ASP.NET Core高级之认证与授权(一)--JWT入门-颁发、验证令牌

最新推荐文章于 2025-10-09 09:26:52 发布
原创 最新推荐文章于 2025-10-09 09:26:52 发布 · 3k 阅读 · 22
标签
#asp.net #后端 #.net core

阅读本文你的收获

  1. 了解认证和授权的作用
  2. 了解在ASP.NET Core中实现身份认证的技术都有哪些
  3. 学习基于JWT认证并学会颁发和验证JWT令牌

一、重要的前置概念

在一个系统中,不是所有的功能和资源都能够被自由地访问,比如你存在银行系统里面的资金,不可能给我去提取,对吧。这就需要系统对用户进行一些访问的控制,从而使系统更加地安全。
Authentication(认证)和Authorization(授权)都是用于访问控制的概念,目的是确保只有合法用户可以访问系统资源。

  • Authentication(认证)是指验证用户身份的过程。通过认证,系统能够确认用户是真实的,准确地知道用户是谁。常见的认证方式包括用户名和密码、指纹识别、身份证验证等。认证成功后,用户才能被认为是合法用户,可以继续访问系统资源。

  • Authorization(授权)是指确定用户是否有权限访问特定资源的过程。认证成功后,系统需要根据用户的角色、权限等信息来判断用户是否有权访问某个资源。授权机制可以基于用户角色或权限级别进行,例如管理员拥有更高的权限,能够访问更多的资源,而普通用户只能访问受限资源。授权也可以是细粒度的,例如给用户赋予特定的操作权限,如读取、写入、删除等。

在ASP.NET Core中,可以使用以下技术实现身份认证(包括但不限于):

  1. Cookie身份认证:使用ASP.NET Core的认证中间件,将用户的认证信息存储在cookie中。可以使用AddAuthenticationAddCookie方法配置Cookie身份认证。

  2. JWT(JSON Web Token)身份认证:使用JWT作为认证令牌,将用户的认证信息加密并传输给客户端。可以使用AddJwtBearer方法配置JWT身份认证。

  3. OAuth身份认证:使用OAuth协议进行身份认证,允许用户使用第三方身份提供者进行登录。可以使用AddAuthenticationAddOAuth方法配置OAuth身份认证。

  4. OpenID Connect身份认证:基于OAuth协议的扩展,提供了更加丰富的身份认证功能。可以使用AddAuthenticationAddOpenIdConnect方法配置OpenID Connect身份认证。

  5. Session认证:ASP.NET Core中可以使用AddSession方法来配置会话认证。在使用会话认证时,服务器会为每个用户创建一个会话对象,并分配一个唯一的会话ID。服务器会将该会话ID存储在用户的浏览器cookie中,并在后续的请求中使用该会话ID来验证用户的身份。

以上技术可以根据具体的需求和场景进行选择和配置,也可以组合使用来实现更加复杂的身份认证方案。

二、JWT是什么?

JWT:JSON Web Token (JSON网络令牌)里面存的是JSON格式的数据,有三部分组成,以.号做分割, 头部.荷载.防伪签名, 经过一定的加密算法来生成。

作用:颁发给登录的用户,用户拿着这个令牌作为身份的凭证,来访问后续的授权资源。

JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。

2.1 JWT的组成结构

JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:

  • Header – 头部
  • Payload -荷载
  • Signature -签名

例子:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJMb2dpbk5hbWUiOiJhZG1pbiIsIlN1cGVyQWRtaW4iOiJ0cnVlIiwibmJmIjoxNjM5NTQ4MDYyLCJleHAiOjE2Mzk1NDgyNDIsImlzcyI6IldYRiIsImF1ZCI6IkV2ZXJ5VGVzdE9uZSJ9.rfMYR5h26sv3j-WrjVgqB0K05fr9M4wFgCx4leZnqg8

可以到jwt.io官网上将以上JWT字符串进行调试,解析出原始的JSON数据。
在这里插入图片描述

2.2 JWT加密组装的过程

JWT令牌=Base64编码的header.Base64编码的payload.Base64编码的signature;
而signature又是通过HS256这种算法将Base64编码的header.Base64编码的payload的字符串进行加密所得。请看下面的演示代码:

