添加身份认证和鉴权方案-使用jwtbearer
HTTP身份认证框架
RFC 7235 定义了一个 HTTP 身份验证框架,服务器可以用来质询(challenge)客户端的请求,客户端则可以提供身份验证凭据。
服务端开启了身份认证后。如果客户端访问未授权的接口,服务器端会向客户端返回 401(Unauthorized,未被授权的)响应状态码,并在 WWW-Authenticate 响应标头提供如何进行验证的信息,其中至少包含有一种质询方式。
标头的语法如下
WWW-Authenticate: <type> realm=<realm>
在这里,<type> 指的是验证的方案(“Basic”是最常见的验证方案)。realm 用来描述进行保护的区域,或者指代保护的范围(相当于一个角色)
要正常访问,就要添加身份认证标头
Authorization: <type> <credentials>
<type>指的是身份认证框架使用的身份认证方案,比如basic 参见 RFC 7617,base64 编码凭据。“Basic”HTTP 验证方案是在 RFC 7617 中规定的,在该方案中,使用用户的 ID/密码作为凭据信息,并且使用 base64 算法进行编码,以明文的形式在网络中进行传输的。
<credentials>如果是basic验证,在前端就用js生成就行,如果是bearer,一般是请求后端的登录接口获取,或者是问后端人员要一个。
Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
在这个示例中,QWxhZGRpbjpvcGVuIHNlc2FtZQ== 是用户名和密码经过 Base64 编码后的结果。这个字符串的解码结果是 Aladdin:open sesame。Aladdin是用户名,open sesame是密码。
bearer 参见 RFC 6750,bearer 令牌通过 OAuth 2.0 保护资源
Authorization: bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Ind3dy5iZWpzb24uY29tIiwic3ViIjoiZGVtbyIsImlhdCI6MTcxNDQ0NjQ0MiwibmJmIjoxNzE0NDQ2NDQyLCJleHAiOjE3MTQ1MzI4NDJ9.8bg2jMRwkbSoEkLZrjoko4zREFjxmkHPOrTCdTkOwK8
这个例子解密如下
如果没有该标头的话,会报401错误,并提示你应该使用的身份认证方案
web主机配置身份认证
web主机中配置
1 builder.Services.AddAuthentication(option => 2 { 3 //添加一个使用 JwtBearer 身份验证作为默认的身份验证方案,不是这里开启了身份认证 4 option.DefaultAuthenticateScheme= JwtBearerDefaults.AuthenticationScheme; 5 option.DefaultChallengeScheme = JwtBearerDefaults.AuthenticationScheme; 6 }).AddJwtBearer(option => 7 { 8 option.TokenValidationParameters = new Microsoft.IdentityModel.Tokens.TokenValidationParameters 9 { 10 ValidIssuer = "颁发机构", 11 ValidAudience = "申请者", 12 //ValidateLifetime=true,//验证失效时间,默认就是true 13 ClockSkew=TimeSpan.FromSeconds(0),//将token的失效时间延长,默认是5分钟 14 IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("1234567890123456颁发者数字签名"))//最小16位 15 }; 16 }); 17 //添加授权策略,不指定策略,使用默认策略时,可注释 18 //builder.Services.AddAuthorization(option => 19 //{ 20 // // 这里可以定义多个策略 21 // //option.AddPolicy("DefaultPolicy", policy => 22 // //{ 23 // // policy.RequireAuthenticatedUser();// 要求用户认证 24 // //}); 25 //}); 26 builder.Services.AddControllers(option => 27 { 28 //给控制器应用授权策略(过时的方式,现在推荐使用端点路由授权) 29 //option.Filters.Add(new AuthorizeFilter()); 30 }); 31 32 var app = builder.Build(); 33 34 //开启身份验证。对于授权不是必须的,如果不使用HttpContext.User,可注释。如果验证成功,处理程序将创建一个表示用户身份的ClaimsPrincipal对象,并将其设置为当前HTTP上下文的用户(HttpContext.User),否则返回401 35 //app.UseAuthentication(); 36 //开启授权。必须在身份验证之后。启用授权组件[Authorize]。但是对于使用过滤器的方式授权,此中间件不需要也可以 37 app.UseAuthorization(); 38 //推荐使用的全局授权方式。使用请求端点路由的方式授权,不指定具体授权策略时会使用默认策略 39 app.MapControllers().RequireAuthorization(); 40 41 app.Run();
Authorization表头需要的token生成
1 Claim[] claim = new Claim[] { 2 new Claim(ClaimTypes.Name,"zzz"), 3 new Claim("testdepart","testdepart"), 4 new Claim("自定义字段","testdepart") 5 }; 6 var token = new JwtSecurityToken( 7 issuer: "颁发机构", 8 audience: "申请者", 9 claims: claim, 10 notBefore: DateTime.Now, 11 expires: DateTime.Now.AddMinutes(1), 12 signingCredentials: new SigningCredentials(new SymmetricSecurityKey(Encoding.UTF8.GetBytes("1234567890123456颁发者数字签名")), SecurityAlgorithms.HmacSha256)); 13 string jwttoken=new JwtSecurityTokenHandler().WriteToken(token);
注意的事项:身份验证和授权在前端请求看来是一件事,就是添加一个Authorization标头,但对于后端web主机是两件事,不一定要全部都做。
