ASP.NET Core的JWT的实现(自定义策略形式验证).md
2019-03-19 11:58
627 查看
既然选择了远方,便只顾风雨兼程 __ HANS许
在上篇文章,我们讲了JWT在ASP.NET Core的实现,基于中间件来实现。这种方式有个缺点,就是所有的URL,要嘛需要验证,要嘛不需要验证,没有办法各取所需,因为我们某个API与另一个API的验证方式不一样。这就引导出“基于自定义策略形式下的验证了”。
ASP.NET Core 的Authorization实现
我们使用Core自带的Authorization(认证与授权)来实现。大家可以先看下微软官方的策略授权
-
微软官方例子:
[li]internal class MinimumAgeAuthorizeAttribute : AuthorizeAttribute
1.1 定义策略
{ [/li]
- const string POLICY_PREFIX = "MinimumAge";
- public MinimumAgeAuthorizeAttribute(int age) => Age = age;
- // Get or set the Age property by manipulating the underlying Policy property
- public int Age
- {
- get
- {
- if (int.TryParse(Policy.Substring(POLICY_PREFIX.Length), out var age))
- {
- return age;
- }
- return default(int);
- }
- set
- {
- Policy = $"{POLICY_PREFIX}{value.ToString()}";
- }
- }
- }
1.2 使用策略
- [MinimumAgeAuthorize(10)]
- public IActionResult RequiresMinimumAge10()
这样在执行
RequiresMinimumAge10会先执行
MinimumAgeAuthorize策略,很像MVC的
Attribute特性,
但内部又不像,在这边就不多做解释了,微软的Core官方文档讲的很清楚。大家去看下就清楚了。
JWT的自定义策略形式的实现
2.1 了解
IAuthorizationRequirement
IAuthorizationRequirement表示授权要求,用户可以继承这个接口,实现自己认证与授权的要求,比如上面的片段代码,它就继承该接口,并有个字段
Age,也就是这个策略有年龄的要求,这个要求可以带到我们后面验证的方法里面。我们往下看。
2.2 继承
IAuthorizationRequirement
所以我们实现了
JwtAuthorizeBaseRequiremente该接口,并继承
IAuthorizationRequirement,可以看到我们的要求是一个叫
validatePayLoad的委托函数,委托函数的入参是字典,JWT,字典便是上篇文章说的JWT的负载部分了。而返回参数是bool,便代表我们自定义的策略验证JWT是否成功。
IJwtAuthorizRequiremente继承了
IAuthorizationRequirement
-
[li]public class JwtAuthorizeBaseRequiremente : IJwtAuthorizRequiremente
2.3 了解
AuthorizationHandler
AuthorizationHandler为特定需求类型调用的授权处理程序的基类。也就是说我们处理策略是会到这个基类来处理,并且判断是否认证成功,也就是授权成功。
2.4 继承
AuthorizationHandler
JwtAuthorizeHandler继承
AuthorizationHandler并实现泛型
JwtAuthorizeBaseRequiremente的定义,这样子我们的自定义的策略委托验证函数就会传递到这个处理类。我们需要重写
HandleRequirementAsync来自定已处理。可以看到,最终我们还是调用上篇文章所讲的验证函数
_jsonWebTokenValidate.Validate,大家不清楚可以去看上篇文章。而
requirement.validatePayLoad便是我们稍后再外面自定义的验证函数了。
- public class JwtAuthorizeHandler : AuthorizationHandler<JwtAuthorizeBaseRequiremente>
- {
- private readonly JsonWebTokenSetting _setting;
- private readonly IJsonWebTokenValidate _jsonWebTokenValidate;
- public JwtAuthorizeHandler(IOptions<JsonWebTokenSetting> setting, IJsonWebTokenValidate jsonWebTokenValidate)
- {
- this._setting = setting.Value;
- this._jsonWebTokenValidate = jsonWebTokenValidate;
- }
- /// <summary>
- /// 验证JWT
- /// </summary>
- /// <param name="context"></param>
- /// <param name="requirement"></param>
- /// <returns></returns>
- protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, JwtAuthorizeBaseRequiremente requirement)
- {
- var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext;
- var result = httpContext.Request.Headers.TryGetValue("Authorization", out StringValues authStr);
- if (!result || string.IsNullOrEmpty(authStr.ToString()))
- {
- throw new UnauthorizedAccessException("未授权,请传递Header头的Authorization参数。");
- }
- result = result && _jsonWebTokenValidate.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), _setting, requirement.validatePayLoad);
- if (!result)
- {
- throw new UnauthorizedAccessException("验证失败,请查看传递的参数是否正确或是否有权限访问该地址。");
- }
- context.Succeed(requirement);
- return Task.CompletedTask;
- }
- }
2.5 怎么使用呢?