//头部
header = {
   
   "alg": "HS256", "typ": "JWT"}
//荷载
payload = {
   
   "sub": "1234567890", "name": "John Doe", "iat": 1516239022}
//生成签名
key = "secretkey123qwe!@#" //密钥可以自己设置
unsignedToken = encodeBase64(header) + '.' + encodeBase64(payload)  
signature = HMAC-SH
最低0.47元/天 解锁文章
ASP.NET CORE JWT认证
begeneral的专栏
11-16 2312
ASP.NET CORE版本:.NET 5.0 关于JWT的基础知识,请大家上网搜下,这里主要从代码层面讲解。 首先新建ASP.NET CORE Web api的空项目,然后新建个LoginController的api控制器。 1、生成Token 先看代码: [Route("api/[controller]/[action]")] [ApiController] public class LoginController : Controller {
AspNetCore】实现JWT(使用Microsoft.AspNetCore.Authentication.JwtBearer)
欢迎指错||纠正||建议||水评+点赞&&评论&&关注&&转发
08-08 2147
AspNetCore 中实现Jwt比较简单,使用Microsoft.AspNetCore.Authentication.JwtBearer 库,再加几行代码即可.
ASP.NET Core 入门教学十三 使用JWT进行身份验证
Life is not divided
09-05 1163
在本教程中,我们将学习如何在ASP.NET Core项目中使用JSON Web Tokens(JWT)来实现安全的身份验证JWT种开放标准(RFC 7519),用于在各方之间安全地传输信息作为JSON对象。
.Net Core官方的 JWT 授权验证
一些随笔
03-16 1145
什么是JWT JSON Web令牌JWT)是个开放标准(RFC 7519),它定义了种紧凑且自包含的方式,用于在各方之间安全地传输信息作为JSON对象。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。 尽管可以对JWT进行加密以提供双方之间的保密性,但我们将重点关注已签名的令牌。签名的令牌可以验证其中包含的声明的完整性,而加密的令牌则将这些声明隐藏在其他方的面前。当使用公钥/私钥对对令牌进行签名时,签名还证明
ASP.NET Core高级认证授权()--JWT认证后端完整实现
物联网大联盟
01-10 3887
本文是个基于JWT认证的完整的前后端实现代码案例。
ASP.NET Core 3.1中使用JWT身份认证
Jonny的博客
04-06 6294
文章目录1、关于AuthenticationAuthorization2、整个认证流程是怎样的? 1、关于AuthenticationAuthorization 我相信在aspnet core中刚接触甚至用了段时间这两个概念的时候都是头雾水的,傻傻分不清。 认证(Authentication)和授权(Authorization)在概念上比较的相似,且又有定的联系,因此很容易混淆。 认证(A...
ASP.NET Core WebApi基于JWT实现接口授权验证
跟着阿笨一起玩NET
07-14 1543
ASP.Net Core WebApi JWT课程前言 我们知道,http协议本身是种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下次请求时,用户还要再次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储份用户登录的信息,这份登录信息会在响应时传递给...
使用JWT(无Cookie)的ASP.NET CORE令牌认证授权——第1部分
寒冰屋的专栏
07-15 2936
本文演示如何在Asp.Net CORE中使用JWT(JSON Web令牌)实现令牌认证授权。本文中使用的方法不使用任何客户端cookie进行身份验证授权。这意味着,Token不存储在客户端浏览器中,它完全由服务器端处理。由于本文主要关注实现ASP.NET CORE身份验证授权,因此我们不会深入了解令牌配置和令牌创建。从实现的角度来看,仅给出了令牌配置和创建的简要说明。有许多文章详细解释了它。本文包括完整的代码和LoginDemo.sln项目
ASP.NET Core 8.0 WebApi 从零开始学习JWT登录认证
热门推荐
qq_44695769的博客
03-14 1万+
起写后端Api我都是直接裸连的,但是现在为了规范些,我还是打算上JWT功能Jwt其实也不是特别难,就是第次配置的时候容易被绕晕。Jwt的策略我暂时先跳过了,对于解决普通问题般来说已经够用了。
ASP.NET CoreJWT的基本使用
lei1083929965的博客
05-27 1176
