王色网站,网站推广 教程,网站建设需要哪些工具与知识,炉火建站一.前言大家好我又回来了#xff0c;前几天讲过一个关于Jwt的身份验证最简单的案例#xff0c;但是功能还是不够强大#xff0c;不适用于真正的项目#xff0c;是的#xff0c;在真正面对复杂而又苛刻的客户中#xff0c;我们会不知所措#xff0c;就现在需要将认证授权… 一.前言 大家好我又回来了前几天讲过一个关于Jwt的身份验证最简单的案例但是功能还是不够强大不适用于真正的项目是的在真正面对复杂而又苛刻的客户中我们会不知所措就现在需要将认证授权这一块也变的复杂而又实用起来那在专业术语中就叫做自定义策略的API认证本次案例运行在.NET Core 3.0中最后我们将在swagger中进行浏览来尝试项目是否正常对于.NET Core 2.x 版本这篇文章有些代码不适用但我会在文中说明。二.在.NET Core中尝试 我们都知道Jwt是为了认证微软给我们提供了进城打鬼子的城门那就是 AuthorizationHandle。 我们首先要实现它并且我们还可以根据依赖注入的 AuthorizationHandlerContext 来获取上下文就这样我们就更可以做一些权限的手脚 首先我们重写了 HandleRequirementAsync 方法如果你看过AspNetCore的源码你一定知道它是Jwt身份认证的开端也就是说你重写了它原来那一套就不会走了我们观察一下源码我贴在下面可以看到这就是一个最基本的授权通过 context.Succeed(requirement 完成了最后的认证动作那么 Succeed 是一个什么呢它是一个在 AuthorizationHandlerContext的定义动作包括Fail() 也是如此当然具体实现我们不在细谈其内部还是挺复杂的不过我们需要的是 DenyAnonymousAuthorizationRequirement 被当作了抽象的一部分。好吧言归正传看源码挺刺激的我们刚刚在 PolicyHandler实现了自定义认证策略上面还说到了两个方法。现在我们在项目中配置并启动它并且我在代码中也是用了Swagger用于后面的演示。在 AddJwtBearer中我们添加了jwt验证包括了验证参数以及几个事件处理这个很基本不在解释。不过在Swagger中添加jwt的一些功能是在 AddSecurityDefinition 中写入的。在以上代码中我们通过鉴权模式添加了认证规则一个名叫 PolicyRequirement 的类它实现了 IAuthorizationRequirement 接口其中我们需要定义一些规则通过构造函数我们可以添加我们要识别的权限规则。那个UserName就是 Attribute 。随后我们应当启动我们的服务在.NET Core 3.0 中身份验证的中间件位置需要在路由和端点配置的中间。 我们通常会有一个获取token的API用于让Jwt通过 JwtSecurityTokenHandler().WriteToken(token) 用于生成我们的token虽然jwt是没有状态的但你应该也明白如果你的jwt生成了随后你重启了你的网站你的jwt会失效这个是因为你的密钥进行了改变如果你的密钥一直写死那么这个jwt将不会再过期这个还是有安全风险的这个我不在这里解释gettoken定义如下 可能比较特别的是 AllowAnonymous 这个看我文章的同学可能头一次见其实怎么说好呢这个可无可有没有硬性的要求我看到好几个知名博主加上了我也加上了~...最后我们创建了几个资源控制器它们是受保护的。 在你添加策略权限的时候例如政策名称是XXX那么在对应的api表头就应该是XXX随后到了 PolicyHandler我们解析了 Claims 处理了它是否有权限。三.效果图四.栗子源代码和以往版本 看到很多前辈彩的坑原来的 (context.Resource as Microsoft.AspNetCore.Routing.RouteEndpoint); 实际上在.NET Core 3.0 已经不能用了原因是.NET Core 3.0 启用 EndpointRouting 后权限filter不再添加到 ActionDescriptor 而将权限直接作为中间件运行同时所有filter都会添加到 endpoint.Metadata 如果在.NET Core 2.1 2.2 版本中你通常Handler可以这么写该案例源代码在我的Github上https://github.com/zaranetCore/aspNetCore_JsonwebToken/tree/master/Jwt_Policy_Demo 谢谢大家
