.net使用jwt进行身份认证的流程记录

什么是身份认证和鉴权

举个例子

假设有这么一个小区,小区只允许持有通行证的人进入,陌生人如果想直接进入小区会被保安拦住,他必须先办理通行证才会被允许进入

类比身份认证和鉴权体系

一个人要访问我的一个机密的接口,我首先需要知道你是谁,搞清楚你是谁的过程就是身份认证,如果我搞不清楚你是谁,那你就是陌生人,身份认证失败。

身份认证通过,并不一定就允许访问我的机密的接口,因为身份认证只是让我知道了你是谁,但是我还不知道你有没有访问我接口的权限,因此还需要进行鉴权。

鉴权就是在身份认证的基础上来查阅你是否有访问某接口的权限,有权限才允许访问。

jwt工作流程

在基于jwt策略的身份认证和鉴权体系中

机密的接口只允许有token的人访问

它的工作流程是这样的

首先你向授权服务器请求一个token,服务器对你进行校验,校验成功则给你一个token
之后你每次访问接口都带上这个服务器给的token,以此来证明你经过了校验并有权访问这个接口,这样你才能被放行

token是如何生成的

token是由服务器生成的,

用户请求token的时候,拿着自己的一些信息给服务器

服务器有它的密钥基于一些加密算法对用户的信息进行加密,之后生成一个token给用户。

jwt三部分

jwt的toke由三部分,header密文,payload密文和签名

header

header存放两个信息

1.声明加密的算法

2.声明类型

像这样:

{
“alg”: “HS256”,
“typ”: “JWT”
}

payload

存放一些自定义的信息,例如用户的个人信息,例如用户名。

注意:不要存密码等敏感信息,因为token可以被解密成明文。

signature

签名,由服务器使用它的密钥对header和payload进行加密后的结果

jwt是如何保证数据不会被篡改的

服务器对token解密获得header、payload和signature,再拿着自己的密钥对header和payload进行加密,看加密结果是否和解密出来的signature相等,如果相等说明数据没有被篡改,如果不等说明数据已被篡改

由于服务器的密钥是不公开的,因此认为签名不能伪造,也就是说,别人无法通过header、payload来加密得到一个服务器认可的token

.net webapi 的 demo

为了简化,这里只做身份认证,也就是说登录的用户就有权访问所有接口了

在Starup.cs中开启身份认证服务并指定策略为jwt

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme).AddJwtBearer(JwtBearerDefaults.AuthenticationScheme, options =>
            {
                options.TokenValidationParameters = new TokenValidationParameters
                {
                    ValidateIssuer = true,
                    ValidateAudience = true,
                    ValidateLifetime = true,
                    ValidateIssuerSigningKey = true,
                    ValidAudience = "xxx",
                    ValidIssuer = "xxx",
                    IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes("bc47a26eb9a59406057dddd62d0898f4")),
                };
            });

郑重声明:本文版权包含图片归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们(delete@yzlfxy.com)修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

留言与评论(共有 0 条评论)
昵称:
匿名发表
   
验证码: