富贵资源网 Design By www.hznty.com

在aspnet core中,自定义jwt管道验证

有了上一节的内容作为基础,那这点也是非常容易的,关键点在中间件,只是把上一级在测试类中的自定义验证放到中间件中来即可,

不过需要注意:中间件 的位置很重要,只有它后面的管道才会收到影响;

那我们先建一个自定义中间件类:(中间件的详细内容这里就不讲了,大家可以参考官网和其他博文)

/// <summary>
 /// 自定义授权中间件
 /// </summary>
 public class JwtCustomerAuthorizeMiddleware
 {
  private readonly RequestDelegate next;

  public JwtCustomerAuthorizeMiddleware(RequestDelegate next, string secret, List<string> anonymousPathList)
  {
   #region 设置自定义jwt 的秘钥
   if(!string.IsNullOrEmpty(secret))
   {
    TokenContext.securityKey = secret;
   }
   #endregion
   this.next = next;
   UserContext.AllowAnonymousPathList.AddRange(anonymousPathList);
  }

  public async Task Invoke(HttpContext context, UserContext userContext,IOptions<JwtOption> optionContainer)
  {
   if (userContext.IsAllowAnonymous(context.Request.Path))
   {
    await next(context);
    return;
   }

   var option = optionContainer.Value;

   #region 身份验证,并设置用户Ruser值
 
   var result = context.Request.Headers.TryGetValue("Authorization", out StringValues authStr);
   if (!result || string.IsNullOrEmpty(authStr.ToString()))
   {
    throw new UnauthorizedAccessException("未授权");
   }
   result = TokenContext.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), payLoad =>
   {
    var success = true;
    //可以添加一些自定义验证,用法参照测试用例
    //验证是否包含aud 并等于 roberAudience
    success = success && payLoad["aud"]"ruser"]"未授权");
   }

   #endregion
   #region 权限验证
   if (!userContext.Authorize(context.Request.Path))
   {
    throw new UnauthorizedAccessException("未授权");
   }
   #endregion

   await next(context);
  }
 }

上面这个中间件中有个UserContext上线文,这个类主要管理当前用户信息和权限,其他信息暂时不管;我们先看一下这个中间件的验证流程如何:

该中间件主要是针对访问的路径进行验证,当然你也可以针对其他信息进行验证,比如(控制器名称,动作名称,等)

  • 检查当前url是否可以匿名访问,如果可以就直接通过,不做验证了;如果不是可以匿名访问的路径,那就继续
  • 获取当前http头部携带的jwt(存放在头部的 Authorization中);
  • 使用上一节的讲的TokenContext做必须的验证和自定义复杂验证;
  • 获取当前访问用户信息,我们把用户的基本信息放在payLoad["ruser"]中,请看代码如何操作
  • 到这里为止,都是做的身份验证,表明你是一个有身份的的人;接下来是做权限验证,你是一个有身份的人,并不代表你是一个随便到处访问的人;你能访问哪些url或者action,就要得到权限验证的认可
  • 我们把权限验证放到 userContext.Authorize方法中(这里怎么操作,这里就不深入讲解,基本原理是从数据库或者缓存中获取当前用户对应的权限列表,也就是url列表,进行对比);

自定义中间件使用jwt验证就这些内容,是不是感觉很清晰,很简单,有木有;

中间已经完成了,那接下来我们来使用它,我们再startup中的Configure方法中添加如下代码

app.UseMiddleware<JwtCustomerAuthorizeMiddleware>(Configuration["JwtOption:SecurityKey"], new List<string>() { "/api/values/getjwt","/" });

当然上面可匿名访问的url也可以定义在appsetting.json文件中,可以自行尝试

如何通过自定义策略形式实现自定义jwt验证

创建自定义策略的详细介绍可以参考官网,这里就不详细介绍,

首先我们上代码,创建自定义策略非常重要的两个类,如下:

public class CommonAuthorizeHandler : AuthorizationHandler<CommonAuthorize>
 {
  /// <summary>
  /// 常用自定义验证策略,模仿自定义中间件JwtCustomerauthorizeMiddleware的验证范围
  /// </summary>
  /// <param name="context"></param>
  /// <param name="requirement"></param>
  /// <returns></returns>
  protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CommonAuthorize requirement)
  {
   var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext;
   var userContext = httpContext.RequestServices.GetService(typeof(UserContext)) as UserContext;

   var jwtOption = (httpContext.RequestServices.GetService(typeof(IOptions<JwtOption>)) as IOptions<JwtOption>).Value;

   #region 身份验证,并设置用户Ruser值

   var result = httpContext.Request.Headers.TryGetValue("Authorization", out StringValues authStr);
   if (!result || string.IsNullOrEmpty(authStr.ToString()))
   {
    return Task.CompletedTask;
   }
   result = TokenContext.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), payLoad =>
   {
    var success = true;
    //可以添加一些自定义验证,用法参照测试用例
    //验证是否包含aud 并等于 roberAudience
    success = success && payLoad["aud"]"ruser"]"ruser"中,请看代码如何操作
  
  • 到这里为止,都是做的身份验证,表明你是一个有身份的的人;接下来是做权限验证,你是一个有身份的人,并不代表你是一个随便到处访问的人;你能访问哪些url或者action,就要得到权限验证的认可
  • 我们把权限验证放到 userContext.Authorize方法中(这里怎么操作,这里就不深入讲解,基本原理是从数据库或者缓存中获取当前用户对应的权限列表,也就是url列表,进行对比);
    context.Succeed(requirement);是验证成功,如果没有这个,就默认验证失败
    因为UserContext把负责了权限验证,所以不会把流程搞得感觉很乱,并且可以重用,至于用那种形式验证也很容易切换
  • 3、是不是很简单,和自定义管道验证的的代码几乎一模一样,

    如何使用自定义定义策略呢?

    1、在startup类中的ConfigureServices中加入如下代码:

    services.AddAuthorization(option =>
       {
        
    
        #region 自定义验证策略
        option.AddPolicy("common", policy => policy.Requirements.Add(new CommonAuthorize()));
        #endregion
    
    
       }).AddAuthentication(option =>
       {
        option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
       }).AddJwtBearer(option =>
       {
        if (!string.IsNullOrEmpty(config["JwtOption:SecurityKey"]))
        {
         TokenContext.securityKey = config["JwtOption:SecurityKey"];
        }
        //设置需要验证的项目
        option.TokenValidationParameters = new TokenValidationParameters
        {
         
         IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenContext.securityKey))//拿到SecurityKey
        };
       });
    
       //自定义策略IOC添加
       
       services.AddSingleton<IAuthorizationHandler, CommonAuthorizeHandler>();

         以上代码主要分3个部分

         1、添加上面自定义的策略,并取名;

         2、设置秘钥,这个秘钥就是上一节中生成jwt的秘钥,必须要要一样,否则是签名不正确

         3、注入上面建立的一个重要类CommonAuthorizeHandler,如上面代码

    2、在startup类中的Configure中添加 app.UseAuthentication();

    3、在需要验证的Controller或者Action中加上[Authorize(Policy = "common")]属性,看下图:

    到此为止你就可以使用自定义策略的验证了;

    asp net core2.1如何使用jwt从原理到精通(二) 

    使用管道和自定义策略两种形式进行验证有什么区别呢"external nofollow" target="_blank" href="https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/">https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/"color: #ff0000">总结

    以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对的支持。

    富贵资源网 Design By www.hznty.com
    广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
    免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
    富贵资源网 Design By www.hznty.com