache.RemoveAsync($"refresh_token:{userId}"); ``` --- ### 四、引用说明 [^1]: 使用 `System.IdentityModel.Tokens.Jwt` 可确保标准的 JWT 生成/验证流程。 [^2]: 通过中间件校验令牌可统一处理认证逻辑,减少代码冗余。 [^3]: Bearer Token 模式是 JWT 在 HTTP Header 中的标准传递方式。 ---
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

老码识途呀

写作不易,多谢支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值