您的位置:

.NET JWT认证的实现与使用方法

一、JWT认证简介

首先,JWT全称为JSON Web Token,是一种轻量级的认证和授权方式,采用JSON格式传递信息,在HTTP请求头中进行传递,通常被用来作为API的安全验证方式。JWT由三部分组成:头部、载荷和签名。头部存储加密算法和令牌类型等信息,载荷包含了需要传递的用户信息以及其他元数据,签名用于验证令牌的合法性。

二、安装NuGet包

在Visual Studio中,我们可以通过NuGet包管理器来安装JWT相关的依赖包。打开NuGet包管理器,搜索安装Microsoft.AspNetCore.Authentication.JwtBearer包,这个包提供了JWT认证相关的操作和中间件。

// 安装NuGet包
Install-Package Microsoft.AspNetCore.Authentication.JwtBearer

三、JWT认证配置

接下来,我们需要在Startup.cs文件中,进行JWT认证的配置。在ConfigureServices方法中,添加JWT认证相关配置。

// 引入命名空间
using Microsoft.AspNetCore.Authentication.JwtBearer;
using Microsoft.IdentityModel.Tokens;

// JWT认证配置
services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
    .AddJwtBearer(options =>
    {
        options.RequireHttpsMetadata = false;
        options.SaveToken = true;
        options.TokenValidationParameters = new TokenValidationParameters
        {
            // 验证发行人
            ValidateIssuer = true,
            ValidIssuer = Configuration["Jwt:Issuer"],
            
            // 验证接收人
            ValidateAudience = true,
            ValidAudience = Configuration["Jwt:Audience"],
            
            // 验证令牌签名
            ValidateIssuerSigningKey = true,
            IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(Configuration["Jwt:Secret"]))
        };
    });

在上面的配置中,我们指定了验证发行人、接收人和验证令牌签名所需的密钥。需要注意的是,在实际应用中,请将密钥保存在安全可靠的地方,避免泄露。

四、JWT令牌生成

在进行JWT认证时,需要先生成JWT令牌。我们可以在AuthenticationController.cs文件中,添加一个GenerateJwtToken方法来生成JWT令牌。

// 引入命名空间
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using System.Text;
using Microsoft.AspNetCore.Authorization;
using Microsoft.AspNetCore.Mvc;
using Microsoft.Extensions.Configuration;
using Microsoft.IdentityModel.Tokens;

// 生成JWT令牌
[AllowAnonymous]
[HttpPost]
[Route("authenticate")]
public ActionResult GenerateJwtToken([FromBody] User userParam)
{
    // 验证用户信息
    var user = _userService.Authenticate(userParam.Username, userParam.Password);
    if (user == null)
        return BadRequest(new { message = "账号或密码错误" });

    // 生成令牌
    var tokenHandler = new JwtSecurityTokenHandler();
    var key = Encoding.ASCII.GetBytes(_configuration["Jwt:Secret"]);
    var tokenDescriptor = new SecurityTokenDescriptor
    {
        Subject = new ClaimsIdentity(new Claim[] 
        {
            new Claim(ClaimTypes.Name, user.Id.ToString())
        }),
        Expires = DateTime.UtcNow.AddDays(7),
        SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
    };
    var token = tokenHandler.CreateToken(tokenDescriptor);
    var tokenString = tokenHandler.WriteToken(token);

    return Ok(new { Token = tokenString });
}

  

在上面的代码中,我们首先验证了用户的账号和密码,然后按照JWT认证规范生成JWT令牌,并将令牌返回给客户端。在生成令牌时,我们设置了过期时间和签名规则等信息,以保证令牌的安全性。

五、使用JWT认证

在需要进行身份验证的地方,我们可以使用AuthenticateAttribute来开启JWT认证。

// 引入命名空间
using Microsoft.AspNetCore.Authorization;

// 使用JWT认证
[Authorize]
[HttpGet]
[Route("user")]
public ActionResult GetUser()
{
    // 获取当前用户信息
    var userId = User.Identity.Name;
    var user = _userService.GetById(int.Parse(userId));

    return Ok(user);
}

  

在上面的代码中,我们在需要获取用户信息的地方,使用了AuthorizeAttribute来开启JWT认证。只有在通过身份验证之后,才可以调用该方法获取用户信息。