客服电话
APP下载
迪恩网络APP
随时随地掌握行业动态
官方微信
扫描二维码
关注迪恩网络微信公众号
|
在aspnet core中,自定义jwt管道验证 有了上一节的内容作为基础,那这点也是非常容易的,关键点在中间件,只是把上一级在测试类中的自定义验证放到中间件中来即可, 不过需要注意:中间件 的位置很重要,只有它后面的管道才会收到影响; 那我们先建一个自定义中间件类:(中间件的详细内容这里就不讲了,大家可以参考官网和其他博文)
/// <summary>
/// 自定义授权中间件
/// </summary>
public class JwtCustomerAuthorizeMiddleware
{
private readonly RequestDelegate next;
public JwtCustomerAuthorizeMiddleware(RequestDelegate next, string secret, List<string> anonymousPathList)
{
#region 设置自定义jwt 的秘钥
if(!string.IsNullOrEmpty(secret))
{
TokenContext.securityKey = secret;
}
#endregion
this.next = next;
UserContext.AllowAnonymousPathList.AddRange(anonymousPathList);
}
public async Task Invoke(HttpContext context, UserContext userContext,IOptions<JwtOption> optionContainer)
{
if (userContext.IsAllowAnonymous(context.Request.Path))
{
await next(context);
return;
}
var option = optionContainer.Value;
#region 身份验证,并设置用户Ruser值
var result = context.Request.Headers.TryGetValue("Authorization", out StringValues authStr);
if (!result || string.IsNullOrEmpty(authStr.ToString()))
{
throw new UnauthorizedAccessException("未授权");
}
result = TokenContext.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), payLoad =>
{
var success = true;
//可以添加一些自定义验证,用法参照测试用例
//验证是否包含aud 并等于 roberAudience
success = success && payLoad["aud"]?.ToString() == option.Audience;
if (success)
{
//设置Ruse值,把user信息放在payLoad中,(在获取jwt的时候把当前用户存放在payLoad的ruser键中)
//如果用户信息比较多,建议放在缓存中,payLoad中存放缓存的Key值
userContext.TryInit(payLoad["ruser"]?.ToString());
}
return success;
});
if (!result)
{
throw new UnauthorizedAccessException("未授权");
}
#endregion
#region 权限验证
if (!userContext.Authorize(context.Request.Path))
{
throw new UnauthorizedAccessException("未授权");
}
#endregion
await next(context);
}
}
上面这个中间件中有个UserContext上线文,这个类主要管理当前用户信息和权限,其他信息暂时不管;我们先看一下这个中间件的验证流程如何: 该中间件主要是针对访问的路径进行验证,当然你也可以针对其他信息进行验证,比如(控制器名称,动作名称,等)
自定义中间件使用jwt验证就这些内容,是不是感觉很清晰,很简单,有木有; 中间已经完成了,那接下来我们来使用它,我们再startup中的Configure方法中添加如下代码
app.UseMiddleware<JwtCustomerAuthorizeMiddleware>(Configuration["JwtOption:SecurityKey"], new List<string>() { "/api/values/getjwt","/" });
当然上面可匿名访问的url也可以定义在appsetting.json文件中,可以自行尝试 如何通过自定义策略形式实现自定义jwt验证 创建自定义策略的详细介绍可以参考官网,这里就不详细介绍, 首先我们上代码,创建自定义策略非常重要的两个类,如下:
public class CommonAuthorizeHandler : AuthorizationHandler<CommonAuthorize>
{
/// <summary>
/// 常用自定义验证策略,模仿自定义中间件JwtCustomerauthorizeMiddleware的验证范围
/// </summary>
/// <param name="context"></param>
/// <param name="requirement"></param>
/// <returns></returns>
protected override Task HandleRequirementAsync(AuthorizationHandlerContext context, CommonAuthorize requirement)
{
var httpContext = (context.Resource as AuthorizationFilterContext).HttpContext;
var userContext = httpContext.RequestServices.GetService(typeof(UserContext)) as UserContext;
