JWT是什么?
JWT (JSON Web Token) 是一个开放标准[3],它定义了一种以紧凑和自包含的方法,用于在双方之间安全地传输编码为 JSON 对象的信息。
因此,简单来说,它是 JSON 格式的加密字符串,其中包含敏感信息,它使我们能够验证不同服务间的发送者。
JWT应用场景
- 授权: 这是使用 JWT 最常见的场景。JWT 用于授权而非身份验证。通过身份验证,我们验证用户名和密码是否有效,并将用户登录到系统中。通过授权,我们可以验证发送到服务器的请求是否属于通过身份验证登录的用户,从而可以授予该用户访问系统的权限,继而批准该用户使用获得的 token 访问路由、服务和资源。
- 信息交换: JSON Web Token 是在双方之间安全地传输信息的一种好方法。因为 JWT 可以被签名(例如,使用公钥/私钥对),所以使您能确保发送方是他们所声称的那一方。此外,由于签名是使用 Header 和 Payload 计算的,因此还使您能验证发送的内容没有被篡改。
一..Net 6 WebAPI 使用JWT进行 授权认证
Microsoft.AspNetCore.Authentication.JwtBearer
二.Program.cs 配置
//授权认证(使用JWT)
builder.Services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(o =>
{
// 私钥
var secretByte = Encoding.UTF8.GetBytes("kdsfldsflkdslkflkdsflkdslfdslkflk");
o.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters
{
// 验证发布者
ValidateIssuer = true,
// 发布者信息
ValidIssuer = "admin",
// 验证接收者
ValidateAudience = true,
// 接收者
ValidAudience = "admin",
// 验证是否过期
ValidateLifetime = true,
// 验证私钥
IssuerSigningKey = new SymmetricSecurityKey(secretByte)
};
});
// 配置Swagger
builder.Services.AddSwaggerGen(o =>
{
// 显示 授权信息
o.AddSecurityDefinition("Bearer", new Microsoft.OpenApi.Models.OpenApiSecurityScheme()
{
Description = "添加JWT授权Token:Bearer Token值",
Name = "Authorization",
In = Microsoft.OpenApi.Models.ParameterLocation.Header,
Type = Microsoft.OpenApi.Models.SecuritySchemeType.ApiKey,
BearerFormat = "JWT",
Scheme = "Bearer"
});
o.AddSecurityRequirement(new Microsoft.OpenApi.Models.OpenApiSecurityRequirement
{
{
new OpenApiSecurityScheme
{
Reference = new OpenApiReference
{
Type = ReferenceType.SecurityScheme,
Id = "Bearer"
}
},
new string[]
{
}
}
});
});
// 鉴权
app.UseAuthentication();
app.UseAuthorization();
三、控制器加授权认证 [Authorize],登录判定方法设置为匿名可访问 [AllowAnonymous]
[Route("api/[controller]/[action]")] // 路由配置
[ApiController]
[Authorize]
public class ECommerceController : ControllerBase
{
[HttpGet]
[AllowAnonymous]
public IActionResult Login(string? loginName, string? password)
{
// 登录判定
}
}
四、控制器中,编写生成 JWT Token 方法
/// <summary>
/// 生成 JWT Token(令牌)
/// </summary>
/// <returns></returns>
private string CreateTokenString()
{
//私钥
var secretByte = Encoding.UTF8.GetBytes("kdsfldsflkdslkflkdsflkdslfdslkflk");
// 非对称加密
var signingKey = new SymmetricSecurityKey(secretByte);
// 使用256 生成数字签名
var signingCredentials = new SigningCredentials(signingKey, SecurityAlgorithms.HmacSha256);
// 生成Token
var token = new JwtSecurityToken(
issuer: "Beijing",
audience: "Beijing",
expires: DateTime.Now.AddDays(1), // 一天后过期
signingCredentials: signingCredentials
);
// 生成token 字符串
var strToken = new JwtSecurityTokenHandler().WriteToken(token);
return strToken;
}
五、登录方法中,登录成功要生成 JWT Token,返回给前端
/// <summary>
/// 登录判定(可以匿名,也就是授权对它没有作业)
/// </summary>
/// <param name="loginName">登录名</param>
/// <param name="password">密码</param>
/// <returns></returns>
[HttpGet]
[AllowAnonymous]
public IActionResult Login(string? loginName, string? password)
{
try
{
// 登录判定,登录成功
// 登录成功生成JWT Token
string strToken = this.CreateTokenString();
}
// 返回前端信息加Jwt token信息
return Ok(new
{
user = user,
token = strToken
});
}
catch (Exception ex)
{
// 错误日志
logger.LogError("登录判定出错!" + ex.Message);
throw;
}
}
六、Swagger中调试
- 运行登录方法,复制生成的 JWT token字符串。
- 点击 名上角 “Authorize” 按钮,在文本框中输入:Bearer token值,格式如:Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE2ODYyOTc3NTgsImlzcyI6IkJlaUppbmdCVyIsImF1ZCI6IkJlaUppbmdCVyJ9.hb9kZv_qj8Eosgnw6ayTf6nA2-07ym6p6xbVS237aI8,点击“Authorize”。
- 之后运行Swagger中的其它方法,它会自动加载 JWT token,方法正常运行。如果没有第2部,运行方法会提示无授权的错误。
七、前端Vue配置
7.1 main.js 配置
// 数据访问
import axios from 'axios'
// 添加JWT token信息
axios.defaults.headers.common["Authorization"] = "Bearer " + window.localStorage.getItem("token");
7.2 登录方法,成功登录后,写token信息到本地
methods:{
// 登录
login() {
// 登录判定
// 登录成功,写JWT的 token到本地
window.localStorage.setItem("token", res.data.token);
// 数据提交后端要加入新的Token值
axios.defaults.headers.common["Authorization"] =
"Bearer " + res.data.token;
}
}