-
我们需要在
Startup.cs
文件进行注册服务。其中CommonAuthorize
继承JwtAuthorizeBaseRequiremente
,并将自定义的策略方法,传递进去。其中common
是策略名称。可以多个定义策略-
[li]public void ConfigureServices(IServiceCollection services)
{ [/li]
- services.AddJwt(Configuration);
- services.AddMvc().SetCompatibilityVersion(CompatibilityVersion.Version_2_2);
- services.AddAuthorization(option =>
- {
- #region 自定义验证策略 可以一直自定义策略
- option.AddPolicy("common", policy => policy.Requirements.Add(new CommonAuthorize().
- SetValidateFunc((playLoad, sertting) =>
- {
- //每个策略自定义验证函数,playLoad为带过来的参数字典,setting为失效时间与秘钥
- return true;
- })));
- #endregion 自定义验证策略
- }).AddAuthentication(option =>
- {
- option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
- });
- }
-
接着我们在想要的
Controller
或者Action
的头部使用[Authorize(Policy = "common")]
,这样每次进到相对应的Controller
或者Action
,会先进行策略验证,而我们这边验证的便是JWT了。
总结一下,我们在这篇文章是基于上篇文章的,所以JWT的生成与验证我们就不讲了。两篇文章讲了JWT的验证,两种方式有好有坏,大家可以根据自己的模式进行选择。
1.使用管道的方式,感觉方便点,清晰点
2. 使用自定义策略的方式,效率稍微高一点,毕竟不是所有的请求都会进行是否可以匿名访问运算和建立管道的消耗,只有加入Authorize属性的Controller和Action的才会进入
最后附上源码,或者直接到我的GitHub上看看。后面要是有时间,可以讲下
IdentityServer4的OAuth2的授权与认证。
相关文章推荐
- asp.net core 2.0 web api基于JWT自定义策略授权
- 在ASP.NET Core中实现自定义验证特性(Custom Validation Attribute)
- asp.net core 2.0 web api基于JWT自定义策略授权
- ASP.NET Core 1.0 静态文件、路由、自定义中间件、身份验证简介
- [导入]Asp.net 2.0 实现自定义Email格式有效性验证(示例代码下载)
- ASP.NET MVC如何实现自定义验证(服务端验证+客户端验证)
- ASP.NET Core 实现用户登录验证的最低配置
- 【ASP.NET Core快速入门】(十五)MVC开发:ReturnUrl实现、Model后端验证 、Model前端验证
- Asp.net 2.0 实现自定义Email格式有效性验证(示例代码下载)
- Asp.net 2.0 实现自定义Email格式有效性验证(示例代码下载)
- ASP.NET Core2利用Jwt技术在服务端实现对客户端的身份认证
- Asp.net 2.0 实现自定义Email格式有效性验证(示例代码下载)
- ASP.NET Core中自定义路由约束的实现
- ASP.NET Core 1.0 静态文件、路由、自定义中间件、身份验证简介
- ASP.NET MVC如何实现自定义验证(服务端验证+客户端验证)
- 菜鸟入门【ASP.NET Core】15:MVC开发:ReturnUrl实现、Model后端验证 、Model前端验证
- asp.net core webapi实现jwt授权认证
- ASP.Net4中实现自定义的请求验证
- ASP.NET MVC系列之 如何实现自定义验证(服务端验证+客户端验证)
- Asp.net 2.0 实现自定义Email格式有效性验证(示例代码下载)