var jwtOption = (httpContext.RequestServices.GetService(typeof(IOptions<JwtOption>)) as IOptions<JwtOption>).Value;
#region 身份验证,并设置用户Ruser值
var result = httpContext.Request.Headers.TryGetValue("Authorization", out StringValues authStr);
if (!result || string.IsNullOrEmpty(authStr.ToString()))
{
return Task.CompletedTask;
}
result = TokenContext.Validate(authStr.ToString().Substring("Bearer ".Length).Trim(), payLoad =>
{
var success = true;
//可以添加一些自定义验证,用法参照测试用例
//验证是否包含aud 并等于 roberAudience
success = success && payLoad["aud"]?.ToString() == jwtOption.Audience;
if (success)
{
//设置Ruse值,把user信息放在payLoad中,(在获取jwt的时候把当前用户存放在payLoad的ruser键中)
//如果用户信息比较多,建议放在缓存中,payLoad中存放缓存的Key值
userContext.TryInit(payLoad["ruser"]?.ToString());
}
return success;
});
if (!result)
{
return Task.CompletedTask;
}
#endregion
#region 权限验证
if (!userContext.Authorize(httpContext.Request.Path))
{
return Task.CompletedTask;
}
#endregion
context.Succeed(requirement);
return Task.CompletedTask;
}
}
public class CommonAuthorize: IAuthorizationRequirement
{
}
其中两个重要的类是哪两个呢?他们的作用又是什么呢? 1、CommonAuthorize: IAuthorizationRequirement,至于取什么名字,自己定义,但必须继承IAuthorizationRequirement,这类主要是承载一些初始化值,让后传递到Handler中去,给验证做逻辑运算提供一些可靠的信息;我这里是空的;自己根据自身情况自己定义适当的属性作为初始数据的承载容器; 2、CommonAuthorizeHandler : AuthorizationHandler<CommonAuthorize>这个是重点,承载了验证的逻辑运算
3、是不是很简单,和自定义管道验证的的代码几乎一模一样, 如何使用自定义定义策略呢? 1、在startup类中的ConfigureServices中加入如下代码:
services.AddAuthorization(option =>
{
#region 自定义验证策略
option.AddPolicy("common", policy => policy.Requirements.Add(new CommonAuthorize()));
#endregion
}).AddAuthentication(option =>
{
option.DefaultScheme = JwtBearerDefaults.AuthenticationScheme;
}).AddJwtBearer(option =>
{
if (!string.IsNullOrEmpty(config["JwtOption:SecurityKey"]))
{
TokenContext.securityKey = config["JwtOption:SecurityKey"];
}
//设置需要验证的项目
option.TokenValidationParameters = new TokenValidationParameters
{
IssuerSigningKey = new SymmetricSecurityKey(Encoding.UTF8.GetBytes(TokenContext.securityKey))//拿到SecurityKey
};
});
//自定义策略IOC添加
services.AddSingleton<IAuthorizationHandler, CommonAuthorizeHandler>();
以上代码主要分3个部分 1、添加上面自定义的策略,并取名; 2、设置秘钥,这个秘钥就是上一节中生成jwt的秘钥,必须要要一样,否则是签名不正确 3、注入上面建立的一个重要类CommonAuthorizeHandler,如上面代码 2、在startup类中的Configure中添加 app.UseAuthentication(); 3、在需要验证的Controller或者Action中加上[Authorize(Policy = "common")]属性,看下图: 到此为止你就可以使用自定义策略的验证了;
使用管道和自定义策略两种形式进行验证有什么区别呢? 从效果上看都是一样的,稍微有点区别
至于你喜欢那种,就使用哪种吧,性能可以忽略不计; 不管使用哪种方式使用jwt作为身份和权限验证是不是很简单,关键这里也把权限验证的逻辑抽出来了,这样代码就更清晰明了了; 至于Authorize的属性形式,还有很多其他的策略,比如用户、申明,角色等,可查看官网https://docs.microsoft.com/zh-cn/aspnet/core/security/authorization/?view=aspnetcore-2.0 下一章将讲解 用户,申明 ,角色的验证,并这些怎么在自定义的验证中实现,以便大家对他有个清晰的对比 总结 以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作具有一定的参考学习价值,如果有疑问大家可以留言交流,谢谢大家对极客世界的支持。 |
请发表评论