【转载】C#集成JWT快速入门

一、JWT基本概念

JSON Web Token(JWT)是一种开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于在双方之间安全地传输信息作为JSON对象。这些信息可以被验证、信任,因为它们是数字签名的。JWT常用于身份验证和授权场景,特别是在微服务架构和分布式系统中。

JWT主要由三部分组成:Header(头部)、Payload(负载)和Signature(签名)。

二、JWT的生成

在C#中,我们可以使用System.IdentityModel.Tokens.Jwt命名空间下的类来生成JWT。以下是一个简单的示例:

复制代码
using System;
using System.IdentityModel.Tokens.Jwt;
using System.Security.Claims;
using Microsoft.IdentityModel.Tokens;

public string GenerateJWT(string userId, string secretKey)
{
    var tokenHandler = new JwtSecurityTokenHandler();
    var key = Encoding.ASCII.GetBytes(secretKey);
    var tokenDescriptor = new SecurityTokenDescriptor
    {
        Subject = new ClaimsIdentity(new[]
        {
            new Claim(ClaimTypes.Name, userId)
            // 可以添加更多声明,如角色、权限等
        }),
        Expires = DateTime.UtcNow.AddDays(7),
        SigningCredentials = new SigningCredentials(new SymmetricSecurityKey(key), SecurityAlgorithms.HmacSha256Signature)
    };

    var token = tokenHandler.CreateToken(tokenDescriptor);
    return tokenHandler.WriteToken(token);
}

在上述代码中,我们首先创建了一个JwtSecurityTokenHandler实例。然后,我们定义了一个SecurityTokenDescriptor,它包含了JWT的主题(即用户信息)、过期时间以及签名凭据。最后,我们使用tokenHandler生成并返回JWT。

三、JWT的验证

验证JWT主要是检查其签名是否有效,以及是否过期。这可以通过JwtSecurityTokenHandler类的ValidateToken方法实现:

复制代码
public bool ValidateJWT(string token, string secretKey, out ClaimsPrincipal principal)
{
    var tokenHandler = new JwtSecurityTokenHandler();
    var validationParameters = new TokenValidationParameters
    {
        ValidateIssuerSigningKey = true,
        IssuerSigningKey = new SymmetricSecurityKey(Encoding.ASCII.GetBytes(secretKey)),
        ValidateIssuer = false,
        ValidateAudience = false
    };

    SecurityToken validatedToken;
    try
    {
        principal = tokenHandler.ValidateToken(token, validationParameters, out validatedToken);
        return true;
    }
    catch (Exception)
    {
        principal = null;
        return false;
    }
}

在上述代码中,我们首先创建了一个JwtSecurityTokenHandler实例和一个TokenValidationParameters实例。TokenValidationParameters包含了验证JWT所需的所有参数,如签名密钥等。然后,我们尝试使用tokenHandler.ValidateToken方法验证JWT。如果JWT有效,该方法将返回一个ClaimsPrincipal实例,该实例包含了JWT中的所有声明;否则,将抛出异常。

四、JWT的授权

在验证了JWT之后,我们可以从ClaimsPrincipal实例中获取用户的角色或权限,并根据这些信息进行授权。这通常是在服务端进行的,可以通过检查特定的声明(如rolepermission)来实现。例如:

复制代码
if (principal.HasClaim(c => c.Type == ClaimTypes.Role && c.Value == "admin"))
{
    // 用户是管理员,允许访问受保护的资源
}
else
{
    // 用户不是管理员,拒绝访问受保护的资源
}

在上述代码中,我们首先检查ClaimsPrincipal实例是否包含一个类型为role且值为admin的声明。如果是,那么我们就认为用户是管理员,并允许其访问受保护的资源;否则,我们将拒绝其访问。

总结 :JWT提供了一种安全、灵活的方式来传输用户信息,并可以用于身份验证和授权。在C#中,我们可以使用System.IdentityModel.Tokens.Jwt命名空间下的类来生成、验证和使用JWT。

相关推荐
每天回答3个问题20 小时前
UE5C++编译遇到MSB3073
开发语言·c++·ue5
伍哥的传说20 小时前
Vite Plugin PWA – 零配置构建现代渐进式Web应用
开发语言·前端·javascript·web app·pwa·service worker·workbox
小莞尔21 小时前
【51单片机】【protues仿真】 基于51单片机八路抢答器系统
c语言·开发语言·单片机·嵌入式硬件·51单片机
我是菜鸟0713号21 小时前
Qt 中 OPC UA 通讯实战
开发语言·qt
JCBP_21 小时前
QT(4)
开发语言·汇编·c++·qt·算法
Brookty21 小时前
【JavaEE】线程安全-内存可见性、指令全排序
java·开发语言·后端·java-ee·线程安全·内存可见性·指令重排序
百锦再21 小时前
[特殊字符] Python在CentOS系统执行深度指南
开发语言·python·plotly·django·centos·virtualenv·pygame
Anson Jiang21 小时前
浏览器标签页管理:使用chrome.tabs API实现新建、切换、抓取内容——Chrome插件开发从入门到精通系列教程06
开发语言·前端·javascript·chrome·ecmascript·chrome devtools·chrome插件
唐青枫21 小时前
从入门到进阶:C#.NET Stopwatch 计时与性能测量全攻略
c#·.net
会开花的二叉树21 小时前
继承与组合:C++面向对象的核心
java·开发语言·c++