在中实现基于JWT的RBAC(基于角色的访问控制)。} } }?set;Program.cs//注册//注册 builder . Services . AddSingleton < IAuthorizationHandler , PermissionHandler >();
ASP.NET Core 中实现 JWT 认证的深入教程
weixin_35899324的博客
06-20 660
Swagger是种广泛使用的API工具集,它的核心是Swagger UI和Swagger Editor。Swagger UI可以将Swagger的规范文件(通常是JSON或YAML格式)转换成美观、易于阅读的文档页面。开发者能够在此展示API的详细信息,如请求方法、路径、输入参数、输出参数等。Swagger Editor允许开发者通过编辑界面直接编写和测试API规范,增加了开发的便利性。Swagger不仅支持在线文档的生成,还支持代码生成、API测试、以及集成到代码中的注释文档功能。
ASP.NET Core中轻松使用JwtBeare进行身份验证
软件开发学习交流
05-15 1305
JwtBearer简介首先要搞清楚什么是JwtBearer,JwtBearer是ASP.NET Core的OAuth 2.0 JWT Bearer身份验证提供程序。它提供了对JWT令牌进行验证的功能,然后允许将令牌中包含的声明(claims)用于用户身份验证授权控制。Json Web Token (JWT)种Web标准,用于在不同系统间传输数据。JWT种可验证的和安全的方式,用于在各种应用程序之间传递信息。JWT具有定的安全性,因为它是通过密钥对JWT进行签名的,以确保意味着不能进行篡改或伪造。
asp.net core 3.1多种身份验证方案,cookie和jwt混合认证授权
weixin_41120428的博客
07-20 382
通过在应用的IApplicationBuilder上调用UseAuthentication扩展方法,在Startup.Configure中添加身份验证中间件。如果调用UseAuthentication,会注册使用之前注册的身份验证方案的中间节。在开发用户认证授权使用的是简单的cookie认证方式,然后开发好了要写几个接口给其它系统调用数据。身份验证是确定用户身份的过程。在ASP.NETCore中,身份验证由IAuthenticationService负责,而它供身份验证中间件使用。...
ASP.NET Core 中的身份认证及鉴权
杂七杂八
11-03 1万+
ASP.NET Core中的身份认证功能。
ASP.NET Core】分布式场景下ASP.NET CoreJWT应用教程
最新发布
Arabys的博客
10-09 1098
相比传统 Session 在分布式环境中的性能瓶颈,JWT的无状态、防篡改等优势使其天然适合分布式环境。本文以ASP.NET Core为基础,从配置文件设计、JWT 服务封装、Token 生成验证,到控制器调用及认证授权中间件配置,完整呈现了JWT在实际项目中的落地步骤。
ASP.NET Core 中的 JWT 鉴权实现
dotNET跨平台
01-17 474
在当今的软件开发中,安全性和用户认证是至关重要的方面。JSON Web Token(JWT)作为种流行的身份验证机制,因其简洁性和无状态特性而被广泛应用于各种应用中,尤其是在 ASP.NET Core 项目里。本文将详细介绍如何在 ASP.NET Core 应用中实现 JWT 鉴权,确保应用能够安全地验证用户身份并授权访问特定资源。、安装必要的 NuGet 包dotnet add packag...
ASP.NET Core 6.0 整合 JWT
qq_55069674的博客
01-11 2168
ASP .NETCore 整合JWT
net6授权认证源码详解(
wangyun381974024的博客
09-15 1145
net6授权认证源码详解
asp.net core认证授权
weixin_34261739的博客
09-01 498
asp.net core中,微软提供了基于认证(Authentication)和授权(Authorization)的方式,来实现权限管理的,本篇博文,介绍基于固定角色的权限管理和自定义角色权限管理,本文内容,更适合传统行业的BS应用,而非互联网应用。在asp.net core中,我们认证(Authentication)通常是在Login的Post Action中进行用户名或密码来验证用户是否正确...
ASP.NET Core系列:JWT身份认证
beautifull001的博客
03-03 661
1. JWT概述   JSON Web Token(JWT)是目前流行的跨域身份验证解决方案。   JWT的官网地址:https://jwt.io   JWT的实现方式是将用户信息存储在客户端,服务端不进行保存。每次请求都把令牌带上以校验用户登录状态,这样服务就变成无状态的,利于服务器集群扩展。 1.1 JWT令牌结构   在紧凑的形式中,JSON Web Tokens由dot(.)分隔...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

采石之人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值